Hlavní navigace

Peering by měl být bezpečnější, zaznívalo na letošních Peering Days

Petr Krčmář

V chorvatském Záhřebu probíhá sedmý ročník evropské konference Peering Days, kde se scházejí zástupci síťových operátorů z celého světa. Téma většiny letošních přednášek je jasné: bezpečnost internetové infrastruktury.

Doba čtení: 6 minut

V Záhřebu probíhá ve dnech 12. a 13. března sedmý ročník konference Peering Days. Na ní se každý rok setkávají zástupci provozovatelů sítí, kteří se chtějí dozvědět o novinkách v oblasti peeringu a získat nové kontakty pro navázání propojů. Akci společně pořádají peeringové uzly NIX.CZ, VIX a BIX.

Peering je vzájemné propojení sítí v takzvaném peeringovém uzlu. Do něj si všechny sítě přivedou svůj spoj a vzájemně si v něm předávají data. Tím se šetří náklady za připojení přes nadřazeného poskytovatele připojení, zároveň se většina dat drží lokálně a zahušťuje se internetová síť, která je pak odolnější vůči výpadkům jednotlivých linek. Více v článku.

Mario Klobučar: představení CIX

Chorvatský peeringový uzel CIX je provozován Univerzitou v Záhřebu v rámci národní sítě Srce. Uzel byl založen v roce 2000, je neutrální a neziskový. Jsme v Záhřebu ve dvou lokalitách, jedna z nich je v univerzitním datacentru. V současné době má uzel 34 členů.

CIX nabízí 1GE, 10GE a 100GE přípojky a route servery pomocí OpenBGPD. V loňském roce jsme přenesli 140 PB dat, ve špičkách překračujeme 70 Gbps. Většina členů dnes používá route servery.

Rene Duhr: budoucnost datacenter

Telekomunikační odvětví je docela podobné leteckému byznysu. Také máme cestující, kteří se chtějí našim prostřednictvím dostat k obsahu na druhé straně. Postupně také narůstá množství přenesených dat, přibývá přepravců (sítí) a různých aplikací. To je dobré pro byznys, stoupá zájem o datacentra. Žijeme v propojené ekonomice, pro kterou je důležitá síťová komunita.

Každé datacentrum se musí zabývat především třemi problémy: napájením, chlazením a latencí. V případě napájení nás zajímá cena za energii, dostupnost a přenos energie. Můžeme například využít ekonomiku velikosti, velké datacentrum má spotřebu 5 MW, ale můžeme budovat i datacentra o příkonu 150 MW či více. Důležité je také umístění, kdy je možné dobře využívat infrastrukturu uprostřed velkých aglomerací.

Latence je dána rychlostí světla a ovlivňuje dostupnost služeb. Určuje responsivitu aplikací, která má dopad na kvalitu a spolehlivost. Je možné ji vylepšovat vhodným návrhem sítě a umístěním důležitých prvků blíže k uživatelům.

Chlazení je pro technologie zásadní a zároveň rozhoduje o celkové efektivitě datacentra. Tradičním a ověřeným řešením je chlazení pomocí vzduchu – všichni to známe, klimatizace, teplá a studená ulička. V této oblasti ovšem probíhá zajímavý vývoj, například chlazení pomocí kapaliny. Nezkoušejte to s vodou, nefunguje to.

Podívejte se, jak experimentuje s olejovým chlazením český Wedos:

Arnold Nipper: PeeringDB

PeeringDB je databáze, která obsahuje informace o propojení mezi sítěmi. Nejdůležitější záznamy se týkají sítí, umístění síťových prvků a propojení s dalšími sítěmi. Pokud se potřebujete s někým propojit, potřebujete tyhle informace znát. Pro mnoho sítí je záznam v PeeringDB zásadní při žádosti o propojení. Obsahuje mimo jiné také kontaktní údaje.

PeeringDB je provozován dobrovolnickou organizací sídlící ve Spojených státech, která je financována ze sponzorských darů. Udržování infrastruktury stojí peníze, vývoj nových vlastností stojí peníze, ale pro uživatele je služba dostupná zcela zdarma.

Software pohánějící PeeringDB je open-source a je k dispozici pod dvouklauzulovou BSD licencí. Přispět do PeeringDB je snadné, máme otevřený repozitář na GitHubu, do kterého se můžete podívat a poslat svůj příspěvek, pokud máte pocit, že byste mohli PeeringDB nějakým způsobem vylepšit.

