Taggat med: Netnod

RPKI för säkrare routing

RPKI står för Resource Public Key Infrastructure och är en metod för att kryptografiskt signera BGP-annonseringar.

RPKI

BGP är det protokoll som används för routrar att berätta vilka IP-adresser (prefixes) som finns hos en viss operatör. Det är därför viktigt att ingen kan falskt annonsera ut någon annans nät. Standard så fungerar BGP så att vem som helst kan annonsera ut vilket nät som helst. BGP är en viktig del i internets infrastruktur.

Exempelvis kan mail kapas och TLS-certifikat utfärdas om routes felaktigt tar en annan väg på internet. Krypterad trafik kan spelas in och försöka knäckas direkt eller på längre sikt.

Några uppmärksammade BGP-kapningar:

RPKI finns beskrivet i RFC6480 med titeln An Infrastructure to Support Secure Internet Routing. RPKI är också en del av det globala initiativet MANRS, Mutually Agreed Norms for Routing Security som bl.a. Internet Society (ISOC) ligger bakom.

Netnod som sköter flertalet knutpunkter i Norden kommer att stödja RKPI i sin route-server under H1 2019 meddelar Netnod i följande blogginlägg.

OpenBSD rpki-client

För att gå in på mer tekniska detaljer så används ROA-records för den som vill annonsera kryptografiskt verifierbara prefixes. Sedan kan dessa ROA-records verifieras med mjukvara såsom RIPE NCC’s RPKI Validator, NLNetLab’s Routinator 3000 eller OpenBSD:s rpki-client.

Nyligen så släpptes även verktyget BGPalerter av NTT ”Software to monitor streams of BGP data. Pre-configured for announcements, withdrawals, and hijacks real-time monitoring.”

Läs mer här om BGPalerter: https://mailman.nanog.org/pipermail/nanog/2019-August/102672.html

Projekt Särimner

Uppdatering: Källkod till projektet finns delvis på Github https://github.com/SUNET/sarimner-frontend

Särimner är ett pilotprojekt som bedrivs av Sunet (Vetenskapsrådet) tillsammans med Netnod. Projektet har tittat på hur en teknisk lösning kan skydda mot olika typer av hot såsom överbelastningsattacker.

Projektets namn, ”Särimner”, kommer från nordiska mytologin och grisen Särimner som utgjorde föda för de fallna krigarna i Valhall. Särimner åts upp varje kväll och återuppstod dagen efter.

Projektet har genomförts på uppdrag av Post- och telestyrelsen (PTS) och en slutrapport har igår levererats till myndigheten med lärdomar från projektet.

Jag har läst rapporten som är på 27 sidor och tycker att det verkar som en bra lösning som föreslås: Ett antal noder (särimnernoder) placeras ut i nära samarbete med internetoperatörer för att leverera distribuerat webbaserat innehåll. Även så föreslås det att en förvaltningsorganisation upprättas i samband med detta.

Särimner

Problemet som belyses i rapporten är inte noderna i sig utan att operatörerna har en allt för centraliserad infrastruktur där mycket förlitar sig på Stockholm. Rapporten lyfter upp Sunet som ett föredöme när det gäller att bygga ett robust nät:

Genom att delvis definiera om vad en region är utifrån ett infrastrukturperspektiv lyckades man få trippelredundant fiberinfrastruktur till en plats i varje region, dvs knappt 20-talet platser i Sverige

Tanken är även att lokalt utplacerade säriminernoder ska fungera autonomt, så att det alltid finns en nod som svarar, även vid stora mängder anrop. Noderna agerar även proxy till DNS och gör därmed att noden fortsätter att leverera trafik trots att den tappat kontakten med den riktiga servern. I en kris där originalkällan inte finns så ska det finnas en cachad version av senaste informationen (med en tidsangivelse).

Dock kan inte noderna uppdatera mellan varandra i dagsläget utan detta är något som ligger med i en plan för 2019 (peer-to-peer).

Vi fann att koordinering av fiberutbyggnad har varit så usel (om den alls funnits) att det drabbar robusthet gällande kommunikation i Sverige.

Säger Patrik Fältström som varit med i projektet från Netnods sida

Projektet föreslår att Sunet tilldelas medel för att upprätta en förvaltningsorganisation som vidareutvecklar och tar hand om Särimner framöver.

Medverkande i projektet förutom Sunet och Netnod så har Governo AB hjälpt till med processledning samt Assured AB för kryptografiska lösningar. Intervjuer har genomförts med representanter från MSB, SVT, SLL, LUNET, IT-Norrbotten, IIS och Tidningsutgivarna, TU.

Rapporten i sin helhet kan du ladda hem här:

Att motverka överbelastning av
 samhällsviktiga webbplatser
Att motverka överbelastning av
samhällsviktiga webbplatser

Myndighetssajter låg nere efter överbelastningsattack

DDoS DNS

Igår låg flertalet myndighetssajter nere såsom Krisinformation.se, Regeringen.se och MSB.se, men även flertalet internationella tjänster såsom Github, Spotify och Twitter. Anledningen till att de låg nere var en överbelastningsattack mot dess DNS-leverantör Dyn.

Ända sedan 2012 är det känt att flertalet svenska myndigheter har lagt alla ägg i samma korg och valt leverantören Dyn för DNS (eller indirekt via företaget Excedo). Dyn är ett amerikanskt företag som inte har några DNS-servrar i Sverige samt har alla DNS-servrar ett och samma AS (Autonomous System).

Stephan Lagerholm på Secure64 och Torbjörn Eklöv, Interlan skrev redan 2012 ett brev och ifrågasatte valet av leverantör för DNS.

Och som Cornucopia påpekade 2013 så ligger ansvaret för psykologiskt skydd hos MSB. Och om en utländsk leverantör handhar DNS:erna så har dessa även möjlighet att modifiera innehållet på myndigheternas webbsidor genom att helt enkelt peka om.

Brev till regeringen, Kustbevakningen och MSB finns här:

Som tur var så verkar MSB eller dess leverantör Excedo ändrat tjänsteleverantör för DNS till svenska Netnod och Dnsnode.

Men vem eller vad stog bakom den stora överbetlastningsattacken? Troligtvis så användes Mirai-bottnätet som utnyttjar svagheter i Internet of Things-enheter såsom övervakningskameror. Dessa svagheter som utnyttjas är bl.a. användarnamn och lösenord som är lätta att gissa eller hårdkodade, dock så väntar vi fortfarande på en djupara analys från Dyn.

Och att Myndigheten för samhällsskydd och beredskap, Regeringen etc var nere beror så klart på collateral damage (sidoskada) då målet troligtvis var något helt annat.

IIS dnscheck är ett bra verktyg för att se några av de vanligt förekommande felen. Här är för MSB.se:

Uppdatering: En observant läsare påpekade att med anledning av flytten för MSB.se så försvann DNSSEC. Även så använder man sig fortfarande enbart av en leverantör.

Uppdatering 2: En annan intressant kedjereaktion på DDoS mot DNS är att DKIM och SPF misslyckas att verifieras vilket får till följd att mängder av E-post hamnar i spam-korgar.

Uppdatering 3: Nu har även DN skrivit om att flertalet experter påpekade detta problem redan 2012.