Hlavní navigace

Sítě 5G změní všechno, potřebujeme je kvůli rychlosti i IoT

Petr Krčmář

Bezpečnost DNS, zabezpečení velké sítě, přechod na 5G, nasazení IPv6 a nejčastější útoky na internetu. To byla hlavní témata lokální konference Internet a komunikace, která proběhla u Uherského Hradiště.

Ve čtvrtek 25. května probíhal v hotelu U Skanzenu na Modré sedmý ročník konference Internet a komunikace, která je zaměřena na techniky místních poskytovatelů připojení. Cílem je se jednou za rok sejít s dalšími ajtíky a ukázat si, co je nového v okolí, v Brně a dál ve světě, řekl na úvod konference Martin Holčík, výkonný ředitel společnosti DAT, která konferenci pořádala. Předchozí ročníky byly zaměřeny na konkrétní témata, letos šlo spíše o průřez novinkami nejen v oblasti sítí a komunikací, ale IT obecně.

Bezpečnost DNS překladu

Typický životní cyklus malware má tři fáze: infekce, instrukce od řídicích serverů a samotná činnost. Malware obvykle vyčkává s aktivitou až do prvních instrukcí serverů. Pro komunikaci se velmi často používá DNS překlad, řekl na úvod své přednášky Robert Šefr ze společnosti Whalebone. Podle statistiky Cisco takto pracuje zhruba 91,3 % malware.

DNS služby využívá malware i nadále, ať už posílá spam nebo provádí DDoS. Vždy potřebuje znát odpovědi z DNS. My detekujeme, zda jde o legitimní dotazy nebo je ve hře malware. Je možné to dělat v cloudu nebo na řešení přímo u zákazníka.

Pokud jde již o známou rodinu botnetů, je možné škodlivou činnost velmi snadno detekovat a poslat provoz na blokační stránku. V mnoha případech jsme schopni přesně určit i konkrétní typ malware, například stále se nám objevuje malware Zeus.

Data je možné kompletně sledovat a auditovat až na úroveň jednotlivých DNS dotazů. V současné době se soustředíme především na vývoj neuronové sítě, která je schopna odhalit DNS komunikace botnetů. Výsledek by měl být schopen odhalit, zda jde o běžné domény nebo o domény generované jen pro komunikaci s botnety. Jsme schopni takto odhalit i infikovaný koncový stroj, který se jednoduše chová jinak než při běžném serfování po internetu. Takto byla odhalena například aktivita botnetu Mevade, který byl nejaktivnější v roce 2013 a i dnes existují infikované stroje, které jsou do něj zapojené.

Během výzkumu byla objevena řada zajímavých věcí. Reklamní systémy se dnes snaží aktivně vyhnout všem možným blacklistům a adblockerům, takže si generují velké množství nových domén a chovají se vlastně stejně jako ten malware. Některé běžné domény není jednoduché odlišit od malware, protože jejich tvůrce se nezamyslel nad tím, zda si je někdo bude schopen zapamatovat: csvnmnm.cz, vospaspsm.cz, zbkjmkcr.cz a podobně. Chceme mít co nejméně falešně pozitivních varování, proto musíme informace od neuronové sítě kombinovat s dalšími údaji.

Další možností je detekce anomálií v DNS provozu, například rapidní nárůst MX dotazů při rozesílání spamu. Zjistili jsme například, že běžné marketingové kampaně jsou zaměřené hodně lokálně, kdežto spamové kampaně jsou mnohem plošnější.

Filtrací DNS je možné odfiltrovat velké množství hrozeb na síti, protože doménová jména se používají také třeba pro stahování malware, řízení botnetů a třeba i šíření ransomware. Neuronové sítě nám v tom hodně pomáhají, překvapilo nás, jak je to celé výkonné. Drahá je příprava, ale samotný provoz je velmi levný.

Zabezpečení velké sítě

Lidé mají v případě rizik velmi špatný úsudek. Je větší šance, je se zabijete v autě než že spadne letadlo. Většina lidí se ale víc bojí letadel než aut, začal svou přednášku Lukáš Macura ze Slezské univerzity v Opavě. Totéž platí i o zabezpečení sítí, protože lidé kladou obvykle důraz na něco úplně jiného, než je potřeba řešit. V první řadě je potřeba mít nějaký zdravý náhled na věc.

