ISP: útoky řešíme stále a bude ještě hůř

3. 6. 2013
Doba čtení: 5 minut

Sdílet

Společnost GTS patří v Česku mezi největší poskytovatele připojení. Samozřejmě se jí přímo dotýkají velké internetové útoky, musí řešit DDoS na své zákazníky a nabízet jim různé způsoby ochran. Navštívili jsme pražské datacentrum Nagano, abychom se podívali na to, jak se dělá bezpečnost ve velké firmě.

Zamířili jsme do datacentra Nagano, které se nachází na pražském Žižkově, v ulici U Nákladového nádraží. Jde o jeden z nejdůležitějších uzlů GTS, takže je tu k vidění to podstatné: zařízení zajišťující bezpečnost velkých zákazníků.

Nabízíme i ICT služby, do kterých řadíme i služby spojené s bezpečností. Přesvědčujeme firmy, že se mají na bezpečnost dívat trochu komplexně a ne ji ‚vyřešit‘ antiviry na koncových stanicích, říká nám na úvod Milan Petrásek, který nás bude po datacentru provádět.

Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.

Základem je ochrana perimetru, ale nabízíme i ucelenější řešení, které je postavené na Linuxu a jeho součástí je třeba i mail server s různými ochranami, říká nám na začátku Milan Petrásek. Ukazuje nám v serverovně zařízení FortiGate, které integruje velké množství různých ochran před útoky zvenčí.

Zařízení pro ochranu perimetru

Zákazník může mít tenhle box u sebe nebo ho může nechat u nás, v každém případě se mu ale o něj staráme my, vysvětluje Petrásek. Firma nedávno začala nabízet podobnou službu i menším zákazníkům, kterým se vlastní hardware nevyplatí. Říkáme tomu Bezpečný internet a je to určeno pro rychlosti do 10 Mbit. Pak je možné celé řešení sdílet a zákazník tak má možnost výrazně snížit náklady, vysvětluje a dodává, že sdílené řešení je určené především pro SOHO segment.

Ochrana síťového perimetru ovšem není zdaleka tím jediným, co musí firmy při zajištění bezpečnosti řešit. Březnové DDoS útoky nás přiměly začít nabízet další řešení, týkající se vyšších síťových vrstev. To zahrnuje ochranu proti samotným DDoS útokům. Milan Petrásek nás vede k dalšímu racku, ve kterém leží zařízení s názvem FortiDDoS. Tímhle řešíme DDoS na poslední míli. Musí jít ale o toky do 1 Gbit, vysvětluje Petrásek. Jde o inline ochranu do linky zákazníka, který je pak před útokem chráněn, dodává a vysvětluje, že na každém boxu je připojen jeden, maximálně dva zákazníci.

Zařízení FortiDDoS

Ochranu před většími DDoS útoky představuje opatření na úrovni sítě operátora. Zařízení na to máme umístěná v Polsku a Rumunsku, případně používáme dedikované řešení a stavíme linky ke společnosti Prolexic, která je schopna DDoS útoku čelit. Náš průvodce nám vysvětluje, že jde o specializovanou firmu, která funguje jako „pračka“ na DDoS útoky. Vlastní velkou síť serverů, které dokáží přijmout ohromný datový tok a dodatečně jej filtrovat. Zvládnou prakticky libovolný DDoS útok, protože jejich celková kapacita je asi 800 Gbit a letos chtějí upgradovat na 2 Tbit.

V případě, že takový útok nastane, dokáže operátor do patnácti minut změnit BGP záznamy a přesměrovat provoz přes tuto společnost. Pro spoje k nim používáme buď přímo Ethernet nebo stavíme tunely, pokud není třeba garantovat latenci, zabíhá Petrásek do technických detailů. Odchozí provoz pak teče přes nás, ale příchozí jde přes Prolexic. Zákazník pak neplatí za velikost útoku, ale za čistou kapacitu po vyčištění, vysvětluje Petrásek. Dodává, že jde o poměrně nákladné řešení, které není možné mít zapnuté pořád, ale jen v případě, že skutečně už nastává problém. I tak je to řešení pro opravdu velké instituce, typicky třeba banky.

