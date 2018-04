Zákazníci některých českých i zahraničních poskytovatelů připojení k internetu si v posledních dnech stěžovali na výpadky. Mezi prvními postiženými byla v pátek ve Velké Británii část sítě British Telecomu, v sobotu došlo k výpadku u čekého operátora Tele2 a v neděli po půlnoci se uživatelé kabelového internetu Mistral nabízeného u nás společností UPC octli bez internetového připojení o víkendu celkem zhruba 20 hodin. Někteří uživatelé internetu se domnívali, že výpadky způsobili hackeři útoky na bezpečnostní slabinu směrovačů firmy Cisco, které páteřním sítím internetu dominují.

Ve středu 16. července byla na webových stránkách Cisca a v konferenci Bugtraq publikována bezpečnostní chyba v operačním systému IOS, který běží ve směrovačích (routerech), některých přepínačích (switchích) a bezdrátových access pointech pro Wi-Fi, které Cisco vyrábí. Na internetu se pak objevily i zdrojové kódy funkčních exploitů, které dokázaly problém zneužít. Příčina výpadků však byla záludnější. Cisco radí blokovat provoz směřující na napadnutelné zařízení z neautorizovaného zdroje, dokument přináší i detailní informace o tom, které verze IOS jsou napadnutelné a na které verze je nutné upgradovat.

V sítích British Telecomu a UPC byl IOS upgradován, došlo však ke komplikacím (popis potíží u BT naleznete zde, popis problémů u UPC najdete tady). Výpadek u TELE2 byl důsledkem výpadku u operátora, který pro TELE2 zajišťuje zahraniční konektivitu.

Někteří operátoři dopadli lépe. Společnost Tiscali, jejíž datová síť je z převážné části vybudována na technologiích Cisco, přistoupila podle vyjádření tiskové mluvčí k opatřením, které zamezily možnosti zneužití bezpečnostní chyby IOS. Upgrade IOS na všech směrovačích byl prováděn postupně tak, aby byla minimalizována bezpečnostní rizika a zároveň vliv tohoto upgradu na zákazníky. Díky redundantní topologii sítě nedošlo k žádným výpadkům páteře, v ostatních částech sítě byl upgrade proveden s minimálním výpadkem, který nepřekročil jednotky minut nutné pro restart směrovače.

Ani společnost Czech On Line nebyla podle sdělení tiskové mluvčí negativně zasažena následky upgrade Cisco IOS. Technici začali pracovat na upgradech IOSu jednotlivých páteřních routeru v síti během noci v pátek 18. července. Mezi další opatření patřilo filtrování problematických paketů.

Pavel Rusý z Contactelu uvedl, že firma na svých hlavních páteřních zařízeních provozuje softwarové verze, které jsou proti popsanému způsobu napadení odolné, a obecně má Contactel ve své síti implementovány další mechanismy omezující možnost napadení útoky podobného typu. Dodal však, že "starší a menší zařízení v naší síti mohou být vůči tomuto způsobu útoku náchylná. Pokud by k útoku došlo, jeho dopad by byl omezený. V rámci plánované údržby budou i tato zařízení vybavena lepší úrovní ochrany."

Problémy nezaznamenal podle Aleše Dryáka z oddělení rozvoje sítí ani Pragonet / T-Systems.

David Duroň z GTS uvedl, že "implemetace nového Cisco IOS proběhla v síti GTS na úrovni IP páteře do 21.7. a na úrovni přístupových zákaznických zařízení (accss routerů) do 23.7. bez dopadů na dostupnost služeb. Na úrovni zákaznických CPE zařízení, zejména pro služby IP VPN a pod., bude upgrade podle plánu proveden do 24.7., ostatní zákaznická zařízení, která upgrade vyžadují, v souladu s kapacitními možnostmi personálu útvaru IP provozu v termínu do konce srpna."

Podle Jiřího Proška z BroadNetu jsou jejich páteřní směrovače odolné proti útokům popsaným minulý týden, jejich IOS software není zmíněnou chybou dotčen. Síť Broadnet není postavena jako kaskádovitě řízená síť koncentračních routerů. Routery jsou navázány na transportní infrastrukturu na bázi ATM vedoucí až ke koncovému zakaznikovi. Zákazníci, kteří využívají pro připojení k internetu malé routery Cisco řad 80x, 17xx, 26xx, 36xx nebo switche Catalyst, byli operativně zabezpečeni prostřednictvím filtrů umístěných na páteřních směrovačích. V současné době technická skupina BroadNet paralelně realizuje kompletní upgrade IOS na zákaznických přístupových routerech Cisco. Broadnet navíc nabízí jako placenou službu využívání stavového paketového firewallu.