Síť je potřeba zabezpečit především před třemi typy nebezpečí: útočníky, uživateli a národními organizacemi. Všechny velké státy mají své bezpečnostní složky s obrovskými rozpočty. Když se tyhle organizace rozhodnou něco udělat, dopad bude mnohem větší, než když se rozhodne konat někdo jiný.

Statistiky ukazují, že tři čtvrtě útoků pochází zvenčí, zbývající čtvrtina od interních uživatelů. Zároveň jsou dvě třetiny malware nainstalovány ručně z e-mailu. Scénář se opakuje stále dokola, vždycky na uživatele vyskočí nějaká hláška, on se lekne a instaluje. Vždycky se najde někdo, kdo poslechne. Zároveň roste doba, po kterou firma ani netuší, že byla úspěšně napadena. Průměrně to firmě trvá 170 dnů, a ta doba roste. Nůžky se stále rozevírají.

Pro zvýšení bezpečnosti je nutné používat stále aktuální software, záplatovat co nejdříve a nepoužívat administrátorské účty k běžné práci. Linux je na desktopu stále ještě bezpečnější, protože je menším cílem. S růstem se to ale bude postupně zhoršovat.

Ve Windows je situace horší, stačí několik dnů zaseknuté aktualizace a systém je plný nově objevených kritických děr. Běžně se nám stává, že Windows stahují aktualizace, ale týden tam visí nula procent a nic se neděje. Počítač je pak velmi rychle zranitelný. Útoky jsou čím dále sofistikovanější, ale využívají malé množství bezpečnostních chyb. Školení uživatelů nepomáhá, my jim stále říkáme, že po nich nebudeme chtít nikdy heslo. Stejně ho na výzvu řeknou nebo zadají komukoliv.

Zabezpečení serveru by mělo být bezproblémovější, protože logika velí, že administrátor by měl být zkušený uživatel. S příchodem klikátek se stalo, že servery spravuje spousta neznalých lidí, kteří se řídí heslem: teď to rozjedeme, pak to zabezpečíme. Často se to už neudělá nikdy. I tady platí: aktualizace, aktualizace, aktualizace.

Častým problémem je licenční politika, která u software třetích stran vyžaduje platbu poplatků za nové verze s bezpečnostními záplatami. Zároveň platí, že ani lokální síť není bezpečné útočiště. Server se musí být schopen ubránit sám, bez ohledu na okolní síť. Ta totiž může být napadena a útok přijde zevnitř.

Další sadu problémů přináší síť samotná, kde už si nemůžete být jisti tím, co je kde připojené. To si můžete myslet, ale pokud máte velkou síť plnou prvků, desktopu a serverů, už ji jednoduše neuhlídáte. Zvlášť, pokud používáte levné routery, je vaše síť nespravovatelná, protože je už nikdy neaktualizujete a nevíte, kde se co děje.

Velká síť řádově podle Macury znamená tisíce zařízení a desítky routerů. Zabezpečit takovou síť už neznamená vyřešit jednotlivé problémy, ale velkou roli tu hraje statistika. Musíte si určit priority a rozhodnout se, co budete řešit jako první. Kde jsou citlivá data, která musíte zabezpečit? Co je kritická infrastruktura? Správa takové sítě je otázkou důvěry, protože se o ni už nestará jeden tým, ale třeba i desítky lidí v mnoha týmech, které spolu musí komunikovat.

V první řadě je nutné mít komplexní přehled o všech sítích a vše je nutné mít zmapované a dokumentované. Když se pak objeví problém, musíte hned vědět, kdo, kdy a jak ho musí vyřešit. Praxe ukazuje, že se skutečnost s dokumentací velmi často rozchází. Typické jsou servery, které mají být dávno vypnuté a sítě, které mají být odpojené. Místo toho stále fungují, mají přidělené prostředky a například přístup k síti.