Milan Petrásek v data centru Nagano

Podle Milana Petráska se ale podoba DDoS útoků mění a jsou nasazovány stále sofistikovanější způsoby. Většina útoků dnes necílí na zahlcení linky, ale snaží se shodit samotný server. Je užitečnější útočit na vyšší vrstvy, protože k tomu nepotřebujete tak velký botnet, vysvětluje. Pak není potřeba zahltit třeba 10Gbit linky, ale stačí výrazně menší datový tok. Měli jsme tu DDoS, který měl 160 Mbit a stejně byl schopen vyřadit zákazníkovi web servery z provozu.

Tyto druhy útoků žádný firewall nezachytí a je proto potřeba nasadit sofistikovanější ochranu na úrovni aplikační vrstvy. Firmy dnes slyší na různé firewally či IPS, ale aplikační ochrany je zatím nezajímají. V současné době si zákazníci GTS mohou zaplatit za webový nebo databázový aplikační firewall. Bohužel o filtraci databáze je velmi malý zájem. Je to věc, kterou firmy zatím vůbec neřeší, posteskl si Petrásek.

Milan Petrásek popisuje funkci jednotlivých zařízení

Firma opět používá zařízení od americké společnosti FortiNet, která kombinují různé přístupy a snaží se odlišit běžný provoz od toho útočného. Využívá se například databáze IP adres napadených počítačů, geolokační databáze nebo snaha odlišit reálného uživatele od bota pomocí injektovaného JavaScriptu, vysvětluje nám princip Petrásek. Test na schopnost provádět JavaScript nemůže sloužit sám o sobě k rozhodnutí o zablokování uživatele, ale je jedním z faktorů rozlišení běžného uživatele od bota.

Podle Petráska útoků různého druhu bohužel přibývá a budoucnost v tomto směru nevypadá příliš růžově. Máme zkušenosti třeba z Rumunska, kde je velká penetrace optických linek do domácností. Prakticky všechny domácnosti jsou připojené 100Mbit linkou a hodně z nich i gigabitem. Domácnosti samozřejmě nedbají příliš na ochranu, což dohromady dává prostor k ohromným DDoS útokům, vysvětluje nám a tvrdí, že se v Rumunsku bez DDoS ochrany nedá podnikat. Měsíčně tam na naši síť probíhá 30 až 40 útoků. Většina jich má okolo gigabitu, ve špičkách jde ale o 8 až 13 Gbit.

„Jakmile naroste upload u domácích připojení, čekají nás problémy,“ říká Petrásek.

Také v Česku nás čeká vzestup podobných problémů. My máme zatím ‚výhodu‘ v pomalém uploadu u domácích ADSL připojení. Jakmile se ale situace změní a upload naroste řekněme na 10 Mbit, čekají nás nevyhnutelně stejné problémy, říká Petrásek. Navíc je pro běžného uživatele čím dál častější si podobný útok objednat. Na YouTube je spousta návodů radících s konkrétním postupem objednání i řízení botnetu. Svou roli tu hraje i nízká cena, kterou si může dovolit zaplatit prakticky kdokoliv. Dnes už není potřeba ani platit reálnými penězi, viděl jsem i nabídku umožňující zaplatit v Xbox Live bodech, říká Petrásek.

bitcoin_skoleni

Přidává ještě nějaké ne příliš povzbudivé statistiky. Společnost Prolexic zveřejňuje na svém webu statistiky a podle nich se Česko a Slovensko umisťují do 50. místa podle množství počítačů v botnetech. Znamená to, že jenom v Česku máme asi 80 000 nakažených zombie počítačů. Je to paradoxní situace vzhledem k tomu, že Česko je považováno za antivirovou velmoc. Na vrcholu žebříčku jsou ale stabilně Čína, Rusko a Spojené státy.

Tím naše návštěva končí, opouštíme hučící sály a uzel plný optických vláken a zařízení na filtraci útoků. Kam máme zajet příště?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.