Ondřej Caletka: vítejte na setkání CSNOG
Myšlenka NOGů (Network Operator Group) je velmi stará a cílem je sdílet zkušenosti mezi správci sítí. Neměla by to být konference, ale neformální setkání a diskuse správců.
Proto sice na akci zaznívají přednášky, ale program je připraven tak, aby bylo nejvíce prostoru na otevřenou diskusi mezi jednotlivými účastníky.
Největším evropským NOGem je fórum RIPE, které pořádá dvakrát ročně setkání RIPE meeting. To je ale velká akce, která zahrnuje region celé Evropy, takže je vzdálená lokálním komunitám.
Proto se v roce 2017 malá skupina správců sítí dohodla a založila skupinu českých a slovenských správců. Proto jsme se rozhodli se setkávat v Brně, aby to bylo na neutrální půdě.
Organizátory akce CSNOG jsou CZ.NIC, NIX.CZ a CESNET. Starají se o organizační část, ale nezajišťují obsah. Obsah si zajišťujeme my, zastupuje nás organizační výbor, jehož předsedou jsem byl posledně zvolen já.
Za pět let proběhla tři setkání, protože jako do všeho i do CSNOG zasáhl covid. Jsem rád, že se nám podařilo zase sejít v takhle zajímavém počtu.
Vojtěch Bumba: reputační databáze IP adres
V prosinci roku 2019 probíhala v benešovské nemocnici běžná noční směna, když najednou přestalo všechno fungovat. Veškeré systémy vypadly, softwarově ovládané přístroje zhasly, sítí se šíří zákeřný malware a nemocnice se vrací o třicet let zpět.
Kybernetických útoků v Česku přibývá, stojí za nimi nedostatečné zabezpečení sítí.
Česko nepatří v této oblasti mezi nejlepší státy a navíc se vše ještě zhoršuje. Čím dál více věcí se schovává do šifrovaných protokolů. Ty sice vznikají s hezkým cílem komunikaci schovat před útočníky, ale bezpečnostním odborníkům to hází klacky pod nohy úplně stejně.
Analýza provozu je čím dál složitější a v budoucnu zřejmě nebude možná vůbec. Zatím je možné zneužít konfiguračních chyb, ale až se to lidé naučí používat správně, budeme mít smůlu.
Řešením je využít IP adresy, které nemohou být nikdy skryté. Chceme být jako hlídač před barem, kterého nezajímá, co jdete dělat dovnitř. Když vypadáte nedůvěryhodně, nepustí vás tam.
Na síti je to stejné: pokud mají dané adresy špatnou reputaci, nezajímá nás, co chce v naší síti dělat.
Nástroj Kernun Central Station se snaží budovat databázi problémových adres, které pak mohou být srdcem bezpečnostního řešení. Firewall si pak pravidelně stahuje data, podle kterých vidí, jak to vypadá v českém internetu a může blokovat nejrůznější problémy.
Existuje řada firem a organizací, které se zabývají monitorováním internetového provozu. S nimi jsme navázali spolupráci, zároveň jsme ale zachovali možnost lidského vstupu, abychom mohli záznamy odebrat nebo přidat.
Autoři se rozhodli také postupně snižovat skóre nebezpečnosti v čase. Adresa se dostane na blacklist na krátkou dobu a pokud už se bude chovat slušně, zase z něj vypadne.
S nasbíranými daty je potřeba nějak pracovat a vytvářet z nich databázi. Každá adresa dostane skóre nebezpečnosti a je sledována v rámci časového okna. Pokud je adresa zaznamenána jednou, dostane určité skóre, pokud se objeví brzy znovu, dostane násobně více bodů.
Každé zařízení, ze kterého se sbírají data, má také svou reputaci a přiznává se mu různá váha. Tím bráníme tomu, aby si někdo koupil náš firewall a posílal nám z něj úplné nesmysly a tím nám zbořil celou databázi.
Problémy způsobují veřejné služby, jako například DNS resolver Google. Někdo na něm provozoval odražený útok, takže se adresy dostaly na blacklist a uživatelé si pak stěžovali, že jim nefunguje internet.
Podobně dělají problémy veřejné hostingy, kde jeden napadený web dostane na blacklist celou IP adresu. To se podařilo vyřešit tím, že se rozlišují směry nebezpečnosti, tedy zda klient s danou IP adresou už komunikoval nebo nikoliv.
Michal Hrušecký: Turris Sentinel bez routerů Turris
Turris má tři různé služby, které se zabývají sledováním síťového provozu. Pakon a Morce se zabývají provozem ve vnitřní sítí. Sentinel je zaměřen na vnější provoz a jeho cílem je také vytvořit seznam nebezpečných adres, ze kterých přicházejí útoky.
Data pocházejí z takzvaných minipotů, což jsou minimální honeypoty pro protokoly FTP, SMTP, HTTP a Telnet. Nabízíme potenciálnímu útočníkovi možnost přihlášení. Pokud se o to pokusí, zaznamenáme používané přihlašovací údaje a pak ho odpojíme.
Taková minimální varianta umožňuje předcházet bezpečnostním problémům, které by v komplexnějším řešení nutně nastaly.
Data jsou pak používána k vytváření seznamu adres, které se chovají nebezpečně. Snahou je dostávat adresy na seznamy velmi rychle, ale zase je rychle odebírat, když se chovají slušně. Snažíme se chránit se přes falešnými reporty, proto vás hlášení na jednom routeru na seznam nedostane.
Zpracování dat probíhá na serverech CZ.NICu a výsledkem je plný seznam IP adres a také samostatný seznam rozdílů.
Sběr dat probíhá na routerech Turris, protože je těžké zajistit důvěryhodnost zdroje dat. Pracujeme ale na tom, abychom umožnili uživatelům zapojit se i bez našich routerů.
Uživatelé totiž mají zájem sbírat data, chránit ostatní a výsledná data používat i na svých firewallech.
Současné řešení využívá k identifikaci konkrétních uživatelů sériové číslo routeru Turris. Můžeme tak věřit tomu, že data pocházejí z konkrétního routeru.
V případě veřejného sběru bude systém předstírat, že každý uživatel má jeden router. Každý si vygeneruje svoje sériové číslo a pošle jej do CZ.NIC. Jak ale zajistit, že si každý nevygeneruje tisíce identit?
V první fázi bude spolupráce nabízena velkým firmám, které už mají unikátní identifikaci a mohou poskytnout důvěryhodná data z mnoha IP adres. Pokud máte zájem spolupracovat, kontaktujte nás.
Složitější to bude s jednotlivými uživateli, protože každý může mít stovky e-mailů a přihlašovacích údajů. Nevíme, jak to vyřešit, ale komunikace musí být automatická, aby byla služba dostupná široké veřejnosti.
Bude možné k tomu využít mojeID nebo jinou službu svazující účet s konkrétním uživatelem. Autoři projektu doufají, že se do něj zapojí tisíce uživatelů.
Shannon Weyrick: zpracování síťových dat na okraji sítě
Společnost NS1 provozuje autoritativní servery v 26 lokalitách po celém světě. Samozřejmě sbíráme spoustu síťových dat o stovkách milionů spojení denně.
Je to opravdu hodně informací, za 30 dnu se takto nasbírá 3,5 TB metadat.
Sbírat surová data je velmi drahé, starat se o ně na jednom místě je komplikované, takže je potřeba se na to podívat jinak. Všechna data máme na okraji infrastruktury, proto jsme vymysleli, že budeme tato data zpracovávat už na okraji – co nejblíže ke zdroji.
Umožňuje to distribuované zpracování dat a rychlou reakci.
Orb je open-source nástroj pro sběr dat na okraji sítě. Zpracovává malé množství dat a výsledky pak umožňuje nahlížet přímo na místě nebo je odesílat do centrálního úložiště. Výsledkem jsou přehledy, kde je možné sledovat různé metriky od IP adres až třeba po typy dotazů do DNS.
Celé řešení se skládá z agentů umístěných na kraji sítě a pak z centrálního řídicího centra, které umožňuje orchestrovat agenty a má přehled o celém dění na síti. Můžete v něm vytvářet pravidla pro to, jaká data chcete sbírat a zpracovávat.
Hlavní práci odvádějí samotní agenti, jejichž smyslem je rozdělit ohromné množství dat na jednotlivé proudy co nejdříve. Poté jsou tato data v reálném čase analyzována a získaná agregovaná data mohou být předána centrále. Takto je možné sledovat velké množství informací a toto zpracování je možné doplnit pomocí dalších modulů. Výhodou takového sběru telemetrických dat je, že i když je provoz obrovský, třeba kvůli probíhajícímu DDoS útoku, zůstávají agregovaná data stále stejně kompaktní.
Marian Rychtecký: přechod na VxLAN / EVPN krok za krokem
V roce 2019 bylo jasné, že datové toky rostou a bude potřeba 400GE porty. Zároveň jsme věděli, že budeme potřebovat NIX.CZ propojit ve třech lokalitách.
Tím měla vzniknout síť s trojúhelníkovou topologií, ale L2 sítě nemají rády kruhy. Kromě toho končila životnost přepínačů Nexus 7010 používaných v uzlu.
Na stole tedy byla otázka, zda zůstat u velkých šasi řešení nebo přejít na klasické malé přepínače. Od začátku jsme používali šasi, ale doba pokročila a otázka zněla: můžeme mixovat různé rychlosti portů v jednom šasi? Zjistili jsme, že nemůžeme.
Je problém kombinovat 1GE a 400GE porty a velké šasi není možné znovu použít jinde. Stinnou stránkou samostatných přepínačů je komplikovanější správa mnoha prvků.
Nakonec ale bylo rozhodnuto přejít na samostatné 1U prvky.
Dále bylo potřeba rozhodnout, zda síť organizovat pomocí Flood and learn nebo EVPN. Flood and learn má nevýhodu v tom, že trvá, než se restartovaný přepínač sám naučí všechny MAC adresy. EVPN používá k šíření informací protokol BGP, takže je síť vždy konzistentní.
Zásadní se ukázala být port security, která musí zajistit ochranu proti ukradení, falšování nebo kolizím MAC adres. Stává se to běžně, několikrát denně třeba dochází k různým smyčkám.
Kromě ochrany na portu bylo navíc nutné řešit MAC adresy také podle různých VLAN. Řešení bylo nakonec nasazeno na začátku roku 2021.
V produkci se pak ukázalo několik různých problémů, ne všechny ale byly chybou technologie. Také jsme se to postupně učili a někdy jsme měli velká očekávání.
Navíc byla zvolena datacentrová technologie, kterou se NIX.CZ snažil napasovat do peeringového uzlu. Problém je například s migrací MAC adresy, což je v dnešních virtualizovaných datacentrech běžné. Problém je ale v kolizi s port security.
Peeringový uzel podporuje na portu jen pevně daný počet MAC adres, dnes jsou to dvě, v budoucnu to bude už jen jedna. První použitou MAC adresu se port naučí a tu povolí. Pokud použijete jinou, tak vám ji shodíme.
Při příchodu kolizní MAC adresy z jiného směru by ji EVNP přesunul, ale port security akci zablokuje a data na adresu přestanou téct. Oprava pak vyžaduje manuální zásah, protože samo se to neopraví.
NIX.CZ to vyřešil skriptem, který hlídá takto zablokované adresy a odstraňuje je z tabulky. Podařilo se nám přesvědčit výrobce, aby tento problém opravil. Mělo by to být asi za měsíc.
Výhodou nového řešení je, že se mnohem lépe řídí a je možné například velmi snadno přesměrovat vnitřní provoz kvůli údržbě. Nevýhodou je, že je to poměrně nová technologie, která teprve zraje a je potřeba, aby se ji všichni naučili.
Alexander Zubkov: směrovací cykly
Směrovací cyklus je situace, kdy je paket směrován v nekonečné smyčce. V protokolu IP je proti tomu pojistka a každý paket má nastavenu hodnotu TTL, tedy počet směrovačů, kterými může projít. Tuto hodnotu je ale možné upravovat a nastavit až 255.
Cykly můžeme kontrolovat třeba pomocí nástroje traceroute, který umožňuje mapovat celou cestu.
Většina těchto problémů se objevuje jen na velmi krátkou dobu, ale například v případě chybné konfigurace může docházet i k dlouhodobým cyklům. Sám jsem viděl i cykly, které trvají několik let.
Nejčastěji se chyba objevuje, když je některá adresa nepoužívaná a nemáte pro ni adresu v tabulce. Takový paket je pak nasměrován výchozí routou a může se vracet zpět.
