Hlavní navigace

Peering Days: bezpečnější internet díky decentralizaci a komunitě

3. 5. 2022
Doba čtení: 8 minut

Sdílet

 Autor: Marko Iglić
Druhý den konference Peering Days se nesl v duchu zvyšování propustnosti sítí, ale také zazněla některá témata dotýkající se bezpečnosti. Jak se buduje distribuovaný honeypot? Budeme s DDoS společně?

Ernö Rigó: distribuovaný honeypot v BIX

Honeypot je služba, která pasivně čeká na útočníka a předstírá, že je skutečnou službou. Jde však pouze o vějičku, která má buď svou pomalostí vyčerpat útočníkovy zdroje nebo může sledovat útočníky při pokusech o útoky. Nejsou schopny blokovat útoky, ale je možné na základě získaných dat vytvářet nová bezpečnostní pravidla.

Pro provoz je samozřejmě potřeba mít potřebný hardware, platit za provoz, zajistit dostatečné připojení a o službu se starat. Největším rizikem je možnost proražení izolace mezi honeypotem a slutečnou sítí. Bezpečnostní pravidla říkají, že byste měli minimalizovat prostor pro útok, ale provozem honeypotu úmyslně tento prostor zvětšujete. Vyzýváte tak vlastně útočníka, aby se pokusil zkoušet různé přístupy a dostat se do vašich služeb.

Honeypoty je možné rozdělit podle stupně interakce s útočníkem. Ty nejjednodušší jsou vlastně jen otevřeným TCP portem, které zachytávají jen pokusy o připojení, jejich nasazení je ale velmi jednoduché a rizika jsou malá. Je možné postavit sofistikovanější řešení, ale to už vyžaduje reimplementaci použitých protokolů, emulovat zdroje a soubory a interagovat výrazně více. Na nejvyšší úrovni pak můžete použít skutečný hardware a skutečné služby, ale to je nejnákladnější a nejnebezpečnější.

Honeypot je možné umístit do interní sítě a přesměrovávat na něj určitý typ provozu nebo je možné umístit servery přímo do internetu. Množství získávaných dat se odvíjí od stupně interakce a právě také umístění služby. Můžeme získat základní informace jako IP adresa nebo trendy založené na různých portech, u složitějších honeypotů pak máme možnost kompletně analyzovat útočníkovo chování včetně použitých souborů a přihlašovacích souborů. Mnoho takto získaných dat může sloužit jako známka předchozí kompromitace, protože útočník použije skutečná hesla nebo přesně cílí na konkrétní cíle.

BIX od roku 2015 provozuje vlastní síť honeypotů pod názvem HunCERT Probe, jejíž jednotlivé uzly tvoří Raspberry Pi a vytvářejí pasti sledující TCP SYN a UDP, dále pak SSH, SMTP a další protokoly. Zařízení je poskytováno zdarma všem zájemcům a data se pak přes VPN sbírají na centrální servery. Uživatelé pak mají přístup ke kompletním záznamům vlastního zařízení a jejich agregovaná podoba je pak k dispozici celé komunitě.

V současné době běží po světě zhruba 50 sond, organizace plánuje jejich dalších rozšiřování v rámci Maďarska. V plánu je sdílet reputační data, vytvořit virtuální softwarové sondy a přidat další pasti zaměřené na WordPress, Cisco SSH, Radius, LDAP, DNS, IMAP, POP a další protokoly.

Massimiliano Stucchi: proč peerovat s RIS

RIS (Routing Information Service) je platforma existující od roku 1999, která sdružuje routovací data. Je možné z ní zjistit, co je oznamováno a jaké prefixy jsou kam posílány. Je to otevřená platforma, do které může nahlížet kdokoliv. K dispozici je spousta nástrojů, které umožňují sledovat data: RIPE Stat, BGPlay, BGPAlert a další. Je to velmi důležitý nástroj, který umožňuje zjišťovat, co se v síti děje. Můžete například získávat oznámení o tom, že se děje něco neobvyklého.

