Hlavní navigace

NIX.CZ obnoví technologie, Hurricane Electric expanduje a Netflix zatím neplánuje servery v Česku

Petr Krčmář

Minulý týden probíhal v Berlíně šestý ročník pravidelné putovní konference CEE Peering Days 2018. Mluvilo se především o propojování internetu, ale také o streamování videa nebo o implementaci direktivy NIS.

Doba čtení: 11 minut

Ve dnech 6. a 7. března probíhal v Berlíně již šestý ročník mezinárodní konference CEE Peering Days, kterou spolupořádá také český propojovací uzel NIX.CZ. Letos se na něj sjelo 214 účastníků z 24 zemí. Nejvíce účastníků bylo z Německa, Česka, Rakouska, Holandska a Maďarska. Nechyběli ale návštěvníci ze Spojených států, Británie, Slovenska, Belgie nebo Číny.

Hurricane Electric ve 150 propojovacích uzlech

Walt Wollny mluvil o společnosti Hurricane Electric, která vlastní síť připojenou do 150 peeringových uzlů a s téměř 7 tisíci propoji je na prvním místě mezi peerujícími sítěmi. Navíc se snaží stále připojovat do dalších sítí a uzlů. V poslední době jsme se připojili třeba v Moskvě, během letošního roku chceme expandovat do Asie.

Zahušťování sítě a přímé propoje k dalším sítím umožňují efektivnější komunikaci po internetu a zajišťují lepší dostupnost. Proto Hurricane preferuje otevřený peering přes route servery, protože je sice příjemné znát každého partnera osobně, ale ve velkém množství sítí už to není možné. Když vás neznáme, nejsme propojeni. Proto je lepší tyhle věci dělat hromadně přes route servery.

Společnost chce dále pokračovat v globální expanzi do co nejvíce lokalit po celém světě. Potřebuje k tomu ale znát co nejvíce informací o peeringových centrech, ideálně všechny podrobnosti o propojených sítích a podmínkách, nejlépe ve strojově čitelných formátech. Potřebujeme s tím pomoci. Pokud provozujete peeringové centrum, zveřejněte všechny informace, aby se mohly nové sítě rozhodnout, kam investovat. Další metou je pro firmu přítomnost ve 200 propojovacích centrech.

Firma provozuje také vlastní službu IPv6 brokera a nabízí tunely zdarma. Přestože některé společnosti podobné služby ukončují, Hurricane nemá nic podobného v plánu. Našim cílem je zlepšovat internet, takže nemáme vůbec v plánu tuhle službu vypínat. Naopak nabízíme čím dál lepší propojení do IPv6 světa.

Implementace direktivy NIS

Zuzana Duračinská z CZ.NIC začala tím, že přibývá regulací jako je NIS, GDPR a dalších, které překáží například členům bezpečnostních týmů. Nemáme je rádi, ale musíme je sledovat a přizpůsobovat se jim. NIS se týká síťových a informačních systémů. Spolehlivost a bezpečnost těchto systémů je dnes pro společnost velmi důležitá. Navíc přibývá bezpečnostních incidentů, které je ohrožují.

NIS v legislativě poprvé definuje nové pojmy jako incident, CSIRT, bezpečnostní strategie, poskytovatelé digitální služby a další. Zároveň jsou jednotlivé státy povinny implementovat tuto direktivu do svých zákonů do května 2018. Někteří operátoři budou podle této úpravy nuceni hlásit bezpečnostní incidenty.

Státy musí definovat výkonnou autoritu a centrální kontaktní bod, což pro řadu zemí bude znamenat zřízení národních CSIRT týmů. Povinní poskytovatelé služeb pak budou společnosti provozující systémy zásadní pro správu kritických společenských služeb. Jde tedy například o zdravotnictví, energetiku, dopravu, bankovnictví a další. V jakém rozsahu se to bude týkat také infrastruktury, bude záležet na jednotlivých státech.

Bude potřeba rozhodnout, které uzly budou direktivou NIS zasaženy, například podle počtu propojených sítí. V České republice jde o uzly, které propojují více než 50 autonomních systémů a jejichž datové toky přesahují 50 Gbps. Německo je větší, takže může mít nastavená jiná pravidla.

