Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Podobné dokumenty
PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Směrovací démon BIRD. CZ.NIC z. s. p. o. Ondřej Filip / IT10

DoS útoky v síti CESNET2

BIRD Internet Routing Daemon

Detekce volumetrických útoků a jejich mi4gace v ISP

Pravidla pro připojení do projektu FENIX

Internetworking security

Europen: IP anycast služba

PROVOZNÍ ŘÁD NIX.CZ, z.s.p.o. (Verze 10.0 ze dne s účinností od )

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

BIRD Internet Routing Daemon

Směrované a přepínané sítě Border Gateway Protocol (BGP)

Route reflektory protokolu BGP

Typická využití atributu Community protokolu BGP - modelové situace

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Projekt VRF LITE. Jiří Otisk, Filip Frank

Testy kompatibility BGP a OSPF mezi Cisco a Mikrotik

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Počítačové sítě II. 13. Směrování Miroslav Spousta,

Budování sítě v datových centrech

MPLS MPLS. Label. Switching) Michal Petřík -

Služby správce.eu přes IPv6

SÍŤOVÁ INFRASTRUKTURA MONITORING

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

Obsah. Úvod 13. Věnování 11 Poděkování 11

Počítačové sítě II. 13. Směrování. Miroslav Spousta, 2004

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

DDoS útoky a jak se jim bránit

Obsah. O sdružení Profil sdružení 4 Poslání sdružení 4 Historický vývoj 6 Datový tok 6 Slovo předsedy představenstva 8 Slovo ředitele sdružení 9

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

AS a BGP. V.Čížek MFF UK

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Jak funguje SH Síť. Ondřej Caletka

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Podmíněná propagace cest do protokolu BGP

Technologie MPLS X36MTI. Michal Petřík

Počítačové sítě 1 Přednáška č.5

Směrovací protokoly, propojování sítí

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

32-bitová čísla Autonomních Systémů v protokolu BGP

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Stav IPv4 a IPv6 v České Republice

Ladislav Pešička KIV FAV ZČU Plzeň

BGP dampening. Pavel Juška, Lukáš Kořistka

Nezávislé unicast a multicast topologie s využitím MBGP

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Univerzitní sít - leden 2012

Internet a propojování sítí. Adam Golecky #LinuxDays

Nové LSA v topologické databází OSPFv3

32-bitová čísla Autonomních Systémů v protokolu BGP

Standardizace Internetu (1)

Představa propojení sítí

Počítačové sítě IP routing

X36PKO Úvod Protokolová rodina TCP/IP

SEMESTRÁLNÍ PROJEKT Směrové přepínané sítě

BGP unequal-cost load balancing s použitím předávání kapacit linek v atributu Community

Route Refresh a Outbound Route Filtering

Úvod do síťových technologií

MPLS Penultimate Hop Popping

Principy a použití dohledových systémů

InternetovéTechnologie

Co znamená IPv6 pro podnikovou informatiku.

Standardizace IPv6 v IETF Matěj Grégr

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Seminář pro správce univerzitních sí4

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Nepřímé do jiných sítí (podle IP adresy sítě přes router - určitou gateway ) Default gateway (společná výchozí brána do všech dostupných sítí)

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Na cestě za standardem

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Co nového v IPv6? Pavel Satrapa

Průzkum možností generátoru a vyhodnocovače provozu v Cisci IOS Pagent Image. Vladimír Jarotek, Filip Břuska

CCNA Network Upgrade

MPLS ve VRF. Bc. Pavel Pustowka PUS0017, Bc. Radim Holek HOL0123

Rodina protokolů TCP/IP. Rodina protokolů TCP/IP. verze 3. Téma 6: Směrování v IP sítích. Jiří Peterka

Standard pro připojení do CMS. Definice rozhraní mezi CMS a Operátorem

FlowMon Monitoring IP provozu

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

Firewall. DMZ Server

Routování směrovač. směrovač

Řešení jádra sítě ISP na otevřených technologiích

Část 3: Odborné certifikační kurzy pro technologie CISCO

Semestrální projekt do předmětu SPS

Technická analýza kyberútoků z března 2013

VŠB Technická univerzita Ostrava Fakulta elektroniky a informatiky. Semestrální práce. BGP Routing Registry - principy a využití Zdeněk Nábělek

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Počítačové sítě Směrovací protokol OSPF. Jak se směruje v globálním Internetu. Leoš Boháč Jan Kubr