Nutné je proto nasadit pravidelný audit sítě a skenovat nalezená koncová zařízení. Nalezené počítače jsou pak zařazeny do různých škatulek podle bezpečnostních problémů a potenciálních rizik. Konkrétně Macura zmínil nástroje Qualys a Skybox, který je určen pro opravdu velké sítě.

Malou síť je možné udržovat a uhlídat ručně, u velkých řešení to není možné. Cílem je stav, kdy si můžete říct, že největší problémy máte vyřešené a můžete klidně spát, uzavřel Macura.

Proč 5G sítě všechno změní

Zkratka 5G se vžila pro všechny technologie týkající se sítí páté generace. První generace mobilních telefonů se objevily v roce 1980 pod názvem NMT a vycházela z klasických telefonních systémů. Sestavil se okruh pro konkrétní telefonní hovor a ten existoval do té doby, dokud existoval hovor samotný. Žádná data se nepřenášela, řekl na úvod přednášky Martin Buroň ze společnosti VUMS DataCom.

O deset let později jsme se dočkali digitalizace v podobě GSM sítě, kde se ale stále spojovaly okruhy. Data se přenášela jen v podobě SMS a později byly sítě druhé generace vylepšeny o rychlejší přenos dat. Na přelomu tisíciletí pak přišlo 3G, které přišlo s mnoha novinkami včetně rychlých dat. Okolo roku 2010 přišly první sítě z generace 4G, ale teprve teď se objevují skutečné sítě čtvrté generace.

V současnosti nastupují skutečné 4G sítě typu LTEa (LTE Advanced), kde běží pouze paketový datový provoz s rychlostí stahování až gigabit. Postupně se nasazují stacionární routery a modemy, takže se zařízení znemobilňují. Rychlosti rostou a všechno vypadá velmi dobře.

Proč tedy vlastně potřebujeme sítě páté generace. V roce 2015 bylo připojeno 5 miliard mobilních zařízení, v roce 2020 se ale předpokládá 50 miliard. Připojujeme stále více zařízení, která spolu potřebují komunikovat. Rozvíjí se technologie senzorů a automatického řízení, takže například výrobní linky jsou schopny se samy rozhodovat, ale k tomu musí umět komunikovat. Další uživatele se budou rekrutovat v chytrých autech, automatických domech a třeba i chytrých městech.

Od sítí páté generace budeme požadovat především vyšší špičkové rychlosti přenosu dat až na 20 Gb/s. Na uživatele tak bude dostupných 10 až 100 Mb/s, přičemž koncový terminál se bude moci pohybovat rychlostí až 500 km/h. Chceme také snížit latenci na jednu milisekundu a zvýšit stokrát energetickou účinnost. Ne proto, aby nám mobil vydržel déle, ale spíše kvůli čidlům, která nám musí vydržet na baterii roky.

Kapacitu je možné získat zvýšením rozsahu využívaných kmitočtových pásem. Dnes se využívají pásma 800, 900, 1800, 2100 a 2600 MHz. Nově to budou pásma 700, 1400, 3500 a 3700 MHz. Spektrum ale není nafukovací, takže i kdybychom získali všechna tato pásma, můžeme kapacitu při nejlepším zdvojnásobit.

Další možností je zvýšit modulační rychlost. To ale přináší další problémy, z praxe víme, že zdvojnásobení rychlosti rozhodně nepřinese dvojnásobnou rychlost, ale zvýšení je maximálně okolo 30 %. Můžeme také používat MIMO a navýšit počet toků. Sítě jsou na to připravené, ale problémy jsou s koncovými zařízeními, do kterých není možné dostat velké množství antén. Pokud tyhle všechny možnosti sečteme, získáme šestkrát vyšší rychlost. My ale potřebujeme dvacet.

Budeme proto muset pravděpodobně přejít na vyšší kmitočtová pásma. V pásmech 70 a 80 GHz je k dispozici spousta místa, dramaticky roste počet zemí, které tato vysoká pásma zařadily do legislativy a umožňují jejich využití. Můžeme také provést agregaci přes více pásem. Dnes přístroje umožňují komunikaci vždy jen jedním způsobem a jen s jednou buňkou. Mobilní systémy páté generace umožní připojení k více buňkám současně a dokonce i po více pásmech a protokolech. Dokážete tak přenést více dat na uživatele.

