Taggat med: Internetstiftelsen

DNStapir – Robust DNS

Jag tog ett snack under sommaren Olle E Johansson som är en av initiativtagarna bakom projektet DNSTapir. Olle berättar mer om projektet:

Fokus vad gäller DNS har varit mycket på hur man kan skydda sina frågor från insyn och hur vi kan lita på svaren. Vi såg att det finns mycket information i loggarna från DNS resolvers, dom som förmedlar svar, som är värd att analysera. Det görs idag, men i många fall av utländska aktörer som förser oss med gratis resolvertjänster. Vi vill se till att loggarna anonymiseras och att vi kan analysera data och se vad som händer, inte minst ur cybersäkerhetssynpunkt.

Med stöd av Sunet/Vetenskapsrådet bildade vi projektet Robust DNS som nu fått projektmedel av Post- och Telestyrelsen. Organisation: Vi är nu i en uppstartsfas av ett utvecklingsprojekt och ett Open Source-projekt. All utveckling kommer att ske öppet i vårt projekt ”DNStapir” på Github. Dagens gäng är initiativtagarna – däribland Lars Johan Liman på Netnod, Johan Stenstam på Internetstiftelsen, Jakob Schlyter på Kirei och Mikael Kullberg på Cat Herd. Leif Johansson på Sunet satte oss i samma rum och har fått igång projektet.

DNSTapir Robust DNS

Vi har också resurser från Sunet i projektet och kommer att utvidga vårt nätverk och bygga en långsiktig organisation. Jag har en sammahållande funktion i det hela.  Partners bakom projektet är idag PTS, Sunet/Vetenskapsrådet, Netnod och Internetstiftelsen. Vi kommer att söka samarbete med fler organisationer, både i näringslivet och i offentlig sektor. Framtidsplaner: Vi jobbar nu med steg 1: Utveckling av arkitektur och programvara.

Samtidigt planerar vi för kommande steg som innebär att bygga för drift och ge oss en stabil grund för vidare utveckling. Idéerna sprudlar och vi har många roliga diskussioner i arbetsgruppen. Målet är att vi ska bygga en plattform som olika operatörer – såväl privata som i offentlig sektor – har förtroende för. För att lyckas krävs ett samarbete, inte minst med Sveriges internetoperatörer. Vad gäller DNS generellt så är jag nog inte rätt person att svara, men har ju expertisen i projektet. Det pågår ju mycket arbete i IETF för att öka privacy i DNS och stärka infrastrukturen. Ett problem jag ser är ju att DNSSec inte har acceptans i alla kretsar och i viss mån motarbetas.

Personligen är jag ju intresserad av att förankra klient- och server-certifikat i DNS, vilket förutsätter DNSsec. Jag är med i arbetsgruppen DANCE som jobbar med klient-cert. Den lösningen handlar mer om TLS och applikationer än själva DNS, men förutsätter DNSsec.

Kontaktuppgifter: Om man har frågor får man gärna kontakta mig direkt. Som sagt, vi bygger upp en organisation inklusive web sajt och kommer att synas mer under hösten. Projektet DNStapir finns redan på GitHub och där kommer det löpande komma mer kod och ges möjlighet att medverka.

Projektet ​Fem små hus

Projektet ​Fem små hus är ett nytt intressant initiativ på uppdrag av TU-stiftelsen. Stiftelsen är relativt anonym för den som inte är insatt i internet-Sverige.

Stiftelsen för telematikens utveckling (TUstiftelsen) skapades 1996 samtidigt som II-stiftelsen, numera Internetstiftelsen. TU-stiftelsen är ägare till Netnod som bl.a. sköter om internetknutpunkter i Sverige och utomlands.

Projektet ​utförs i samarbete med ett antal olika företag, organisationer och myndigheter. Man har tagit fram en robust arkitektur som förstärker dagens infrastruktur för att uppfylla samhällets krav.

Arbetet med förslaget har bedrivits med låg profil under flertalet år men nu finns ett första resultat att ta del av (se länk nedan).

Namnet på projektet syftar till decentraliserade autonoma regioner som bättre ska klara oavsiktliga och avsiktliga incidenter och attacker. Likt denna bild:

Tanken är att det ska finnas ett finmaskigt nät med många redundanta vägar mellan varje så kallad region, vissa delar av denna infrastruktur kan finnas i dagsläget men kan behöva moderniseras. Projektet pekar också på vikten av diversitet i alla led såsom leverantörer för drift, underhåll, kommunikation eller materialförsörjning.

Detta har blivit extra påtagligt under COVID19-krisen då det kan vara svårt att få ut personal eller få tag på utrustning från vissa länder som tillverkar vitala komponenter.

Förslaget innehåller även stöd för att i samma infrastruktur driva lokala och nationella nät skyddade av stark kryptering, exempelvis för myndigheter. Stor vikt läggs även på IPv6 som bärare vilket jag tycker är bra.

Delar av detta projekt är även ett resultat av Särimner som jag skrev tidigare om. Där man även såg att många stödtjänster hos operatörer var centraliserade, vilket detta projekt omhändertar.

Vidare arbete

Man föreslår ett samordningskansli, testmiljö samt pilotprojekt för att driva projektet vidare. En kommunikationsarkitektur kan med fördel förfinas genom ett kansli som bryter ner projektet i mindre delprojekt, är något som föreslås.

Dock hittar jag inget om hur finansieringen ska lösas framöver men Patrik Fältström från Netnod uppger att tanken är att dels kommer TU-Stiftelsen hålla dokumenten uppdaterade, dels hoppas man att olika organisationer ska driva vidare och implementera olika delar.

Mer läsning hittar man på TU-stiftelsens Github-repo:

Transparens: Jag är ordförande i ISOC-SE som bildade Internetstiftelsen.

Projekt Särimner

Uppdatering: Källkod till projektet finns delvis på Github https://github.com/SUNET/sarimner-frontend

Särimner är ett pilotprojekt som bedrivs av Sunet (Vetenskapsrådet) tillsammans med Netnod. Projektet har tittat på hur en teknisk lösning kan skydda mot olika typer av hot såsom överbelastningsattacker.

Projektets namn, ”Särimner”, kommer från nordiska mytologin och grisen Särimner som utgjorde föda för de fallna krigarna i Valhall. Särimner åts upp varje kväll och återuppstod dagen efter.

Projektet har genomförts på uppdrag av Post- och telestyrelsen (PTS) och en slutrapport har igår levererats till myndigheten med lärdomar från projektet.

Jag har läst rapporten som är på 27 sidor och tycker att det verkar som en bra lösning som föreslås: Ett antal noder (särimnernoder) placeras ut i nära samarbete med internetoperatörer för att leverera distribuerat webbaserat innehåll. Även så föreslås det att en förvaltningsorganisation upprättas i samband med detta.

Särimner

Problemet som belyses i rapporten är inte noderna i sig utan att operatörerna har en allt för centraliserad infrastruktur där mycket förlitar sig på Stockholm. Rapporten lyfter upp Sunet som ett föredöme när det gäller att bygga ett robust nät:

Genom att delvis definiera om vad en region är utifrån ett infrastrukturperspektiv lyckades man få trippelredundant fiberinfrastruktur till en plats i varje region, dvs knappt 20-talet platser i Sverige

Tanken är även att lokalt utplacerade säriminernoder ska fungera autonomt, så att det alltid finns en nod som svarar, även vid stora mängder anrop. Noderna agerar även proxy till DNS och gör därmed att noden fortsätter att leverera trafik trots att den tappat kontakten med den riktiga servern. I en kris där originalkällan inte finns så ska det finnas en cachad version av senaste informationen (med en tidsangivelse).

Dock kan inte noderna uppdatera mellan varandra i dagsläget utan detta är något som ligger med i en plan för 2019 (peer-to-peer).

Vi fann att koordinering av fiberutbyggnad har varit så usel (om den alls funnits) att det drabbar robusthet gällande kommunikation i Sverige.

Säger Patrik Fältström som varit med i projektet från Netnods sida

Projektet föreslår att Sunet tilldelas medel för att upprätta en förvaltningsorganisation som vidareutvecklar och tar hand om Särimner framöver.

Medverkande i projektet förutom Sunet och Netnod så har Governo AB hjälpt till med processledning samt Assured AB för kryptografiska lösningar. Intervjuer har genomförts med representanter från MSB, SVT, SLL, LUNET, IT-Norrbotten, IIS och Tidningsutgivarna, TU.

Rapporten i sin helhet kan du ladda hem här:

Att motverka överbelastning av
 samhällsviktiga webbplatser
Att motverka överbelastning av
samhällsviktiga webbplatser