IPv6 Autokonfigurace a falešné směrovače

Site - Zapich. Varianta 1

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

Rodina protokolů TCP/IP, verze 2.3. Část 6: IP směrování

BCOP aneb jak správně nasazovat

Aktivní prvky: brány a směrovače. směrovače

SOUČASNOST A BUDOUCNOST SÍTĚ CESNET SÍŤOVÁ KOMUNIKAČNÍ INFRASTRUKTURA CESNET2

Komunikace v sítích TCP/IP (1)

Transkript:

Evoluce RTBH v NIX.CZ Petr Jiran NIX.CZ IT17 Praha 20170621

Co to je NIX.CZ/SK NIX.CZ = Neutral Internet exchange of the Czech Republic NIX.SK = Neutral Internet exchange of the Slovak Republic IXP = Internet exchange Point platforma pro propojovaní ISP (Internet Service Provider) Založen 1996 6x PoP v Praze 146 připojených ASN 247 připojených portů 12x 100GE 2692 Gb/s připojené kapacity 529 Gb/s max. datový tok 7.TLD operátorů L2 topologie virtualizovaná dvojitá hvězda Veřejný peering, Privátní VLAN,.TLD housing, multicast VLAN, Partner Program a Fenix projekt Člen Euro-IX, RIPE a projektu Atlas Založen 2015 2x PoP v Bratislavě 37 připojených ASN 49 připojených portů 265 Gb/s připojené kapacity 19 Gb/s max. datový tok 2.TLD operátoři L2 topologie Veřejný peering, Privátní VLAN,.TLD housing, multicast VLAN

Peering @ IXP ASN = Autonomní systém Network / Prefix = IP adresy sítě Peering IP = IP adresa hraničního routeru Next-hop IP = IP adresa dalšího skoku v cestě Peering = Navázání vztahu mezi ISP pro předávání informací o cestách BGP = Routovací protokol používaný v peeringu Route server peering = Navázání přímé BGP relace mezi route serverem a routerem ISP Black hole = Černá díra Direct peering = Navázání přímé BGP relace mezi routery dvou ISP

RTBH @ NIX.CZ RTBH = Remotely Triggered Black Hole filtering RTBH v praxi znamená, přesměrování toku dat na jiný next-hop (black hole), kde je zahozen Výsledkem je, že provoz směrovaný na původní cíl ho nedosáhne a tím jsou sítě těchto hostitelů chráněny Takto rešený blackholing je účinný způsob, jak zmírnit dopady Distributed Denial of Service (DDoS) útoků, atd. Tato funkce byla v roce 2014 nasazena v projektu FENIX a následně 2016 v peeringu NIX.CZ Princip fungování RTBH je u různých IXP v podstatě stejný, na začátku však neexistoval standard, jak RTBH signalizovat Signalizace RTBH probíhá převážně pomocí BGP komunit, kterými lze řídit propagaci oznam. sítí Pokud tedy hovoříme o evoluci RTBH, jedná se spíše o vývoj signalizace než jeho principu

RTBH filtrování @ NIX.CZ Standardní situace: AS6881 propaguje pfx. 195.47.235.0/24 směrem k RS bez BGP komunit RS propaguje tento pfx. všem klientům Prefix je přijímán/akceptován a zvolen jako best-path Odpovídající next-hop IP (91.210.16.245) a MAC jsou naučeny pomocí ARP Zákaznický provoz teče přes NIX.CZ infrastrukturu do AS6881

RTBH filtrování @ NIX.CZ DDoS útok: AS65001-3 jsou zdroje zákeřného ( dirty ) provozu útočícího na server 195.47.235.1 v AS6881 AS65004 je zdroj normálního ( clean ) provozu proudícího na server 195.47.235.1 v AS6881 Server 195.47.235.1 je přetížen a jeho služby jsou nedostupné pro všechny klienty Ostatní IP AS6881 mohou být tímto útokem postiženy také Zahlcení portů, přetížení CPU routeru, flapování BGP relací, atd.

