– Sdružení CZ.NIC spravující národní doménu .CZ si uvědomuje, že může být jedním z cílů dalších útoků, které od začátku tohoto týdne míří na společnosti v České republice (média, banky atd.). Díky robustnosti celého systému, který sdružení CZ.NIC využívá, je nepravděpodobné, že by mohlo v případě útoku dojít k jeho vyřazení z provozu. Takový útok by musel být velice silný a sofistikovaný. Bezpečnostní tým CZ.NIC také připravil efektivní nástroj, který může správcům sítí a serverů pomoci s otestováním odolnosti jejich infrastruktury.
„První část našeho systému představuje registrační systém, s nímž pracují pouze registrátoři domén. Ten je nasazen ve dvou zcela oddělených lokalitách, které mají veškerá síťová propojení pomocí dvou nezávislých tras. Obě lokality mají také vlastní nezávislé připojení, a to jak do dvou uzlů peeringového centra NIX.CZ, tak do zahraničí a to protokolem IPv4 a IPv6,“ uvedl Ondřej Filip, výkonný ředitel sdružení CZ.NIC. „Druhou součástí systému jsou potom samotné DNS servery, které slouží k propagování informací o doménových jménech. Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.“
CZ.NIC klade důraz také na platformovou diverzitu řešení. Servery jsou založeny na odlišných hardwarových řešeních, používají různé operační systémy a v případě sekundárních jmenných serverů i různé implementace DNS serveru. Stejně tak i síťová infrastruktura v každé z lokalit je založena na zařízeních různých výrobců. Dalšími prvkem zvyšujícím robustnost architektury DNS systému je technologie Anycast, kterou využívají naše servery. Jednou z vlastností systému Anycast, která je užitečná mimo jiné v případě útoků, je efektivní rozkládání zátěže mezi těmito servery a jednotlivými lokalitami.
„Protože si jsme vědomi důležitosti tohoto systému, existuje kromě dvou veřejně známých lokalit v České republice, kde jsou umístěny redundantní servery, ještě jedna záložní lokalita. Na ní jsme schopni v případě úspěšného útoku znovu spustit v krátkém čase rozhraní pro registrátory a systém provozovat dál,“ dodal Ondřej Filip.
Bezpečnostní tým sdružení CZ.NIC vyvinul nástroj, který dokáže vygenerovat zátěž stejného typu a intenzity, jaké dosahovaly aktuální útoky. Tento nástroj je nainstalován na velice výkonné farmě serverů, které umožňují vyvinout dostatečně silný datový tok. V současné době ho používáme pro testování vlastní infrastruktury a následně ho nabídneme i externím zájemcům.