Pokud chcete začít službu využívat, je třeba sestavit BGP session s RIS. Čím více sítí bude peerovat, tím více dat budeme mít. Další informace je možné najít na ris.ripe.net, kde lze získat také data z BGP.

Manolis Mathioudakis: cesta ke 400 GE

Peeringové centrum LINX vzniklo v roce 1994 a jde o neziskové sdružení s více než 950 členy v 80 zemích světa. Má své uzly v Evropě, Americe i v Asii. Celkem je obsazeno 1783 portů se špičkovým tokem 6,9 Tbps.

nedávno oznámilo možnost použití 400GE portů s použitím hardware od společnosti Nokia. Dříve jsme používali výhradně Juniper, chtěl bych ale vysvětlit, proč je důležité používat zařízení od různých výrobců.

Na začátku bylo potřeba prozkoumat celou situaci, najít konkrétní řešení a prověřit jeho možnost integrace se stávajícími systémy v LINX. Vše se zkomplikovalo v roce 2020 s příchodem pandemie a začátkem lockdownů. Nemohli jsme navštívit žádného výrobce a provádět u něj testy, svět se na čas výrazně zpomalil.

Výrobce Juniper Networks neměl v té době dostatečné 400GE karty s vysokou hustotou portů. V roce 2020 byly dvanáctiportové nebo čtyřiadvacetiportové karty ještě dva roky před námi. Podobně na tom byla i společnost Edgecore. Třetí dodavatel, společnost Arista, takové karty sice už měla, ale zase na ethernetu nepodporovala potřebné OAM nebo VPLS.

Nakonec se jako vhodný dodavatel ukázala společnost Nokia, která měla dostatečně dobrý hardware, který podporoval OAM a VPLS. Ukázalo se, že je to pro nás dobrá volba. Kvůli pandemii se ale zdržovaly objednávky, takže bylo potřeba počkat až na konec roku 2020, kdy proběhly testy, které potvrdily kompatibilitu se stávajícím řešením od Juniper.

V roce 2021 se podařilo úspěšně migrovat na EVPN, ale v půlce roku přišly problémy na trhu s křemíkem a opět se začalo nedostávat hardware. Proto se LINX rozhodl kombinovat 400GE porty se 100GE porty v jednom šasi. Praktické testy se proto podařilo dokončit až ke konci roku.

Na konci roku 2021 bylo možné připojit první síť, zatím je 400GE implementováno pouze v Londýně a současná infrastruktura neumožňuje zatím službu rozšířit do dalších lokalit. V plánu je nasadit 400GE technologii v jádře naší sítě a navýšit tak jeho kapacitu. Další nasazování na okraji sítě se bude řídit zájmem členských sítí.

Fredrik Korsbäck: peering s AWS

Současný AWS Cloud zahrnuje 84 různých lokalit ve 26 regionech po cekém světě. V Evropě jsou datacentra ve Francii, Německu, Španělsku, Itálii, Rakousku a Británii. Síť je přístupná z více než 310 míst, kde je dostupná CDN Cloudfront používaná tisícovkami klientů pro šíření jejich obsahu.

Druhou variantou je AWS Direct Connect, který je dostupný jen na některých místech na světě a umožňuje velkým sítím přenášet datové toky přes síť AWS. Tato síť je také dostupná v raze, ale také v mnoha dalších okolních zemích. Každý rok jich vytváříme spoustu po celém světě.

AWS je také velkým podporovatelem a uživatelem 400GE technologie. Máme ji nasazenou od roku 2020. Nejprve jsme nasazovali ve svých datacentrech a v jádře sítě, teď se posouváme na okraje. Od letošního roku je možné na některých místech využít k připojení 400GE, další lokality přibývají.

Naopak je čas začít opouštět nedostatečné 10GE linky, AWS už je nebude nabízet, kromě velmi výjimečných případů. V našem 400GE světě to znamená velmi špatné využití portu. Musíme se zbavit 10GE. Naopak rychlost 100GE zůstane ještě nějakou dobu standardem při propojování sítí.