RTBH filtrování @ NIX.CZ Obrana proti DDoS útoku: AS6881 začne propagovat pfx. 195.47.235.1/32 s BGP komunitou 47200:65004 65535:666 směrem k RS RS přijme tuto komunitu a změní next-hop pro tento pfx. 195.47.235.1/32 na black hole IP (91.210.16.250) pouze pro klienty AS65001-3 AS65001-3 přijmou/akceptují a zvolí prefix 195.47.235.1/32 jako best-path AS65001-3 se naučí odpovídající black hole next-hop IP a MAC via ARP AS65001-3 začnou směrovat svůj provoz na black hole IP (91.210.16.250) Provoz směrovaný na cílovou black hole MAC je pomocí vstupního L2 ACL zahozen již na vstupu do infrastruktury NIX.CZ AS65004 posílá čistý provoz na 195.47.235.1 bez problémů, jelikož RS nezměnil tomuto klientovi next-hop Veškerý provoz + DDoS z AS65001-3 na IP 195.47.235.1 je zahozen před tím, než dosáhne AS6881

Konfigurace RTBH @ NIX.CZ Příklad konfigurace routeru a výstupní route-mapy: (Cisco IPv4) ip prefix-list RTBH seq 5 permit <blackholed pfx.>! router bgp <your ASN> no bgp enforce-first-as neighbor <RS IP> remote-as <NIX.CZ RS ASN>! address-family ipv4 network <blackholed prefix> neighbor <RS IP> route-map RTBH-MAP out exit-address-family! route-map RTBH-MAP permit 10 match ip address prefix-list RTBH set community 47200:65004 65535:666 # Příklad konfigurace routeru a vstupní route-mapy akceptující /(>=32) pfx.: (Cisco IPv4) ip community-list standard BLACKHOLE permit 65535:666 ip prefix-list IPv4-/24 seq 5 permit 0.0.0.0/0 le 24 ip prefix-list IPv4-/32 seq 5 permit 0.0.0.0/0 le 32! route-map AS<your ASN>-RS-IPv4-IN permit 10 match ip address prefix-list IPv4-/32 match community BLACKHOLE set local-preference 666 set community no-export! route-map AS<your ASN>-RS-IPv4-IN permit 20 match ip address prefix-list IPv4-/24 set local-preference 10 #

RTBH signalizace @ IXP/ISP V roce 2014 signalizovali RTBH IXP a ISP různými způsoby Pomocí oznamování změněného next-hopu daného pfxu. Pomocí BGP komunit Kombinací obou výše uvedených variant Neexistovala žádná standardizace každý rešil po svém: IXP Internet exchange Point NIX.CZ = next-hop + 65511:47200 DE-CIX = next-hop MSK-IX = 0:666 TPIX = 29535:666 Netix = 65499:999 ISP Internet Service Provider Hurricane Electric = 6939:666 NTT = 2914:666 Init7 = 65000:666 Team Cymru = 64496:666

Standardizace RTBH @ Euro-IX 2014 na půdě Euro-IX začala diskuze o standardizaci RTBH Diskuze zda RTBH v IXP vůbec podporovat Diskuze jak by měla BGP komunita vypadat Záležitost spíše ISP než IXP RTBH je u ISP využíváno jak v peeringu, tak směrem k upstream a downstream partnerům Nejednotnost v implementaci není efektivní

RTBH @ IETF Thomas King (DE-CIX) 2015 IETF draft pro standardizaci tzv. well-know BGP community Dohoda IXP a ISP používajících RTBH na: 65535:666 well-known komunitě NO_EXPORT / NO_ADVERTISE Není v konfliktu se stavajicími koncepty RTBH 2016 standardizováno pod RFC 7999 (https://tools.ietf.org/html/rfc7999)

RFC 7999 @ IANA Výsledkem standardizace RFC 7999 je registrace BLACKHOLE well-known komunity u organizace IANA. http://www.iana.org/assignments/bgp-well-known-communities/bgp-well-known-communities.xhtml

V současné době vypadá podpora RFC 7999 takto: Výrobci, ISP a IXP respektujte RFC 7999!!! Používejte RFC 7999 a dejte o tom vědět: pj@nix.cz https://github.com/tking/blackhole-bgp-community RFC 7999 @ podpora

RTBH @ budoucnost Prosazování standardu RFC 7999 u ISP a IXP Synchronizace používání BGP signalizací u IXP v rámci Euro-IX Implementace nového standardu RFC 8092 - BGP Large Communities Attribute Vývoj nových (lepších) mitigačních mechanismů Spolupráce NIX.CZ na tvorbě nových standardů v rámci Euro-IX a IETF

??? Dotazy??? Petr Jiran e-mail: pj@nix.cz https://www.linkedin.com/in/petrjiran

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář