Blokowanie części sieci

Czy w ogóle można mówić o niedopatrzeniu ze strony TP?

Co zrobiła TP?

TP zdecydowała się na wykorzystanie jednego z narzędzi filtrowania ruchu w sieciach IP jaką jest blackholing. Polega ona na zatrzymywaniu przez brzegowe węzły sieciowe operatora ruchu do i z adresów IP uznanych za wrogie, niechciane lub na razie jeszcze zarezerwowane przez IANA (innymi słowy, takie, które nie powinny pojawić się w internecie). Mechanizm znany jest od wielu lat i wdrożonego z mniejszym lub większym powodzeniem spotkać go można w sieciach większości operatorów (wykorzystywany zwykle na własne potrzeby) oraz innych, praktycznie dowolnej wielkości.

Reklama

Projekty związane z wykorzystaniem tego mechanizmu prowadzi m.in. organizacja Cymru czy BGP blackholing PL. Rozwiązanie jest uniwersalne, niezależne od producenta sprzętu i uznawane za dobre zarówno dla ochrony urządzeń tworzących sieć, jak i potencjalnych ofiar ataków DDoS (ataki "przeciążające" strony internetowe).

Uogólniając - po wykryciu anomalii ruchowej z lub do danego węzła sieci IP, operatorzy mogą błyskawicznie i w prosty sposób uniemożliwić dostęp do/z sieci (hosta) w której zagrożenie powstało.

Czarna dziura

Niestety, o ile internet działa w oparciu o protokół IP (na tym poziomie kończy się dokładność mechanizmu BGP blackholing), usługi które oferowane są za jego pomocą identyfikowane są za pomocą numerów portów. Stąd zablokowanie całego adresu IP powoduje uniemożliwienie korzystania z jakichkolwiek usług na danym hoście (serwerze). Innymi słowy, jeśli na jednym serwerze z konkretnym adresem IP pracuje serwer pocztowy, WWW oraz plików - zablokowane zostają wszystkie te usługi. Tak właśnie stało się w opisanym przypadku - operator zdecydował za użytkowników o dostępności określonych serwisów i wiele stron stało się "ofiarami wdrażanego rozwiązania".

Co gorsza, brak dostępności danego IP nie był w żaden sposób sygnalizowany nieświadomemu użytkownikowi komputera (np. wyświetleniem innej, zastępczej strony z informacją dlaczego serwis jest niedostępny), a tradycyjnie używane w tym momencie przez klientów kanały komunikacji nie oferowały żadnego wytłumaczenia takich problemów z osiągalnością usług, a co więcej nie miały pojęcia o wprowadzonej usłudze. Dołóżmy do tego okres przedświąteczny, tradycyjnie związany z dużą ilością nowych (w większości zapewne niedoświadczonych) użytkowników sieci internet - i mamy przybliżony obraz powstałego galimatiasu.

Niemal natychmiast pojawiły się dyskusje o dyskryminacji, co z punktu widzenia ciągłości działania dostępu do internetu dla klientów TP jest bardzo istotne.

Wyobraźmy sobie bowiem sytuacje, w której publiczny adres IP otrzymany od operatora służy nam do prowadzenia sklepu internetowego, ale równocześnie korzysta z niego zestaw komputerów pracujących w naszej firmie. Po zarażeniu jednego z nich, cały adres IP zostaje zablokowany i prowadzenie dalszej działalności przestaje być możliwe aż do odblokowania przez operatora. To tak jakby przed rzeczywistym budynkiem postawić wysoki mur bo w sąsiedztwie jest potencjalnie niebezpieczna stacja paliw i co sprytniejszy - lub bardziej wygimnastykowany człowiek - ma do sklepu swobodny dostęp, a pozostali nie mają najmniejszych szans...

Działanie z natury nieuczciwe. Ale z drugiej strony, gdyby wspomniany wyżej sklep prowadził sprzedaż artykułów pirotechnicznych z możliwością testowania produktów - to czy nie chcielibyśmy czuć się bezpiecznie podczas tankowania?

Mniejsze zło?

Niestety, tak jak już wyżej wspomniano, nie ma jednoznacznej odpowiedzi ale niewątpliwym jest fakt, że cyberprzestępczość to nie jest zabawa dzieci przy komputerach. To aktualnie najdynamiczniej rozwijająca się działalność przestępcza. Według analiz przeprowadzonych w USA zorganizowane grupy przestępcze największe dochody aktualnie osiągają na działaniach związanych z internetem.

Operatorzy oraz różnego rodzaju badacze zagrożeń powstających w Internecie pracują nie od dziś nad rozwiązywaniem niedoskonałości protokołów tworzących Internet. Mechanizm blackholing został stworzony do rozwiązania pewnej klasy problemów, choć nie miał w ambicji swoich twórców być rozwiązaniem na wszystkie - dzięki wykorzystaniu pewnych cech architektur routerów pozwalał na ochronę sieci operatora, szybką i dynamiczną rekonfigurację podczas zalewu ruchu (co oznaczało po części również ochronę klientów i ich styków z Internetem), ale dokładność ograniczona jest do adresów IP.

Niedawno powstały rozszerzenia dla jednego z protokołów dzięki któremu działa sieć Internet - BGP - które pozwalają doprecyzować w koncepcji blackholingu również aplikacje (rozróżniając inne charakterystyki ruchu niż tylko adresy IP), ale pojawia się pytanie jak głęboko węzeł szkieletowy sieci (w ogólności - operator) powinien ingerować w zawartość ruchu który przekazuje (innymi słowy - jak bardzo chcemy zrobić z routera szkieletowego sondę IPS i czy mamy w ogóle do tego prawo).

Wydaje się, że powszechnie rozumiana prawda dotycząca internetu - "współpraca pozwoli nam zdziałać więcej, niż każdemu z nas z osobna" - trafiła na grunt polskich operatorów i powinni oni rozpocząć wspólne działania na rzecz ograniczenia cyberprzestępstw. Przykładem wspólnej debaty będzie styczniowe spotkanie PLNOG, na którym przewidziany jest osobny panel dotyczący blackholing'u. Wezmą w nim udział przedstawiciele TP, koordynator projektu BGP Blackholing PL Łukasz Bromirski i przedstawiciel NASK. Celem panelu będzie wytworzenie konstruktywnych planów na przyszłość, które spowodują wdrażanie wspomnianych usług na wyższym poziomie. INTERIA.PL jest patronem medialnym całej imprezy.

DALSZE INFORMACJE ORAZ AGENDĘ PLONG MOŻNA ZNALEŹĆ POD TYM ADRESEM

INTERIA.PL/informacje prasowe
Dowiedz się więcej na temat: Orange Polska S.A. | Internet
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy