Hlavní navigace

NIX.CZ oznámil Bezpečnou VLAN, má ochránit uživatele před dopady DoS

David Slížek

Do projektu, který má v případě útoku zajistit propojení mezi partnery, se jako první zapojila šestice firem: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR.

Pokud se budou opakovat DoS či DDoS útoky, které loni na jaře ochromily část českého internetu, budou dopady na velkou část tuzemských uživatelů mnohem mírnější. Slibuje to alespoň sdružení NIX.CZ, které oznámilo spuštění projektu Bezpečná VLAN.

„V případě, že dojde k takovémuto útoku, může člen projektu upřednostňovat propojování prostřednictvím Bezpečné VLAN a svým zákazníkům nabízet dostupnost služeb díky ostatním subjektům sdruženým právě v Bezpečné VLAN,“ popisuje princip projektu ředitel NIX.CZ Martin Semrád.

Do projektu se zatím přihlásilo šest firem: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR.

Krajní nouze

V případě útoku by Bezpečná VLAN měla zajistit konektivitu mezi jednotlivými partnery projektu. Při DoS útoku by tak uživatelům dál fungovaly české služby (hostované u partnerů projektu), ale mohli by mít například problém s připojením ke službám v zahraničí či k službám těch členů NIX.cz, kteří se k projektu nepřipojí. 

„Jedná se ale pouze o situace, ke kterým může dojít v krajní nouzi. Subjekty, které jsou zapojeny do tohoto projektu, již musely pracovat na zvýšení vnitřního zabezpečení svých sítí. Projekt Bezpečná VLAN může na druhou stranu fungovat jako nástin doporučení, jakým směrem by se měly vydat i společnosti, které se na tomto projektu nepodílí,“ doplňuje technický ředitel NIX.CZ Adam Golecký.

Proč tedy NIX.CZ nezahrnul společnou ochranu před DoS rovnou do současného fungování svého peeringu a nezahrnul do ní všechny své členy? „Po technické stránce NIX.CZ nemůže zabezpečit připojené sítě proti útoků, protože operuje na druhé vrstvě. Ke splnění je zapotřebí řada podmínek, do kterých nemůže NIX.CZ své členy nutit,“ vysvětluje Golecký.

Kompletní podmínky

Firma, která se chce projektu účastnit, musí splnit řadu bezpečnostních podmínek. „Zájemce o vstup do projektu musí splnit celou řadu bezpečnostních podmínek a provést úpravy své sítě, jako je například obrana proti IP spoofingu. Ten je jednou z nejčastějších metod skrytí skutečného původce DoS útoku,“ vysvětluje technický ředitel NIX.CZ Adam Golecký.

Účastníkem se zároveň mohou stát jen firmy, které byly nějakou dobu připojeny do NIX.CZ, musí být důvěryhodné a musí se aktivně účastnit pracovních skupin. Bezpečná VLAN má být nezávislá na NIX.CZ a účastníci projekt sami řídí. Kompletní podmínky najdete zde (PDF).

„Tento projekt je v celosvětovém měřítku výjimečný. Řada peeringových uzlů v zahraničí sleduje, jak se bude vyvíjet. Protože jsme členy sdružení EURO-IX, vyměňujeme si zkušenost navzájem. Je tedy možné, že pravidla, která vznikla v NIX.CZ budou použita jako základ pro mnohé další IXP,“ uzavírá Semrád.

Další podrobnosti o tom, jak by měla ochrana konkrétně fungovat, popisuje server Root.cz.

Našli jste v článku chybu?
10. 2. 2014 20:55
Danny (neregistrovaný)

Od svych zakazniku i tranzitni operator muze akceptovat provoz pouze z tech zdrojovych IP, ktere soucasne pro zakaznika smeruje. V cem je problem?

Realita je takova, ze touhle vymluvou, ze to "nejde" casto projdou i adresy, ktere v internetu smerovatelne vubec nejsou (RFC1918 apod).

9. 2. 2014 0:04

Já si třeba dost dobře nedokážu představit dodržování BCP38 u tranzitních providerů.