Systém ORR sítě CESNET2

V prvních letech Internetu bylo běžné provozovat DNS resolvery (i poštovní servery) jako otevřené. V současnosti se i DNS služby obvykle omezují na okruh vlastních zákazníků z těchto důvodů:

  • Neoprávněné osoby používají něčeho, co jim nepatří
  • útočníci mohou do cache DNS serveru podvrhnout nesprávné údaje a tím přesměrovat uživatele na nesprávné adresy
  • otevřené rekursivní DNS resolvery (Open Recursive Resolvers, ORR) se používají v masivních útocích typu DDoS - Distributed Denial of Service.

Podrobné informace o problému otevřených rekursivních resolverů i návody k jeho odstranění lze najít např. na těchto stránkách:

Team Cymru

US-CERT

CZ.NIC

CZ.NIC

Bezpečnostní organisace Team Cymru (ve velštině: Wales; výslovnost [ˈkəm.rɨ]) usiluje o zlepšení bezpečnosti a spolehlivosti sítě Internet a bezplatně nabízí velké množství bezpečnostních služeb, programového vybavení, nástrojů, výstražných zpráv, dat a návodů. Cymru Team mj. vyhledává v Internetu otevřené DNS resolvery a informace o nich zdarma distribuuje administrátorům sítí, kteří o ně mají zájem.

Bezpečnostní tým CESNET-CERTS získal přístup k informacím týmu Cymru o otevřených rekursivních DNS resolverech v síti CESNET2 a pravidelně jednou týdně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému. K tomu slouží systém CESNET ORR, který je v provozu od srpna 2011.

Hlášení, která rozesílá CESNET ORR, jsou setříděna podle IP adres otevřených rekursivních DNS serverů a podle času. Časové pásmo = GMT.

Význam polí záznamu:

IP adresa stroje | první, popř. i poslední čas detekce za minulý týden

Příklad: 

`10.1.2.3        | 2011-08-06_19:12:22 - 2011-08-12_03:04:05`
`192.168.123.197 | 2011-08-01_13:11:52`

CESNET-CERTS hodlá projekt ORR dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě své připomínky nebo stížnosti na adresu orr@cesnet.cz. CESNET ORR už nyní nabízí tyto možnosti:

  • posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  • ignorovat jednotlivé IP adresy (těch DNS serverů, které chcete i nadále provozovat jako otevřené)
  • ignorovat celé sítě (pokud nemáte zájem o zasílání informací týkajících se vaší sítě).

Provoz projektu CESNET ORR skončil v lednu 2013. Nahradil ho projekt CESNET X2, který poskytuje i další služby.