Někteří poskytovatelé takové problémy nechtějí řešit. Od jednoho správce sítě jsem se dozvěděl, že to vůbec není problém, protože to je jen kosmetická vada.
Problém pak na dané síti existoval pět let, nedávno byl konečně opraven.
Proč bychom se měli o cykly vůbec starat? Mohou způsobovat zásadní zesílení datového provozu, což je pak možné využít při DDoS útoku na vaše linky. V některých případech je možné takovou smyčku zneužít i jako zdroj útoků.
Smyčky v internetu je možné odhalovat pomocí různých skenů. Alexander Zubkov zjistil, že celkem 28 milionů adres v internetu způsobují cykly, což je více než jedno procento. Ve skutečnosti to bude víc, protože ne všechny routery jsou vidět a některé pakety nemusely projít.
Největším zdrojem těchto problémů jsou Spojené státy, kde je možné vidět šest milionů smyček.
Byly objeveny i smyčky, které odpovídají a umožňují tak provádět zesilující útok. Jedna z adres poslala na dotaz dokonce až 100 tisíc odpovědí. Potkal jsem cykly od jednoho do 34 skoků, více než půlka jich má dva skoky.
Většina cyklů trvá stovky milisekund, je možné se potkat ale i s cyklem trvajícím 18 sekund. To je úplně šílené, ten paket musí celou tu dobu někde běhat nebo být někde schovaný.
Detaily je možné zkoumat na službě radar.qrator.net, kde je možné zadat číslo autonomního systému.
Alexander Kozlov: měření spolehlivosti internetu v roce 2022
Qrator Labs vydává každý rok zprávu o spolehlivosti internetu. Klademe si jednoduchou otázku: jaké procento národních sítí není dostupné z globálního hlediska?
Měření probíhají z pohledu operátora typu Tier1, tedy exkluzivního klubu operátorů, kteří tvoří páteř internetu.
Jedním z měřítek je také stabilita národního internetu, která se poměřuje podle centralizace sítí v jednotlivých státech. V Česku byl v roce 2020 nejkritičtějším operátorem ten s ASN 47232, což je ISP Alliance. Kdyby tento operátor vypadl, nebylo by dostupných 6,5 % zdrojů.
Někdy v roce 2021 došlo ke změně nejkritičtějšího operátora, kterým se stalo ASN 39392, což je SuperNetwork. S tím se zhoršila stabilita internetu v Česku, protože se propadlo z 21 na 37. místo v celosvětovém žebříčku.
SuperNetwork totiž zvětšil podíl připojených sítí na 8,9 %. Jakákoliv taková centralizace není pro internet příliš dobrá.
Podobně je to i u IPv6, kde došlo ke změně největšího operátora a situace se tím také zhoršila.
Měřit můžeme také to, jaký poměr vnitrostátních zdrojů nebude v případě výpadku dostupný ani z vnitrostátní sítě. Důležité je tedy procento sítí, které jsou čistě koncové, tedy mají jen jednoho poskytovatele připojení a s nikým nepeerují. V případě jejich problémů pak nebudou zdroje za nimi dostupné vůbec nikomu, protože další cesta neexistuje. Výpadek s nimi tedy zažijí úplně všichni.
Z hlediska reverzních záznamů (PTR) je nejkritičtějším poskytovatelem O2, který za sebou má více než 27 % zápisů v zemi. Na Slovensku je to SK Telekom, který má za sebou dokonce více než 41 % záznamů. Kdybych byl připojen jen k jednomu z nich, přidal bych si ještě linku někam jinam. Když to spadne, bude to opravdu špatné.
Tato statistika ale může být ovlivněna tím, že někteří poskytovatelé dávají klientům veřejné adresy a jiní používají CG NAT.
Zbyněk Kocur: objektivní měření mobilní sítě
Když se ověřuje pokrytí mobilní sítí, obvykle se měří parametry na fyzické vrstvě. To dělá ČTÚ, který jde dnes postupně i výše.
Je možné měřit na vyšších vrstvách, přičemž nejvyšší je měření na TCP/IP. Je pak možné říct, kolik dat proteklo a jaká je kvalita připojení.
Rozdíly pak závisejí na tom, kde se měří. Jednak je možné měřit statickým testem, který je opakovatelný. To ale neodpovídá tomu, jak se dnes mobilní sítě používají.
