Rozhovor s Markem Ernekerem z Ignumu

redakce 08.03.2012

Společnost IGNUM postavila svůj byznys na poskytování webhostingových, serverhousingových a doménových služeb. Jako první v ČR začala podporovat protokol IPv6 a je druhým největším doménovým registrátorem na našem trhu.

Marek Erneker, výkonný ředitel společnosti IGNUM

Společnost IGNUM disponuje vlastní nezávislou síťovou infrastrukturou, vystavěnou na aktivních prvcích Cisco. Od roku 2009 provozuje společnost jediný český mirror SourceForge.net.

Poslední měsíce docházelo po celém světě k DDoS útokům skupinou Anonymous na vládní servery a servery protipirátských unií. Proto jsme požádali výkonného ředitele společnosti Marka Ernekera o několik slov k zabezpečení serverhostingu a webhostingu.

Je Vaše společnost připravena čelit DDoS útokům?

Jsme samozřejmě připraveni čelit DDoS útokům, nicméně každý útok má svá specifika, ať již svým rozsahem, nebo využitou technikou. Je jisté, že existuje rozsah či charakter útoku, který by měl dopad i na námi poskytované služby. Jednou z nevýhod poskytování veřejných služeb je totiž právě to, že jsou veřejné. Nejběžnější typy útoků, kterým musíme čelit, napodobují chování návštěvníků webů, i když samozřejmě v řádově větším rozsahu. Právě proto využíváme vyspělé analýzy datových toků, které jsou klíčové pro odhalení útoků a efektivní obranu.

Jak rychle dokáží zaměstnanci Vaší společnosti zjistit takový útok?

V podstatě libovolný útok na naši infrastrukturu jsme schopni zaznamenat do několika minut. K odhalení útoků nám slouží standardní monitoring služeb a prvků i pokročilé techniky detekce nestandardních událostí v rámci naší infrastruktury.

Jaké prostředky máte k dispozici v případě, že zjistíte DDoS útok na některý ze svých serverů, nebo webhostingů?

Základním prvkem obrany je filtrování síťového provozu. Abychom byli schopni správně detekovat útok, využíváme online analýzu netflow, která nám významně pomáhá definovat filtrovací pravidla, ať již pro hlavní routovací strukturu, nebo firewally.

Jak velké riziko pro Vaši infrastrukturu znamená DDoS útok?

Riziko samozřejmě představuje. Jakýkoli poskytovatel disponuje omezenou kapacitou svých linek či výkonem svých prvků a vždy tedy existuje rozsah či charakter DDoS útoku, který jeho infrastrukturu zahltí a znemožní mu poskytování obvyklých služeb. Jelikož ale různým útokům čelíme již velmi dlouho, máme dostatek zkušeností, abychom jim předešli, či je velmi rychle vyřešili.

Proti jakým útokům jsou Vámi nabízené služby zabezpečené?

Je těžké konkrétně vyjmenovat útoky, které by proti naší infrastruktuře neměly šanci. Obecně infrastrukturu koncipujeme tak, abychom mohli snadno ovlivnit provoz na jednotlivých serverech i segmentech sítě a předcházeli tak dopadům útoku do dalších částí sítě.

Zdvojením veškeré hlavní infrastruktury nedávno dokončeným DNS Anycastem, využitím DNSSEC, pravidelnými upgrady, ale i dostatečným dimenzováním sítě významně posilujeme pasivní zabezpečení proti útokům.

Co si myslíte obecně o zabezpečení českých serverů proti útokům hackerů a znalostech českých uživatelů o této problematice?

Pojem český server zde má skutečně své místo. Typickým znakem by mohla být fráze Do-It-Yourself. Běžně se totiž využívají méně složité, méně sofistikované a neplacené nebo levné metody a nástroje pro zabezpečení serverů. Samo zabezpečení je ale často velmi náročná a mravenčí práce, která bez rozumných, často placených, nástrojů málokdy dopadne dobře. Český internet je bohužel zdrojem serverů, sloužících k dalším útokům. Naštěstí ale existují ještě snazší cíle útoků s větším dopadem.

Jak bylo pro Vás časově a technicky náročné nasazení DNSSEC a pro jaké domény jej poskytujete?

V současnosti poskytujeme DNSSEC pro všechny CZ domény, které používají naše nameservery a u kterých disponujeme právem technického správce. Snažíme se naše zákazníky zbytečně nezatěžovat nastaveními a DNSSEC aplikujeme automaticky na všechny takové CZ domény.

Implementace DNSSEC byla u nás spojena s dostavbou projektu DNS Anycast, který slouží k zajištění kvalitních a vysoce dostupných DNS služeb. Tento projekt patří v ČR k unikátním. Jediným nám známým a podobným systémem disponuje pouze CZ.NIC. Celkově byl projekt skutečně velkým oříškem a kolegům patří má hluboká poklona, že jej zvládli realizovat v přesně plánovaném termínu i rozsahu. To nám mimo jiné dovoluje poskytovat vysoce profesionální a plně automatizovanou službu DNS Hostingu i našim největším partnerům.

Jaký hlavní přínos vidíte v zavedení DNSSEC?

DNS patří mezi základní stavební kameny internetu a jeho zranitelnost je velice kritická (nejen pro snadnou možnost podvržení obsahu stránek). Samotné DNS je díky rozsahu specifikace a možnostem zaznamenávaných informací využitelné pro celou řadu dalších služeb, vedoucích k větší bezpečnosti, menšímu množství spamu, ale i většímu komfortu při využívání online služeb. Jeho zabezpečení tedy považuji za velmi důležité, přestože je jeho přínos pro zákazníky velmi obtížně vyčíslitelný a na první pohled nezřetelný.

Nabízí v dnešní době standardní webhosting dostatečné zabezpečení pro provoz klasické webové prezentace?

Současný stav webhostingu je vesměs velmi pozadu za skutečnými možnostmi zabezpečení. Problém samozřejmě není jen otázkou webhostingů samotných, ale i využívaných nástrojů či zvyklostí. Neustále narážíme na využívání nezabezpečených kanálů, na slabá hesla či ignorování bezpečnostních záplat webových aplikací.

Nicméně, situace se pomalu obrací a lze předpokládat, že současné útoky, které se objevují, budou dalším impulzem ke zlepšování.

Jakým způsobem probíhá zálohování managed serveru a jaké způsoby kontroly se nabízí klientům?

Zálohování managed serverů zajišťuje jedna z našich několika zálohovacích platforem, postavená na systému Bacula. Zálohování provádíme standardně 1× denně, přičemž standardně udržujeme zálohy až 60 dní zpět. Kontrola ze strany klientů je dnes složitější, ale neustálým zlepšováním celého systému směřujeme k celkové automatizaci systému – od nastavení záloh, až k zajištění obnovy. Tato možnost je aktuálně testována v poslední verzi zálohovacího systému a, jakmile budeme moci prostředí prohlásit za zabezpečené, chtěli bychom implementovat část automatických obnov do managementu serverů.

Existuje možnost obnovení managed serveru ze záloh bez nutnosti zásahu IGNUM?

Bohužel, právě s ohledem na některé vlastnosti současného systému zatím nemůžeme automatizaci procesů otevřít směrem ke klientům. Podobnou možnost ovšem aktuálně chystáme v našem cloudovém systému WEBCLOUD.CZ, kde budou k dispozici zálohy v rámci standardních přístupových protokolů.

Vidíte v zavádění IPv6 webů nějakou přidanou hodnotu pro uživatele?

Nedá se říci, že by v použitém protokolu byla přímá výhoda pro uživatele. Navíc je známa řada nevýhod, které se naštěstí v rozvíjející se IPv6 struktuře poskytovatelů internetu daří odstraňovat.

Zásadní výhodou zůstává rozsah a inovativnost celého protokolu, který bude v budoucnu standardem, což při rozumné implementaci v systémech může přinést i některé výhody jednotlivým webhostingům – ať již možnost využití vlastní IPv6 adresy pro každou webovou aplikaci, a s tím spojené výhody, anebo třeba zabezpečení přenosu dat díky jeho možnostem.

Přesvědčujete nějak uživatele k převodu na IPv6?

Aktivně naše uživatele nepřesvědčujeme, jdeme cestou podpory prostředníků, kteří IPv6 naším uživatelům mohou nabídnout. Základním kamenem úrazu současného fungování webů po IPv6 je totiž především jeho velmi slabá podpora u našich největších poskytovatelů internetového připojení.

Protože má IPv6 protokol standardně přednost před IPv4, je správné a rychlé směrování tohoto protokolu klíčové k tomu, aby po nastavení IPv6 směrování doménových jmen nedošlo k razantnímu zhoršení dostupnosti obsahu webů jejich návštěvníkům, což není cílem žádné ze stran.

IGNUM podporuje IPv6 již velmi dlouhou dobu a každý nový projekt, který připravujeme, s IPv6 provozem zcela samozřejmě počítá. Velmi otevřeně se také stavíme k IPv6 peerům, které máme nyní navázány po celém světě. Pomohli jsme také rozjet IPv6 bránu komunity SixXS a nedávno jsme uzavřeli peer s velmi známým IPv6 tunnel providerem HE.NET. Všechny tyto snahy vedou k lepší dostupnosti IPv6 pro uživatele na celém světe.