AWS je velkým popularizátorem a propagátorem RPKI pro zabezpečení internetového routování. Odmítáme nevalidní RPKI na všech úrovních, sami máme podepsanou drtivou většinu oznamovaného IP prostoru. Správa ROA včetně vytváření, správy a obnovování je plně automatizovaná.

James Shank: zvládnutí DDoS s pomocí komunity

Internet byl vždycky postaven na komunitní spolupráci, která plynula z jediného cíle: předávat si správně pakety. Bohužel se objevil problém jménem DDoS, což vedlo k vytvoření technologie RTBH (Remote Triggered Black Hole) definované v RFC 3882, které nabízí celá řada společností. Při tom partneři spolupracují tak, aby nepřenášeli škodlivé toky směrem do sítě oběti. Není to ale ideální řešení, protože se tím vlastně dokončí hlavní cíl útoku a síť je nedostupná.

Zajímavým řešením proto může být UTRS (Unwanted Traffic Removal Service), která vznikla v roce 2014 a běží na komunitním základě. Jejím cílem je chránit internet a oběť před útoky. Funguje podobně jako RTBH a také znepřístupní IP adresy oběti, ale informace o potřebě ochrany je rozšířena do všech zapojených sítí, které mohou reagovat koordinovaně.

UTRS ve své druhé verzi podporuje IPv4 i IPv6 a dovoluje oznamovat rozsahy /25 respektive /49. To je kvůli kobercovému bombardování, kdy útočník necílí jen na jednu konkrétní IP adresu, ale rozprostře útok přes celý rozsah. V současné době je v UTRS zapojeno přes 1500 BGP sessions, které pokrývají více než 13 tisíc sítí. Výhodou je, že zapojení do projektu nic nestojí a neznamená pro síť další náklady.

UTRS od ledna letošního roku podporuje také BGP FlowSpec, pomocí něhož je možné rozšířit detailnější informace o tom, co je potřeba filtrovat. Do sítě je tak možné kromě adresního rozsahu rozšířit také informace o protokolu, zdrojovém nebo cílovém portu. Pokud provozujete webový server a dostanete se pod útok, je pro vás pravděpodobně bezpečné odfiltrovat veškerý UDP provoz. Běžná komunikace se službou pak zůstane nedotčena.

Salam Yamout: vývoj evropských zemí z pohledu Open Connect

Online služby a internetové sítě závisejí na otevřené spolupráci. My se v Netflixu snažíme být dobrým obyvatelem internetu, proto máme otevřenou peeringovou politiku. Ta umožňuje být síťově efektivní, dostat se co nejblíže k uživatelům a vyhnout se příliš dlouhým spojením.

Netflix se snaží zlepšovat na všech úrovních, optimalizuje velké přenosy na noční hodiny, zlepšuje energetickou efektivitu a zlepšuje kompresní poměr přenášeného videa. Za posledních pět let jsme zvýšili efektivitu dvojnásobně, na video ve vysokém rozlišení vám stačí 5 Mbits.

Poskytovatel připojení se k obsahu u Netflixu může dostat po veřejném internetu, je pro něj ale výhodnější mít nakešovaný obsah mnohem blíže. Buď může mít keše přímo ve své síti nebo je možné využít veřejných peerinových uzlů. V jednotlivých zemích máme své servery, které jsou dostupné právě pro danou zemi a nejsou otevřené pro celý internet.

Při pohledu na vývoj evropských datových toků je nejvýraznější tok v Česku, Maďarsku a v Polsku. Plyne z toho důležité poučení, že nemusí jít o velkou zemi, ale datový tok do ní může být velmi významný. Zajímavá je také statistika zařízení, kdy nejvíce je Netflix sledován na chytrých televizích, které tvoří více než 80 % použitých zařízení.

Root obecny

Velkým úkolem pro nadcházející období je podpora IPv6, kde největší překážkou je podpora v chytrých televizích. Máme spoustu zákazníků s televizemi staršími než tři roky a podpora v nich je velmi problematická. Netflix chce dále v Evropě škálovat a zpřístupňovat statistiky týkající se výkonu dalších poskytovatelů ve službě ISP Speed Index.

Autorem fotografií je Marko Iglić.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.