Jedną z najczęściej sprawdzanych pozycji podczas poszukiwania Data Center dla swojego biznesu jest bezpieczeństwo – zarówno to sprzętowe, fizyczne, jak i sieciowe. Zwiększająca się ilość ataków mogących spowolnić, a choćby całkowicie zablokować działanie naszego środowiska, narażając firmę na straty. Dlatego w Data Space wprowadziliśmy zabezpieczenie adresów IP przy pomocy mechanizmu RPKI (ang. Resource Public Key Infrastructure).
Warto zdać sobie sprawę, iż cyberbezpieczeństwo to proces rozłożony w czasie. Wymaga ono ciągłego udoskonalania i dostosowywania mechanizmów do zmieniających się warunków.
Każdy z nas słyszał o atakach DDoS, ransomware czy różnego rodzaju phishingu. Istnieją jednak ataki, które nie dość, iż potrafią spowodować znaczną przerwę w działaniu systemu, to również są bardzo trudne do zdiagnozowania. A dodatkowo stosunkowo rzadko o nich się mówi. Brzmi groźnie? Tak, ale na szczęście można się przed nimi obronić.
Jakby ktoś pytał, to moje
Część z Was już pewnie wie, jaki typ ataku mamy na myśli. Dla tych, którzy spotykają się z tym określeniem pierwszy raz w życiu zdradzamy, iż chodzi o manipulacje trasami BGP (Border Gateway Protocol). Jak to działa? W skrócie, każdy operator w Internecie powinien zgłosić do RIR (np. RIPE NCC), które adresy IP należą do niego. Dzięki temu wiadomo, iż ruch wysyłany do nich powinien być przekazany do odpowiedniego routera. Wszystko to dzięki protokołowi BGP.
Upraszczając, mówimy innym użytkownikom sieci – Jakby co, adres IP o takim a takim numerze jest mój, więc gdyby ktoś o niego pytał, to zapraszam do mnie. Korzystając z takiej informacji, routery przekazują pakiety w odpowiednie miejsce i… dzięki temu możemy bezstresowo przeglądać strony www niezależnie od ich lokalizacji.
Ratunku, porwali moje adresy IP!
A gdyby ktoś powiedział, iż jest właścicielem danego adresu, ale tak naprawdę wcale by nim nie był? W zależności od rozmiaru serwisu lub jego popularności efekty mogą być całkiem spektakularne. Od wyłączenia dużej części internetu (rok 2004) do zatrzymania działania wszystkich usług Google na 30 minut (2012).
Dlaczego jest to niebezpieczne? Poza wymienionymi już niedogodnościami, jak pozbawienie możliwości dostępu do usług czy też po prostu odcięcie nas od zasobów sieci, ataki tego typu są również bardzo trudne do wykrycia. Szczególnie jeżeli są skonstruowane w taki sposób, iż wychodzący od nas ruch wędruje poprawnie, natomiast powracający idzie naokoło (np. przez kraje powszechnie uznawane za szpiegujące). Taka aktywność jest bardzo trudna do zauważenia, a przez to niebezpieczna, szczególnie jeżeli któraś z naszych usług posługuje się np. danymi poufnymi.
Lepiej zapobiegać niż wykrywać
Idąc śladem wszystkich największych dostawców, wprowadziliśmy w szkielecie sieci Data Space technologię RPKI. Umożliwia ona kryptograficzną weryfikację tego, czy dany system autonomiczny (ASN) jest uprawniony do rozgłaszania prefiksów (bloków adresów IP). Rozgłoszenie adresacji IP przez ASN, który nie jest do tego uprawniony, może skutkować przerwą w działaniu usługi i bardzo trudną do przeprowadzenia analizą problemu.
A jak to jest realizowane w praktyce? Zapytaliśmy o to Michała Glińskiego, naszego Dyrektora IT:
Ochronę realizujemy na dwóch płaszczyznach. Pierwsza to podpisanie kryptograficzne naszych prefiksów poprzez RIPE NCC. Dzięki temu inni dostawcy Tier 1 (np. Telia, Orange, Exatel) mogą nie dopuścić na swoich routerach do użycia naszej adresacji przez obcy ASN.
Druga część ochrony RPKI realizujemy już na naszych routerach. Szkieletowe routery co dobę pobierają obiekty ROA (Route Origin Validation) z RIR (Regional Internet Registry), którego przykładem jest RIPE NCC. Na podstawie polityk routingu zdefiniowanych dla sesji eBGP prefiksy z flagą RPKI Invalid są odrzucane.
Dzięki temu nasi klienci mogą czuć się bezpieczniejsi, gdyż nie ma ryzyka, iż ich maszyny będą komunikować się z nieautoryzowanym adresem IP.
Jak wspominaliśmy, bezpieczeństwo nie jest stanem, a ciągłym procesem. Wdrożenie mechanizmu RPKI to jego kolejny etap.
Dla zainteresowanych przygotowaliśmy narzędzie do badania RPKI.