ACTIVE 24 = bezpečný poskytovateľ

Ako už iste viete, záleží nám na tom, aby váš web na našom webhostingu bol v čo najväčšom bezpečí. Téme bezpečnosť nášho webhostingu sa venujeme dlhodobo a usilovne sa snažíme o také opatrenia, ktoré minimalizujú riziko zneprístupnenia nami hostovaných služieb pomocou DoS alebo DDoS. Zatiaľ ako jediný webhoster, sme splnili tvrdé kritériá vstupu do Bezpečej VLAN, čo aj pre našich zákazníkov na Slovensku znamená, že sa so svojim hostingom u nás môžu cítiť bezpečne.

Pozrime sa spolu s našim technickým riaditeľom Zdeňkom Brunom na to ako sme sa do Bezpečnej VLAN dostali.

Sú toho plné noviny, Bezpečná VLAN je na svete a ACTIVE 24 je jej zakladajúcim členom. Čo to ale znamená pre našich zákazníkov, na čo je to dobré a ako sme sa ocitli v tomto VIP klube? Pre odpovede na tieto otázky poďme do relatívne nedávnej histórie.

Rozsiahle DoS útoky z marca 2013, ktoré boli vedené na služby s veľkou návštevnosťou (napríklad na iHNed hostovaný nami, iDNES, Seznam, ..), v ďalšie dni potom na stránky a internetové bankovníctvo bánk alebo servery telefónnych operátorov T-Mobile a Telefónica ČR, znamenali pre užívateľov týchto služieb pomerne rozsiahle výpadky ich prevádzky. Pre poskytovateľov týchto služieb boli útoky ale tiež impulzom pre to, aby sa pokúsili do budúcnosti znížiť ich negatívne dopady na svojich zákazníkov ak sa situácia bude opakovať.

Všetko bohužiaľ nasvedčuje tomu, že podobných útokov bude skôr pribúdať a ich intenzita silnieť. Preto vznikla na platforme NIXu (nezávislého peeringového uzla), ktorý zaisťuje prepojenie sietí, aktivita, ktorá si dala za cieľ zvýšiť odolnosť proti DoS útokom. Platforma NIXu je k tomu nanajvýš vhodná, pretože cez infraštruktúru NIXu preteká prevažná časť českej internetovej prevádzky. Cesta, ktorou sa záujemcovia o túto aktivitu vydali bola jasná. Museli sa výrazne zvýšiť bezpečnostné štandardy. Stanovy, prevádzkový poriadok a samotná podstata NIXu ale neumožňujú, aby sa zvýšený bezpečnostný štandard mohol vyžadovať od všetkých subjektov do NIXu zapojených, ktorých je už viac ako 100.

Preto sa vytvorila skupina Bezpečných poskytovateľov (v súčasnosti 6 spoločností), ktoré sa dohodli, že budú zvýšený štandard dobrovoľne dodržiavať a že si vďaka tomu budú viac dôverovať, čo sa týka prevádzky, ktorá z ich siete prichádza. Vo výsledku to znamená, že ak by v budúcnosti opäť nastal masívny DoS útok na niekoho z členov NIXu (a uvažujme ešte silnejšie a dlhodobejšie útoky), bola by táto skupina Bezpečných poskytovateľov schopná lepšie odizolovať zdroje útokov a skomplikovať tak jeho šírenie. V extrémnom prípade i tak, že by zachovala len vzájomné prepojenia s ostatnými členy Bezpečnej VLAN. To by síce znamenalo obmedzenie prevádzky, ale nie jej úplné prerušenie, nie pre subjekty zapojené v Bezpečnej VLAN.

Členstvo v skupine Bezpečných poskytovateľov je podmienené dodržiavaním Pravidiel pre pripojenie do Bezpečnej VLAN. Tieto pravidlá najprv zakladajúci členovia pripravili a následne sa zaviazali, že ich budú dodržiavať. Pre nás v ACTIVE 24 to znamenalo, že sme museli zaviesť Response rate limiting a dorobiť Control plane policy i na IPv6, teda opatrenia, ktoré veľmi zjednodušene povedané veľmi účinne znižujú možnosti šírenia útokov. Ďalším bodom dlhého zoznamu podmienok sme už vyhovovali, pretože sa téme bezpečnosti venujeme dlhodobo a dôkladne.
Možno to takto vyzerá jednoducho, ale celá aktivita sa zrodila už takmer pred rokom. Jej duchovným otcom bol Ondrej Filip, ktorý s nápadmi, ako zvýšiť bezpečnosť českého internetu, vystúpil poprvýkrát na pracovnej skupine NIXu v apríli 2013. Túto tému ďalej cieľavedomo rozvíjal a na ďalších dvoch pracovných skupinách bola už Bezpečná VLAN hlavou témou. Na pracovnej skupine v septembri 2013 sa už začalo sondovať mezdi členmi, kto by mohol zvoleným bezpečnostným kritériám vyhovovať, v novembri 2013 na pracovnej skupine konanej na Ještedi, už bolo jasné, že zakladajúcich členov bude do desať. Do konca roku 2013 sa ich počet ustálil na 6, sú nimi: ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a Telefónica ČR.

V januári 2014 prebehlo doladenie pravidiel do „paragrafového znenia“ a ich formálne odsúhlasenie všetkými zakladajúcimi členy. Pred nami je ešte niekoľko technických schôdzok, kde budeme ladiť ďalšie detaily fungovania bezpečnej VAN. Ale to je už len dobeh do cieľovej rovinky na trati, ktorá bola dlhá a nie úplne bez nástrah.
Ako vyplýva z vyššie uvedeného, Bezpečná VLAN má tým vyššiu účinnosť, čím viac subjektov sa do nej zapojí. Preto je už od začiatku otvorená pre ďalších záujemcov. A zdá sa, že atraktivita členstva v klube Bezpečných poskytovateľov je natoľko veľká, že sa skupina šiestich zakladajúcich členov čoskoro rozšíri o ďalších. To je pre český internet veľmi dobrá správa, pretože to znamená, že sa výrazne zvýši jeho celková bezpečnosť.

Článok pripravil Zdeněk Bruna, technický riaditeľ ACTIVE 24