Taggat med: Sunet

DNStapir – Robust DNS

Jag tog ett snack under sommaren Olle E Johansson som är en av initiativtagarna bakom projektet DNSTapir. Olle berättar mer om projektet:

Fokus vad gäller DNS har varit mycket på hur man kan skydda sina frågor från insyn och hur vi kan lita på svaren. Vi såg att det finns mycket information i loggarna från DNS resolvers, dom som förmedlar svar, som är värd att analysera. Det görs idag, men i många fall av utländska aktörer som förser oss med gratis resolvertjänster. Vi vill se till att loggarna anonymiseras och att vi kan analysera data och se vad som händer, inte minst ur cybersäkerhetssynpunkt.

Med stöd av Sunet/Vetenskapsrådet bildade vi projektet Robust DNS som nu fått projektmedel av Post- och Telestyrelsen. Organisation: Vi är nu i en uppstartsfas av ett utvecklingsprojekt och ett Open Source-projekt. All utveckling kommer att ske öppet i vårt projekt ”DNStapir” på Github. Dagens gäng är initiativtagarna – däribland Lars Johan Liman på Netnod, Johan Stenstam på Internetstiftelsen, Jakob Schlyter på Kirei och Mikael Kullberg på Cat Herd. Leif Johansson på Sunet satte oss i samma rum och har fått igång projektet.

DNSTapir Robust DNS

Vi har också resurser från Sunet i projektet och kommer att utvidga vårt nätverk och bygga en långsiktig organisation. Jag har en sammahållande funktion i det hela.  Partners bakom projektet är idag PTS, Sunet/Vetenskapsrådet, Netnod och Internetstiftelsen. Vi kommer att söka samarbete med fler organisationer, både i näringslivet och i offentlig sektor. Framtidsplaner: Vi jobbar nu med steg 1: Utveckling av arkitektur och programvara.

Samtidigt planerar vi för kommande steg som innebär att bygga för drift och ge oss en stabil grund för vidare utveckling. Idéerna sprudlar och vi har många roliga diskussioner i arbetsgruppen. Målet är att vi ska bygga en plattform som olika operatörer – såväl privata som i offentlig sektor – har förtroende för. För att lyckas krävs ett samarbete, inte minst med Sveriges internetoperatörer. Vad gäller DNS generellt så är jag nog inte rätt person att svara, men har ju expertisen i projektet. Det pågår ju mycket arbete i IETF för att öka privacy i DNS och stärka infrastrukturen. Ett problem jag ser är ju att DNSSec inte har acceptans i alla kretsar och i viss mån motarbetas.

Personligen är jag ju intresserad av att förankra klient- och server-certifikat i DNS, vilket förutsätter DNSsec. Jag är med i arbetsgruppen DANCE som jobbar med klient-cert. Den lösningen handlar mer om TLS och applikationer än själva DNS, men förutsätter DNSsec.

Kontaktuppgifter: Om man har frågor får man gärna kontakta mig direkt. Som sagt, vi bygger upp en organisation inklusive web sajt och kommer att synas mer under hösten. Projektet DNStapir finns redan på GitHub och där kommer det löpande komma mer kod och ges möjlighet att medverka.

Projekt Särimner

Uppdatering: Källkod till projektet finns delvis på Github https://github.com/SUNET/sarimner-frontend

Särimner är ett pilotprojekt som bedrivs av Sunet (Vetenskapsrådet) tillsammans med Netnod. Projektet har tittat på hur en teknisk lösning kan skydda mot olika typer av hot såsom överbelastningsattacker.

Projektets namn, ”Särimner”, kommer från nordiska mytologin och grisen Särimner som utgjorde föda för de fallna krigarna i Valhall. Särimner åts upp varje kväll och återuppstod dagen efter.

Projektet har genomförts på uppdrag av Post- och telestyrelsen (PTS) och en slutrapport har igår levererats till myndigheten med lärdomar från projektet.

Jag har läst rapporten som är på 27 sidor och tycker att det verkar som en bra lösning som föreslås: Ett antal noder (särimnernoder) placeras ut i nära samarbete med internetoperatörer för att leverera distribuerat webbaserat innehåll. Även så föreslås det att en förvaltningsorganisation upprättas i samband med detta.

Särimner

Problemet som belyses i rapporten är inte noderna i sig utan att operatörerna har en allt för centraliserad infrastruktur där mycket förlitar sig på Stockholm. Rapporten lyfter upp Sunet som ett föredöme när det gäller att bygga ett robust nät:

Genom att delvis definiera om vad en region är utifrån ett infrastrukturperspektiv lyckades man få trippelredundant fiberinfrastruktur till en plats i varje region, dvs knappt 20-talet platser i Sverige

Tanken är även att lokalt utplacerade säriminernoder ska fungera autonomt, så att det alltid finns en nod som svarar, även vid stora mängder anrop. Noderna agerar även proxy till DNS och gör därmed att noden fortsätter att leverera trafik trots att den tappat kontakten med den riktiga servern. I en kris där originalkällan inte finns så ska det finnas en cachad version av senaste informationen (med en tidsangivelse).

Dock kan inte noderna uppdatera mellan varandra i dagsläget utan detta är något som ligger med i en plan för 2019 (peer-to-peer).

Vi fann att koordinering av fiberutbyggnad har varit så usel (om den alls funnits) att det drabbar robusthet gällande kommunikation i Sverige.

Säger Patrik Fältström som varit med i projektet från Netnods sida

Projektet föreslår att Sunet tilldelas medel för att upprätta en förvaltningsorganisation som vidareutvecklar och tar hand om Särimner framöver.

Medverkande i projektet förutom Sunet och Netnod så har Governo AB hjälpt till med processledning samt Assured AB för kryptografiska lösningar. Intervjuer har genomförts med representanter från MSB, SVT, SLL, LUNET, IT-Norrbotten, IIS och Tidningsutgivarna, TU.

Rapporten i sin helhet kan du ladda hem här:

Att motverka överbelastning av
 samhällsviktiga webbplatser
Att motverka överbelastning av
samhällsviktiga webbplatser