Naopak online obchody, vyhledávače nebo cloudové služby nebudou pravděpodobně významně regulovány. Když nebude fungovat váš oblíbený obchod, zřejmě nikdo nezemře. Přesto i tyto služby budou muset hlásit některé významné incidenty s významným dopadem: výpadek dopadající na více než 5 milionů uživatelských hodin, ohrožující důležité systémy a podobně. Dobré na tom je, že jde o opravdu velké bezpečnostní problémy, takže jich ve skutečnosti bude potřeba hlásit jen velmi málo.

Poskytovatelé digitálních služeb budou muset nasadit monitoring, procesy při řešení incidentů a podobně. Většina velkých firem už má tohle dávno vyřešené. Otázkou je, jak dobře mají vše dokumentované, což je jeden z dalších požadavků NIS.

V České republice je situace vlastně jednoduchá, protože od roku 2015 máme zákon o kybernetické bezpečnosti, který už stejnou oblast řeší. Už máme definováno, co je to kritická infrastruktura, jaké incidenty se musí hlásit a komu. Implementovat NIS pro nás tedy už bude poměrně snadné. Přesto je důležité změny v legislativě sledovat, ověřit si, kdo pod novou regulaci spadá a jaké jsou jeho povinnosti.

Vizualizace cest mezi uživateli internetu

Mirjam Kühne z RIPE NCC na začátku přednášky představila krátce projekt RIPE Atlas, který staví na malých sondách v mnoha různých sítích po celém světě. Tyto sondy mohou provádět základní síťovou analýzu, posílat ping, získávat místní informace z DNS a podobně. Využívat je pak může kdokoliv, kdo je do projektu zapojen. Výsledkem jsou různá zajímavá síťová měření z tisíců bodů v mnoha různých sítích.

Obvykle se měří komunikace od klienta směrem k serverům, aby bylo možné například optimalizovat cesty propojující jednotlivé sítě. Nyní se RIPE pokouší o jiné využití: měření mezi jednotlivými uživateli. Výsledkem jsou grafy týkající se propojení jednotlivých poskytovatelů připojení, grafické znázornění jednotlivých linek a jejich počtu. Pro tvorbu statistik používáme také různé databáze počtu uživatelů v jednotlivých sítích a podobně. Jde například o statistiky APNIC, Google nebo službu IXP Jedi.

Graf pro Českou republiku

Na grafech je například vidět, jak které země používají peeringové uzly, kolik dat se mezi sítěmi vymění lokálně a kolik toho naopak musí zbytečně cestovat přes zahraničí. Projekt je zatím na počátku, zatím ještě nebyl nikde podrobně publikován. Ještě na tom hodně pracujeme a budeme rádi za zpětnou vazbu, zda je to pro vás vůbec zajímavé a přínosné. Výsledky měření je možné vidět na webu IXP Jedi.

Kolokace blízko cloudu potřebuje konektivitu

Jens Möller ze společnosti e-shelter se na své přednášce zabýval všeobecným trendem přesunu služeb do cloudu. Všechno dnes míří do cloudu. Otázkou je, co to znamená pro nás. Dochází k velké změně od klasického datacentra přes kolokaci až po zajištění kvalitní konektivity do plného cloudu. Musíte na to ale být připraveni, mít dobrý tým, mít na to prostředky. Máte je?

Společnost e-shelter provozuje deset vlastních datacenter s celkovým maximálním příkonem 300 MW. Všechno v datacentrech je naše, budovy, vybavení i lidé. Děláme všechno ve své režii. Firma navíc plánuje dalších šest datacenter.

Z dnešního pohledu je nejdůležitější dobré připojení, firma je propojena s více než sedmi stovkami sítí. Dnes je důležité také připojení do peeringových uzlů a k velkým cloudovým službám: Azure, Amazon, Alibaba a podobně. Dříve stačilo dodat linky, dnes musíme nabízet plnou konektivitu. Proto síť kombinuje zahraniční konektivitu s místními linkami a přímými propoji k nejdůležitějším cloudovým poskytovatelům.

Jak se technologie přesouvají do datacenter a přibližují se cloudu, je potřeba výrazně jiný typ služeb. Chceme vám nabídnout místo k umístění technologií a zároveň připojení k dalším službám. Datacentrum se tak chtě nechtě stává poskytovatelem připojení, čímž se ovšem dostává do pozice konkurenta vlastních zákazníků, kteří sami poskytují připojení. Nechceme jít samozřejmě do přímého konfliktu, je potřeba hledat rovnovážný stav, kdy budou spokojeni všichni.