Massimiliano Stucchi: RPKI a bezpečnost routování

Data v IRR jsou velmi často nekompletní, chybná nebo zastaralá. Někteří RIR ani IRR nemají, takže musíte používat databáze třetích stran. Těm ale zase nemůžete stoprocentně důvěřovat. Proto vznikl před lety návrh RPKI.

V reálném internetu se zároveň stávají lidské chyby, prsty jsou tlusté a dvojka je na klávesnici velmi blízko trojce. Pakistánskému poskytovateli se před několika lety podařilo významně poškodit internetový provoz tím, že přestaly kvůli routování fungovat mnohé služby včetně YouTube.


Autor: Marko Iglić

RPKI je Resource Public Key Infrastructure, která umožňuje ověřit to, co vám ohlašují ostatní sítě. Vytvoříte ROA, tedy Router Origin Authorisation, ve kterém sdělíte, jak chcete oznamovat svůj prefix. Jde tedy o jakési prohlášení, jehož pravost je možné ověřit pomocí řetězce důvěry. Cílem je zabezpečit internetovou infrastrukturu a BGP routing.

ROA záznamy podepisují jednotlivé regionální registry zprostředkovaně pomocí vystaveného certifikátu pro jednotlivé LIR. Poté nastupují validátory, které tyto ROA stahují a ověřují a poté je předávají routerům. Vypadá to velmi komplikovaně, ale pomáhá to omezit dopad některých typů BGP únosů a konfiguračních chyb.

Nejlépe je na tom v Evropě s pokrytím RPKI Belgie, která má takto chráněných 78 % adres. Následuje Bosna a Hercegovina, na třetím místě je pak Srbsko. Česko je na osmém místě se 46 %. Situace je dobrá, ale stále je tu prostor ke zlepšení, zejména v některých zemích. Pomoci by tomu mohly akce jako nedávno uskutečněná RPKI Deployathon, kde během dvou dnů čtyři desítky lidí spolupracovaly na zlepšení situace. Bylo vytvořeno více než 200 nových ROA a 14 validátorů u různých operátorů. Podobnou akci můžete uspořádat také ve své zemi.

Walt Wollny: bezpečnost peeringu

Bezpečnost je při peeringu naprosto klíčová, protože přibývá síťových útoků. Zásadní je už například bezpečnost na úrovni portů. Nepřipojujte do peeringu port ve výchozím stavu! Síť by měla také používat ACL, na IPv4 i na IPv6.

Je nutné také filtrovat prefixy ostatních sítí. Mnoho sítí vůbec v peeringu prefixy nekontroluje. V takové situaci je velmi snadné unášet celé rozsahy. Některé sítě naopak zveřejňují informace o tom, jak prefixy filtrují. Hurricane Electric má tyto informace vystavené na svém webu.

Existuje řada nástrojů, které dovolují kontrolovat stav BGP a snadno odhalit případné problémy. Doporučovaným řešením je BGPMon, které je pro pět prefixů zdarma.

Tomáš Hlaváček: bezpečný BGP routing vs. realita

Problém RPKI je, že jde o volitelnou technologii. Jde o problém slepice a vejce, zda musíme nejdřív začít ROA vytvářet nebo validovat. ROA se vytvářejí velmi snadno, ale také se na ně pak může snadno zapomenout. Když je nebudete aktualizovat, můžou se rychle objevit nepříjemné problémy.

Ukazuje se ale, že v současnosti je mnohem větším problémem nedostatek validátorů na straně sítí. Experimenty ukazují, že jen 0,1 % ASN vynucuje validaci. Současný stav je možné sledovat na webu rov.rpki.net, kde běží experiment německé univerzity. Snaží se šířit do internetu simulovaný únos prefixu a sledují, které sítě záznam přijmou do routovacích tabulek a které jej po validaci správně odmítnou.


Autor: Marko Iglić

Výhody nasazení ROV se na internetu projeví teoreticky velmi rychle, protože nasazení v největších sítích nabídne ochranu velkému množství rout. Ve skutečnosti ale ROV nasadily zatím jen desítky sítí, takže je pokryto jen velmi malá část internetu.

Důvodů je několik: obavy z příliš nové technologie, nedůvěra v příliš komplexní systém či chybějící byznys model. Někteří provozovatelé se také bojí předání důvěry centrálním autoritám, což by podle nich mohlo poškodit nezávislost internetu. Je tu také obava ze ztráty spojení z důvodu vadných ROA. Skutečná čísla ale ukazují, že vadných záznamů je méně než jedno procento. Informace o konfliktech jsou v textové podobě dostupné na bgpsec.labs.nic.cz.

(Autorem fotografií je Marko Iglić.)

Našli jste v článku chybu?