ACTIVE 24 = bezpečný poskytovatel

Jsou toho plné noviny, Bezpečná VLAN je na světě a ACTIVE 24 je jejím zakládajícím členem. Co to ale znamená pro naše zákazníky, k čemu je to dobré a jak jsme se ocitli v tomto VIP klubu? Pro odpovědi na tyto otázky pojďme do relativně nedávné historie.
Rozsáhlé DoS útoky z března 2013, které byly vedeny na služby s velkou návštěvností (například na iHNed hostovaný námi, iDNES, Seznam, ..), další dny pak na stránky a internetová bankovnictví bank nebo servery telefonních operátorů T-Mobile a Telefónica ČR, znamenaly pro uživatele těchto služeb poměrně rozsáhlé výpadky jejich provozu. Pro provozovatele těchto služeb byly útoky ale také impulsem pro to, aby se pokusili do budoucna snížit  jejich negativní dopady na své zákazníky, pokud se situace bude opakovat.

Vše bohužel nasvědčuje tomu, že podobných útoků bude spíše přibývat a jejich intenzita sílit. Proto vznikla na platformě NIXu (nezávislého peeringového uzlu), který zajišťuje propojení sítí, aktivita, která si dala za cíl zvýšit odolnost proti DoS útokům. Platforma NIXu je k tomu nanejvýš vhodná, protože přes infrastrukturu NIXu protéká drtivá část českého internetového provozu. Cesta, kterou se zájemci o tuto aktivitu vydali, byla jasná. Musely se výrazně zvýšit bezpečnostní standardy. Stanovy, provozní řád a samotná podstata NIXu ale neumožňují, aby se zvýšený bezpečnostní standard mohl vyžadovat po všech subjektech do NIXu zapojených, kterých je již více než 100.

Proto se vytvořila skupina Bezpečných poskytovatelů (nyní 6 společností), kteří se domluvili, že budou zvýšený standard dobrovolně dodržovat a že si díky tomu budou více důvěřovat, co se týká provozu, který z jejich sítě přichází. Ve výsledku to znamená, že pokud by v budoucnu opět nastal masivní DoS útok na někoho ze členů NIXu (a uvažujme ještě silnější a dlouhodobější útoky), byla by tato skupina Bezpečných poskytovatelů schopna lépe odizolovat zdroje útoků a zkomplikovat tak jeho šíření. V extrémním případě i tak, že by zachovala pouze vzájemná propojení s ostatními členy Bezpečné VLAN. To by sice znamenalo omezení provozu, ale nikoliv jeho úplné přerušení, ne pro subjekty zapojené v Bezpečné VLAN.

Členství ve skupině Bezpečných poskytovatelů je podmíněno dodržováním Pravidel pro připojení do Bezpečné VLAN. Tato pravidla nejprve zakládající členové připravili a následně se zavázali, že je budou dodržovat. Pro nás v ACTIVE 24 to znamenalo, že jsme museli zavést Response rate limiting a dodělat Control plane policy i na IPv6, tedy opatření, která velmi zjednodušeně řečeno velmi účinně snižují možnosti šíření útoků. Dalším bodům dlouhého seznamu podmínek jsme již vyhovovali, protože se tématu bezpečnosti věnujeme dlouhodobě a důkladně.
Možná to takto vypadá jednoduše, ale celá aktivita se zrodila již téměř před rokem. Jejím duchovním otcem byl Ondřej Filip, který s nápady, jak zvýšit bezpečnost českého internetu, vystoupil poprvé na pracovní skupině NIXu v dubnu 2013. Toto téma dále cílevědomě rozvíjel a na dalších dvou pracovních skupinách byla již Bezpečná VLAN hlavním tématem. Na pracovní skupině v září 2013 se již začalo sondovat mezi členy, kdo by mohl zvoleným bezpečnostním kritériím vyhovovat, v listopadu 2013, na pracovní skupině konané na Ještědu, již bylo jasné, že zakládajících členů bude do deseti. Do konce roku 2013 se jejich počet ustálil na 6, jsou jimi tedy: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR.

V lednu 2014 proběhlo doladění pravidel do „paragrafového znění“ a jejich formální odsouhlasení všemi zakládajícími členy. Před námi je ještě několik technických schůzek, kde budeme ladit další detaily fungování bezpečné VLANy. Ale to je již jen doběh do cílové rovinky na trati, která byla dlouhá a ne zcela bez nástrah.
Jak vyplývá z výše uvedeného, Bezpečná VLAN má tím vyšší účinnost, čím více subjektů se do ní zapojí. Proto je již od začátku otevřená pro další zájemce. A zdá se, že atraktivita členství v klubu Bezpečných poskytovatelů je natolik velká, že se skupina šesti zakládajících členů brzy rozšíří o další. To je pro český internet velmi dobrá zpráva, protože to znamená, že se výrazně zvýší jeho celková bezpečnost.

NAPIŠTE KOMENTÁŘ