Jak streamuje Netflix

Nina Bargisen ze společnosti Netflix na začátku shrnula současný stav firmy. Netflix má 117 milionů uživatelů ve 190 zemích a denně odbaví 140 milionů hodin videa. Pokud naši službu neznáte, vyzkoušejte ji. Funguje to. Firma začala streamovat v roce 2007, tenkrát pouze v USA.

Když uživatel požádá o přehrání filmu, jeho klient nejprve kontaktuje řídící servery v AWS, teprve poté dostane příkaz CDN, která začne streamovat video. Řídicí logika ale posbírá řadu informací o tom, co chce uživatel sledovat, z jaké je země, jaký jazyk preferuje a podobně. Podle všech těchto informací se pak rozhodne, jaký soubor chce uživatel přehrávat. Pak uživateli pošleme informaci: oslov tento konkrétní server a řekni si o daný soubor.

Pro streamování používá společnost vlastní síť serverů. Když jsme začínali, používali jsme služby jiných poskytovatelů, v roce 2011 jsme se rozhodli postavit vlastní streamovací síť. Firma proto začala stavět vlastní hardware, což jsou 2U servery plné disků. Kromě toho existují také menší jednodušší keše, které mají velkou kapacitu, obsahují nejpopulárnější obsah a leží co nejblíže uživatelů.

Netflix je velmi úspěšný v propojovací strategii a snaží se minimalizovat toky přes zahraniční operátory. Daří se nám 95 % provozu doručovat přímo. Používáme k tomu samozřejmě peering! Zatím má firma pokrytou především západní Evropu, ale pracuje také na rozšíření infrastruktury do východní části.

To bohužel zahrnuje také Českou republiku a Slovensko. Zatím to pro Čechy není podstatné, protože když navštíví Netflix, nedostanou české rozhraní a většinou ani české titulky. Až se na Netflix dostane čeština, bude na čase rozšířit tam i infrastrukturu. Když bude dostatek datového provozu, nastane čas tam rozšířit také naše připojení.

NIX.CZ chystá nové 100Gbps karty

NIX.CZ dnes propojuje 151 sítí pomocí šesti přípojných bodů, nedávno dosáhl nového rekordu 629 Gbps. Špička to byla netypická, protože byla v pracovní den dopoledne. Mohl za to stream hokejového zápasu Česka s Ruskem, řekl na začátku přednášky Martin Semrád.

Propojovací uzel připravuje aktualizaci svých centrálních přepínačů s novými 100Gbps kartami. Budujeme také vlastní optické trasy po Praze, které nám dovolují snižovat náklady. Jsme v tom velmi úspěšní a chceme v tom rozhodně dále pokračovat.

NIX.CZ plánuje aktualizaci centrálních přepínačů, které jsou starší než ty přístupové a dovolují připojit jen staré karty se dvěma 100GE porty. Potřebujeme už ale vyšší kapacitu a také celkově obnovit starší hardware. Zároveň chceme vyměnit karty v přístupových přepínačích, ve kterých pak budeme moci použít levnější a standardní QSFP28 moduly. Obnovený hardware bude sloužit několik následujících let bez nutnosti větších investic.

Roste také bratislavský uzel NIX.SK, který propojuje 45 sítí a má tři přípojné body. Základem jsou dva přepínače Nexus 7000 a dva route servery. Začali jsme také provozovat dva root servery, před našim příchodem nebyl na slovenském území ani jeden. Bratislava také těží z toho, že je jen 55 kilometrů od Vídně, takže je velmi snadné a levné se připojit také z Rakouska. Také debatujeme nad tím, jakým způsobem aktualizovat starší hardware, který provozujeme na Slovensku.

DDoS útoky v peeringových centrech

Sascha Schumann je zakladatel Myra Security, která nabízí služby řešení DDoS útoků. Peering je dnes pro internet naprosto zásadní, bez něj by to už nefungovalo. Je to ale velmi komplexní ekosystém, který není snadné provozovat. Do peeringu je zapojeno téměř 23 tisíc routerů a všechny musí být správně nakonfigurované, aby vše fungovalo a bylo bezpečné.

Jedním z problémů je, že přestože by sítě IX měly být uzavřené a soukromé, tak nejsou. IP adresy jsou veřejně viditelné v PeeringDB a jsou dostupné z internetu. -Nejsou sice v globálních routovacích tabulkách, ale z peerujících sítí jsou přesto přímo dostupné. Navíc routery často na peeringových IP adresách odpovídají i na dotazy z adres mimo peeringová centra. Výsledkem je, že tyto stroje mohou být nalezeny a snadno se na ně dá zaútočit.

Podle Schumanna ve skutečnosti stačí minuta času, abyste našli zranitelné stroje. Problém je také v tom, že správci často nemyslí na to, že některé nefiltrované pakety nejsou vyřízeny na rychlé data plane, ale procházejí do control plane. To je vlastně normální PC uvnitř routeru, které má méně než desetinový výkon proti procesům odbaveným ve specializovaném FPGA. Jakmile vám umře control plane, rozpadá se BGP session a nejste na internetu. Myslete na to.

Řešení není těžké, ale je potřeba na něj myslet a hlídat jeho nasazení. Stačí nasadit velmi jednoduchá firewallová pravidla. Základem je zakázat ve výchozím stavu veškerý příchozí provoz a povolit jen nutné minimum potřebné k tomu, aby router plnil svou funkci. Tyto procesy je nutné automatizovat, aby se například při přidání další IP adresy vše potřebné povolilo. Musíte také svůj firewall pravidelně kontrolovat, bez toho to nejde.

K testování pak často stačí velmi základní nástroje, v Debianu je například balíček hping3, což je vlastně generátor paketů. Můžeme například vyzkoušet zahltit BGP port svého routeru zvenčí. Pokud je přístupný z internetu, můžete ho kompletně znefunkčnit.

V následující debatě zaznělo, že jde o problém známý patnáct či dvacet let. Řeší jej control plane policy, kterou umí všechny současné routery. Z vnějšku pak je sice na router otevřený SSH port, ale ve skutečnosti není možné jeho provozem zahltit počítač uvnitř routeru, protože tok je už na data plane limitován například na jeden megabit.

Princip CDN stojí na BGP a lokálním peeringu

Marty Strong z Cloudflare hovořil o tom, jak společnost bojuje s DDoS útoky. Jedním z nejdůležitějších prvků je vlastní CDN síť, která je připojena do internetu na mnoha místech a dokáže za zákazníka zpracovat celý provoz. Využíváme při tom anycast, který umožňuje řídit provoz, zabrání ucpávání úzkých hrdel a pomáhá vypořádat se s DDoS útoky co nejblíže jejich vzniku.

Anycast je ale podle Stronga velmi citlivý. Umožňuje oznamovat stejné IP adresy z různých míst na světě a to pak umožňuje při směrování vyhledat nejvýhodnější cestu. Vyžaduje to ale lokální peeringy, pokud nemáte peering, nemáte lokální obsah. Demonstroval to na testech sondy RIPE Atlas, která se měla z Berlína připojovat k serveru v Berlíně. Z výsledku jsem byl velmi smutný, data putovala po celé Evropě se zpožděním 80 ms. Nejen že použití poskytovatelé nejsou propojení v Berlíně, ale ani jejich tranzitní operátoři tu nepeerují.

MIF18 tip v článku témata

Problém je, že velcí poskytovatelé transitní konektivity jsou stále přítomni jen ve velkých uzlech. Zároveň mají přístupové sítě velmi zastaralá pravidla pro peering. Měli bychom myslet na otevřené prostředí a podporovat zdravé soupeření. Ne na cenu a objem provozu. Důležitý by měl být obsah. Strong ukázal anonymizovaný mail, ve kterém mu na žádost o peering protějšek odpověděl, že mu nabídne 10GE port zadarmo, pokud začne peerovat v jiném uzlu. Takový přístup je směšný.

Naštěstí prý situace není tak zoufalá, spousta operátorů a provozovatelů peeringových uzlů přemýšlí správně a mají velmi otevřený přístup. Podle Stronga je důležité zahušťovat síť, aby se uživatelé dostali k obsahu co nejkratší a lokální cestou.

Našli jste v článku chybu?