Nomadický test se provádí na několika různých místech. Po světě se ale běžně používají pohyblivé testy, kdy se měřicí terminál pohybuje. Pak do měření vstupují různé faktory jako úniky, změny signálu z důvodu zastínění, přepínání mezi sítěmi, zatížení různých bodů sítě a podobně. Nejkritičtější jsou místa, kde data přestanou proudit.
V případě TCP/IP to může být způsobeno tím, že downlink je propustný, ale uplink je ucpaný. V takové situaci může dojít až k odpojení.
TCP je vytvořeno tak, aby fungovalo nezávisle na problémech na fyzické vrstvě. To funguje dobře u ethernetu, kde odpojíme kabel. U bezdrátových spojení se ale linka odmlčí a data netečou.
Pak nastupují timeouty, kdy TCP čeká až 30 sekund. To je na mobilních sítích úplně běžné, když jedete po D1, tak může spojení vypadnout i na několik minut.
Pak už se spojení na vyšších vrstvách nemusí znovu navázat, což ovlivňuje měření.
TCP algoritmus Cubic je postupně nahrazován modernějším algoritmem BBR. Cubic se i u většího RTT snaží využít maximum kapacity, přičemž se bere ohled i na konkurenční toky.
V případě BBR se do sítě posílají detekční pakety, podle kterých se pak řídí tok. I když se zvýší chybovost, BBR to nezajímá a pokud se zároveň nemění RTT, je schopen stále přidávat a přidávat. Cubic už při ztrátovosti 0,01 % výrazně zpomaluje, takže ho BBR dokáže velmi efektivně zabít.
BBR se dokáže mnohem lépe adaptovat na přenosové podmínky v mobilní síti.
Měřit je možné také pomocí UDP, které je mnohem jednodušší a nepoužívá žádnou zpětnou vazbu. Pokud na to máme výpočetní zdroje, dokážeme síť fakticky zahltit.
Pomocí různých aplikací je možné emulovat různá zařízení a tím i chování různých protokolů vyšších vrstev. Parametry odesílaných paketů je možné definovat v aplikaci Flowping.
Jaromír Novák: rádiové spektrum a přístup k němu po roce 2022
Rádiové spektrum není jednoduchá záležitost technicky a ještě větší zmatek nastává, když se ho snažíte regulovat a podchytit zákony. Spektrum je v dnešní době klíč pro podnikání v elektronických komunikacích a nejen tam.
Je to omezený, ale nevyčerpatelný zdroj, který je devízou Mezinárodní telekomunikační unie (ITU). Ta se snaží, aby služby fungovaly napříč celým světem.
ITU pořádá každé čtyři roky pravidelné fórum, na kterém se snaží koordinovat využití spektra. Evropu na této úrovni zastupuje CEPT, přičemž pak jednotlivé státy pak dohodnutá pravidla implementují. Je tu i prostor na výjimky, ale je tu pochopitelná snaha, aby jich bylo co nejméně. Jednání trvají tři až čtyři týdny a rozpadají se na jednotlivé pracovní skupiny. Evropa tu tahá za kratší konec, ostatní regiony jsou velmi silné a prosazují své pozice.
Cílem těchto jednání je hledání kompromisů, přičemž takovým kompromisem může být i založení pracovní skupiny. Nejnovějším hitem je satelitní internet nebo bezpilotní letouny a drony.
V různých částech světa je k těmto otázkám velmi rozdílný přístup.
Základními instituty pro využití spektra jsou: všeobecné oprávnění, individuální oprávnění k využívání spektra, individuální oprávnění pro experimentální účely a příděl. Za část z těchto režimů platí uživatel pravidelné roční poplatky, má pak jistotu, že jeho kmitočty nesmí využívat nikdo jiný.
ČTÚ připravuje nové cíle do dalšího období: společná politika EU a návrhy pro oblast rádiového spektra, zemské televizní vysílání a pásma pod 700 MHz (další osekání televizního pásma), rozvoj zemského digitálního vysílání DAB (III. pásmo), milimetrová pásma pro 5G (26 GHz), rozšíření horní části 6 GHz pro přístupové sítě, podmínky využívání kmitočtů v pásmu 410/420 MHz a 450/460 MHz.
Detaily o využití jednotlivých částí spektra je možné najít na spektrum.ctu.cz.
