Bezpieczna sieć

Jeśli możliwe są skuteczne ataki na usługi kluczowe dla działania Internetu, ochrona sieci firmowej powinna zostać wnikliwie przeanalizowana. Bardzo często administratorom wydaje się, że zrobili wszystko, co do nich należy - choć tak nie jest.

Jeśli możliwe są skuteczne ataki na usługi kluczowe dla działania Internetu, ochrona sieci firmowej powinna zostać wnikliwie przeanalizowana. Bardzo często administratorom wydaje się, że zrobili wszystko, co do nich należy - choć tak nie jest.

Problem bezpieczeństwa w Internecie poruszany jest od dawna. Mówi się o integralności i poufności przesyłanych danych, zapewnieniu bezpieczeństwa komputerów podłączonych do Internetu, o edukacji użytkowników sieci itd. Bezpieczeństwo samego Internetu, w sensie jego istnienia, dostępności, poprawności działania, jest domyślnie bezdyskusyjne. Użytkownicy Internetu żyją w przekonaniu, że mogą za jego pośrednictwem prowadzić poważne interesy, budować modele biznesowe, inwestować, publikować, komunikować się, oferować usługi itd.

Bardzo poważna awaria wyłączająca z użycia prawie całkowicie bardzo duży obszar sieci byłaby zatem katastrofalna w skutkach dla ogromnej rzeszy firm, tyle że nikt nie bierze jej poważnie pod uwagę.

Wielu ludzi jest głęboko przekonanych, że to niemożliwe, a jeśli już, to jedynie w teorii - w końcu Internet zaprojektowano tak, aby był "niezatapialny". Kluczowe łącza są zwielokrotnione i zamknięte w pętle, a najważniejsze serwery usługowe są, oprócz zwielokrotnienia, rozproszone geograficznie. Odporność Internetu, tak jak każdej innej sieci, zależy od dobrego współdziałania ze sobą kilku kluczowych elementów infrastruktury - gdy one zawiodą lub zostaną unieruchomione, ustanie ruch w całej sieci. I nie jest to wcale scenariusz science fiction. Najistotniejsza z punktu widzenia zwykłego użytkownika usługa internetowa to DNS - w pasku adresu wpisuje:https://www.computerworld.pl , a przeglądarka łączy się z adresem: 194.69.207.147. Gdy ta prosta, zdawałoby się, usługa przestaje działać, wszystko działa nadal, serwery, routery i przeglądarki pracują - tyle że wzajemnie się nie widzą.

DNS w pierwszym rzędzie

To oczywiste, że awaria serwerów DNS pierwszego rzędu najbardziej dotknęłaby użytkowników korzystających z najpopularniejszych usług, z WWW i pocztą elektroniczną na czele. Być może niektóre firmy korzystające z transmisji danych punkt-punkt (np. sieci prywatnych VPN) działałyby dalej w obrębie samej firmy. Działałyby sieci lokalne wykorzystujące własne serwery DNS, a ponadto mógłby działać VPN, jeśli administratorzy zapisali w konfiguracji adresy IP w postaci cyfr, co jednak nie zawsze ma miejsce.

Najważniejszą częścią usługi DNS jest trzynaście serwerów root DNS. Pod koniec roku 2002 serwery te stały się obiektem zmasowanego ataku DDoS polegającego na wysyłaniu w ich kierunku pakietów ICMP Echo (ping) oraz powtarzanych wielokrotnie zapytań o adresy IP serwisów. Ataki DDoS są na porządku dziennym w wielu sieciach, niemniej nikt do tej pory nie stosował ich wobec głównych serwerów root DNS na taką skalę. Ruch sieciowy podczas ataku był na tyle duży, że był widoczny na wykresie wykorzystania zasobów, choć trwał krótko.

Częstość występowania ataków ICMP flooding była swego czasu tak duża, że projektanci bardzo dobrego filtra pakietów iptables w systemie Linux przewidzieli opcję limitowania ruchu ICMP. Podobnie atak na serwer olbrzymimi ilościami pakietów inicjujących sesję TCP (SYN flooding) spowodował powstanie mechanizmu obronnego SYN-cookie w postaci opcji kompilacji jądra systemu Linux. Miłośnicy rozmów za pomocą IRC od dawna znają tę technikę ataku i obrony - narzędzia, takie jak fapi (program, który wyzwolony zewnętrznym poleceniem powoduje zalewanie komputera-celu olbrzymią ilością połączeń), są popularnym w IRC-owym półświatku orężem ataku na nielubianego rozmówcę.

Atak z 2002 r. udowodnił, że znane od dawna techniki ataku dają się skalować i mogą służyć do zachwiania fundamentów Internetu, z wyłączeniem serwerów root DNS włącznie. Od tego czasu ataki są coraz bardziej skomplikowane. Statystyki pokazują, że obecnie aż 85% zapytań do serwerów root DNS nie wynika z rzeczywistych potrzeb, lecz w ten czy inny sposób wiąże się z atakami DDoS.

Na szczęście serwery root DNS są zwielokrotnione. Przed atakiem w 2002 r. sieć serwerów root DNS była rozproszona na cztery kraje i obejmowała 13 miast. Obecnie jest to od 60 do 100 wysoko wydajnych, zwielokrotnionych sprzętowo serwerów rozmieszczonych w 80 lokalizacjach w 34 krajach. Niektóre z nich są umieszczone w bezpiecznych miejscach, takich jak nieużywane schrony atomowe, zaś wszelkie elementy infrastruktury są dublowane.

Zatrute bufory

Serwery DNS wykorzystują technologię routingu zwaną anycast, która umożliwia rozdzielenie ruchu na więcej niż jeden serwer o tym samym adresie IP, równoważąc obciążenie na sieć rozproszonych serwerów w różnych lokalizacjach geograficznych. Dzięki takiemu rozmieszczeniu całkowite wyłączenie jest skrajnie trudne - twierdzi Paul Mockapetris - pomysłodawca usług DNS, a obecnie prezes firmy Nominium. Nie można jednak nie zauważyć, że system DNS stał się bardzo skomplikowany i dlatego bardzo trudny do obrony w przypadku dobrze przygotowanego ataku.

Są specjaliści, którzy twierdzą, że całkowite wyłączenie sieci jest możliwe i to na okres do 10 dni! Można jedynie przypuszczać, że ludzie, którzy wiedzą jak to zrobić, nie robią tego tylko dlatego, że mają wysokie poczucie odpowiedzialności. Technicznie rzecz jest wykonalna, np. za pomocą specjalnie skonstruowanego wirusa. Robak roznosiłby się poprzez powszechne błędy obsługi sieci w systemach Windows i w określonym momencie zacząłby atak. Koordynacja ataku o dużym stopniu rozproszenia nie jest trudna - wirusy zdolne do synchronizacji czasu z zegarami sieciowymi istnieją od dłuższego czasu!

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200