Vývoj směřuje ke konvergenci pevných a mobilních sítí, vyvíjejí se standardy, které umožní bezešvý přechod mezi různými typy sítí. Moderním standardem je například 802.11ay. Postupně budou oba typy sítí spolupracovat a později budou pevné sítě těmi mobilními pohlceny. Budete tak moci v ideálních podmínkách přenášet data až rychlostí 40 Gb/s.

Všechny tyto změny vyžadují, aby se mobilní buňky dostaly blíže k uživatelům. Do místa se přivede optická přípojka a distribuce ke koncovým uživatelům se pak bude provádět rádiově. Posledních 500 metrů připojení je nejdražších, takže postupem času se budou stanice objevovat na semaforech, lampách a domech a my se mezi nimi budeme pohybovat. Budou to velmi malé a lehké krabičky, které budou moci viset téměř kdekoliv.

Nejčastější chybná rozhodnutí při zavádění IPv6

Sítě stále ještě váhají s nasazením IPv6 a odkládají ho až na dobu, kdy dojdou IPv4 adresy. K tomu už ovšem došlo, možná to ještě není cítit na lokální úrovni, ale na globální určitě ano, řekl Ondřej Caletka ze sdružení CESNET. Organizace IANA vyhlásila vyčerpání v roce 2011 a mezi tím došly adresy i v regionálních registrech.

Od té doby se zpřísnila pravidla na přidělení dalších adres. V evropském RIPE to funguje tak, že každý člen dostane bez zkoumání potřeb jeden blok 1024 adres a tím to končí. I při tomto extrémním zpomalení se okolo roku 2021 zásoba adres vyčerpá úplně. To je vlastně docela dobrý výsledek, protože jsme pro přechod na IPv6 získali dalších deset let. Už ale není možné čekat.

IPv6 je prostředek k eliminaci nedostatečně dimenzovaného IPv4. Oba protokoly nejsou kompatibilní, takže bude potřeba začít s přechodovým obdobím. Je před námi dlouhý a bolestivý proces, kdy bude potřeba podporovat oba protokoly zároveň. Zatím je internet uměle rozdělen na klienty a servery. Klienti nemají veřejnou IP adresu, které jsou tím vyšetřené na servery. Tohle funguje docela dobře, co když ale nebudou adresy ani pro servery?

S adresami se obchoduje, ale jejich ceny rostou, v současné době se ceny pohybují až okolo 500 Kč za jednu adresu. Pokud nebudete nasazovat IPv6, bude vaše podnikání založeno na nákupu IPv4 adres od těch, kteří je dříve dostali zdarma. Za předpokladu, že vůbec bude od koho adresy nakupovat. IPv6 má sice svoje bolesti, ale neexistuje lepší řešení.

Poskytovatelé připojení se často vymlouvají na to, že o IPv6 není zájem. Už dnes má ale nasazení řadu výhod i pro poskytovatele: sníží se objemová náročnost CGN, eliminují se problémy s blacklistováním od velkých CDN sítí, ubude problémů s data retention a umožní udržitelný rozvoj do budoucna. Může to pro vás být také konkurenční výhoda, někteří zákazníci vás třeba kvůli IPv6 upřednostní.

Pro poskytovatele obsahu není vůbec problém IPv6 podporovat, protože neznamená prakticky žádné náklady navíc. Musíte ale zajistit, aby vaše služby fungovaly i uživatelům, kteří přijdou jen po IPv6. Už se stalo, že vypadla IPv4 konektivita přes CGN a uživatelé přicházeli jen po IPv6. Taková situace bude nastávat čím dál častěji, protože jak je starý protokol stále složitěji udržován při životě, stává se méně spolehlivým.

Problémem nasazení IPv6 je podpora zařízení. Když vám někdo řekne, že podporuje IPv6, nevíte nic. Je to celá rodina standardů a záleží na výrobci, co a jak bude implementovat. Podpora je například s kapacitou NDP záznamů nebo s funkčností IPv6 bez IPv4 konektivity.