Zajímala nás i situace v síti Českého Telecomu (ČTc). Podle jeho oficiálního vyjádření "obecně platí, že ČTc realizuje upgrade IOS svých routerů, a to tak, aby byla používána taková verze SW, která je z hlediska ČTc optimální. Pokud má změna SW dopady na zákazníky, upozorňujeme je na tuto skutečnost. Pokud je výměna bez dopadu, pak je záležitostí ČTc, kdy změnu provede."

Jsou problémy s upgradem IOS jen špičkou ledovce?

Jim Kirby, síťový inženýr u amerického řetězce mlékáren Wells' Dairy, si ještě loni pochvaloval síťový hardware vyráběný firmou Cisco. Poté, co se rozhodl kromě routerů a switchů od Cisca používat i zařízení pro bezdrátové sítě Cisco Aironet, byly jeho pozitivní zkušenosti citovány v oborovém časopisu Dairy Foods i na webových stránkách společnosti Cisco. V roce 2001 však šéf Ciska John Chambers ohlásil propuštění 8000 zaměstnanců a podle Kirbyho se poté rapidně snížila kvalita hardware, software i zákaznické podpory.

Kirby tvrdí, že od začátku tohoto roku musí reklamovat 50 % hardware od Cisca, přičemž u některých modelů (Cisco Catalyst 4500, Cisco 7204 a Cisco AS5350) dosahuje poměr reklamací 100 %. Kvalita zákaznické podpory je podle Kirbyho neuspokojivá, údajně není zaručeno, že se problému ujme u Cisca kompetentní inženýr. U všech zhruba 25-30 letošních problémů byla nutná eskalace, výměna inženýra nebo kontaktování místního zástupce Cisca.

Poučení do budoucna

Zveřejnění slabiny operačního systému IOS bylo pro společnost Cisco i její zákazníky jistě nepříjemné, uvažovat o přechodu k jinému dodavateli telekomunikčního hardware však nemá velký smysl, zítra se může obdobný problém objevit v kterémkoli jiném konkurenčním produktu. Ukazuje se však, že problémy může působit určitá monokultura směrovačů Cisco na páteřních sítích internetu. Podobnou monokulturou jsou třeba kancelářské počítače s operačním systémem Windows a poštovním programem Outlook, v této monokultuře působí problémy již několik let e-mailové červy typu ILOVEYOU či Klez.

Opět se projevil rozpor mezi nutností aplikovat záplaty software a nutností tyto záplaty předem vyzkoušet. Podobný rozpor u databázového software Microsoft SQL Server způsobil, že správci ohrožených databázových serverů tak dlouho nespěchali s opravou zveřejněnou v červenci 2002, až došlo 25. ledna 2003 k masivnímu útoku internetového červa Slammer (zvaného též Sapphire).

Pro správce i manažery IT a IT může být užitečné sledovat alespoň běžné informační zdroje informací o aktuálních bezpečnostních problémech, jako jsou mailing listy Bugtraq, NTBugtraq a Secunia Security Advisories (na své si v některých případech přijdou milovníci horrorů). Některé společnosti by si přály, aby informace o bezpečnostních problémech software kolovaly pouze mezi úzkým okruhem specialistů, Bugtraq a NTBugtraq však vycházejí z zásad nazývaných Full Disclosure, po objevení chyby je tedy kontaktován dodavatel a je mu poskytnuta lhůta na opravu. Po uplynutí lhůty je pak chyba zveřejněna, ať již s opravou, nebo bez ní. Popis zásad Full Disclosure najdete zde.

Investiční banka Merrill Lynch ohlásila, že stáhne všechny své pobočkové ústředny Cisco CallManager pro IP telefonii právě proto, aby se vyhnula zmiňované monokultuře. Nahradí je modelem S8700 firmy Avaya, která se před několika lety odštěpila od Lucentu. S8700 umí využívat internetovou telefonii i klasické přepínání okruhů na TDM. Mluvčí Merrill Lynch uvedl, že "zdvojnásobování útoků" na datovou síť Merrill Lynch mělo za následek nové zvážení firemní strategie. Internetové telefony Cisco jsou však naneštěstí svázány s ústřednami Cisca a nelze je používat s ústřednami jiných výrobců, proto budou i telefony od Cisca nahrazeny telefony dodanými firmou Avaya.

Následky problému v IOS pro firmu Cisco Systems je nyní možno odhadnout jen obtížně, v naší zemi se však nejedná o první vážný problém související s produkty Cisca v poslední době. Vývoj kolem upgrade IOS ve světě je možno sledovat téměř v reálném čase zde.

Svoje postřehy a poznatky o vývoji situace u našich operátorů můžete napsat do diskuse pod článkem.