Opatření CZ.NIC proti případným útokům

CZ.NIC si uvědomuje, že může být jedním z cílů dalších útoků, které od začátku tohoto týdne míří na webové servery v ČR a je na případný útok připravené. Díky robusnosti celého systému, který CZ.NIC využívá, je nepravděpodobné, že by mohlo v případě útoku dojít k jeho vyřazení z provozu.

Takový útok by musel být velice silný a sofistikovaný. Bezpečnostní tým CZ.NIC také připravil efektivní nástroj, který může správcům sítí a serverů pomoci s otestováním odolnosti jejich infrastruktury.

"První část našeho systému představuje registrační systém, s nímž pracují pouze registrátoři domén. Ten je nasazen ve dvou zcela oddělených lokalitách, které mají veškerá síťová propojení pomocí dvou nezávislých tras. Obě lokality mají také vlastní nezávislé připojení, a to jak do dvou uzlů peeringového centra NIX, tak do zahraničí a to protokolem IPv4 a IPv6", uvedl Ondřej Filip, výkonný ředitel sdružení CZ.NIC.

"Druhou součástí systému jsou potom samotné DNS servery, které slouží k propagování informací o doménových jménech. Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii."

CZ.NIC klade důraz také na platformovou diverzitu řešení. Servery jsou založeny na odlišných hardwarových řešeních, používají různé operační systémy a v případě sekundárních jmenných serverů i různé implementace DNS serveru. Stejně tak i síťová infrastruktura v každé z lokalit je založena na zařízeních různých výrobců.

Dalšími prvkem zvyšujícím robustnost architektury DNS systému je technologie Anycast, kterou využívají naše servery. Jednou z vlastností systému Anycast, která je užitečná mimo jiné v případě útoků, je efektivní rozkládání zátěže mezi těmito servery a jednotlivými lokalitami.

"Protože si jsme vědomi důležitosti tohoto systému, existuje kromě dvou veřejně známých lokalit v České republice, kde jsou umístěny redundantní servery, ještě jedna záložní lokalita. Na ní jsme schopni v případě úspěšného útoku znovu spustit v krátkém čase rozhraní pro registrátory a systém provozovat dál", dodal Ondřej Filip.

Bezpečnostní tým sdružení CZ.NIC vyvinul nástroj, který dokáže vygenerovat zátěž stejného typu a intenzity, jaké dosahovaly aktuální útoky. Tento nástroj je nainstalován na velice výkonné farmě serverů, které umožňují vyvinout dostatečně silný datový tok. V současné době ho používáme pro testování vlastní infrastruktury a následně ho nabídneme i externím zájemcům.

Článek CZ.NIC ze dne pátek 8. března 2013

Další články od CZ.NIC