Když už se někdo rozhodne nasadit IPv6, velmi často to udělá špatně. Často se přiděluje prefix /64, což je 18 trilionů adres. Vypadá to jako velké množství, ale takovou síť už není možné dále dělit. Navíc je to šetření na nesprávném místě, ke kterému není důvod. Všechny regionální registry schvalují a doporučují přidělování prefixu až /48. Pro rezidentní zákazníky je zvykem ale používat /56, k čemuž neexistuje technický důvod. Adres je dost, není důvod je nerozdávat. Jediný důvod může být obchodní, protože víc adres je možné lépe prodat. To ale platilo jen v IPv4.

Nejčastější podvody a útoky na internetu

Bezpečnostní tým CSIRT.CZ se nejčastěji setkává s několika málo opakujícími se vektory útoků, mezi které patří velmi rozšířený phishing, Přibývá phishingových webů, které mají platný certifikát. Uživatelé, kteří se dívají jen na zámeček a ne na doménu, pak spláčou, řekl Pavel Bašta z CZ.NIC. Jen během letošního roku CSIRT řešil 166 domén zneužívaných k phishingu, mimo jiné servis24.co.

Útočníci mají i postupy, které jim dovolují obejít dvoufázovou autorizaci. Uživatelé jsou požádáni o přihlášení a pak se jim zobrazí požadavek na ověření údajů. Poté jim dorazí SMS z banky s potvrzovacím kódem a neznalý uživatel vloží potvrzovací SMS útočníkovi. Kód je pak zneužit k převodu peněz na jiný účet.

Zajímavá je metoda, jakou pak zloději peníze získají. Zneužívají se k tomu nic netušící bílí koně získaní na inzerát. Jde o nesmyslné pracovní pozice, například pro řízení klientských finančních toků. Falešná firma vystaví pracovní smlouvu a pak si chce zaměstnance otestovat. Pošle mu na účet peníze a on je má pomocí Western Union předat dál. Tím se člověk snadno stane obětí a pomůže zahladit stopy za ukradenými penězi.

Nebezpečnou praktikou je takzvaný Pharming, kdy se útočníkovi podaří pozměnit nastavení DNS a uživatel pak sice zadá správnou adresu, ale dostane se úplně jinam. Před několika lety k tomu byla například zneužívána chyba rom-0 nebo jsme zaznamenali JavaScript, který zkouší hádat hesla k routeru na lokální síti.

Hrozbou zůstává malware, který se šíří především pomocí spamu nebo přes upravené klasické programy či warezové hry. Dalším zdrojem jsou zranitelné aplikace, které jsou zneužívány pomocí exploit kitů. Pokud máte zastaralou verzi nějaké aplikace, můžete se nakazit jen pouhou návštěvou napadené stránky. Škodlivý kód se šíří také přes sociální sítě nebo komunikační aplikace.

Hodně na vzestupu je ransomware, tedy vyděračský software. Ten vám zašifruje data a požaduje peníze za dešifrovací klíč. I tady probíhá vývoj, mění se ceny a mění se typy souborů, které se šifrují. Hledají se třeba databázové soubory a ransomware odhaduje, zda právě zaútočil na firmu nebo na jednotlivce, který zaplatí méně. Vydírá se ale nejen pomocí ransomware, ale je možné vyhrožovat DDoS útoky.

Velmi často se objevují i klasické podvody založené na změnách čísla účtu, vydání falešné faktury a podobně. Kolega například prodával notebook a ozvala se mu paní z JAR, že už zaplatila a poslala mu potvrzení z banky. On se naštěstí nenechal zviklat, notebook neposlal a peníze nikdy nepřišly. Podvádí se i s ukradenými účty ze sociálních sítí či komunikačních programů. Kamarád vás může třeba požádat o půjčku a řekne, že rychlejší je to při platbě kartou.

Pavel Bašta uzavřel přednášku základními pravidly, která pomůžou v obraně proti těmto druhům útoků: pravidelně záplatovat, používat dostatečně silná hesla, nasadit dvoufaktorovou autentizaci, pečlivě číst ověřovací SMS zprávy, neklikat na pochybné odkazy, při nákupu na internetu postupovat obezřetně a při podezřelé internetové žádosti ověřit situaci jiným komunikačním kanálem.

Našli jste v článku chybu?