Mens virksomheder udveksler mere og mere data på deres digitale infrastruktur, er det vigtigt at se nærmere på, hvordan man beskytter deres Internet-forbindelser til betroede partnere og deres digitale ressourcer i skyen.
Som operatører af Internet-infrastrukturen har vi til opgave at sikre, at vi leverer en service, som vores kunder er glade for at have tillid til. Selvom drift af Internet Exchange-platforme klart er en B2B-forretningsaktivitet, er det i sidste ende vigtigt at opretholde tilliden hos slutbrugeren som typisk er koblet på nettet via deres laptop eller mobiltelefon.
For Internet-infrastruktur- operatører er det afgørende for vores egen forretning og for vores kunders forretning at styrke og opretholde tilliden til Internettet. For en Internet Exchange (IX) er kontinuerlig forskning og udvikling, sikkerhedsrevisioner og certificeringer samt udvikling og vedligeholdelse af ”best practices” lige så centralt for opgaven med at sikre netværkssikkerhed, som levering af yderligere sikkerhedstjenester for at beskytte mod bevidst og utilsigtet skade.
Vi ser i stigende grad, at kunder, der tilslutter sig i dag, ikke kun ser på de on-top sikkerhedsfunktioner, som en IX tilbyder, men også på, hvordan interconnection-platformen betjenes. Især fra kunder i erhvervssektoren er der voksende interesse for emner som ISO 27001. De vil se beviser på, at drift følger visse kriterier og ”best practices”, så de ved at en valgt IX betjenes på en sikker og pålidelig måde.
Virksomheder er vant til at evaluere deres forretningspartnere på sikkerheds- og policy-relaterede emner. Store virksomheder er i høj grad afhængige af deres infrastrukturpartnere for at levere tjenester og sikre lave risici for deres egen drift. Nogle af de største kunder tilslutter sig ikke kun på én lokation til DE-CIX's IX-universet, men tilslutter sig til flere, hvis ikke alle, af de over 40 lokationer, som DE-CIX opererer globalt.
Uanset hvilken type netværk det er, har alle behov for grundlæggende routing-sikkerhed, som effektivt at beskytte mod IP-hijacks ved hjælp af RPKI (Resource Public Key Infrastructure). Beskyttelse mod DDoS-angreb er en anden historie, fordi ikke alle netværk nødvendigvis er interessante mål for angribere. Kunder, der kører eller hoster spilservere for deres slutbrugere, oplever mange DDoS-angreb. Dette er en gruppe kunder, der bruger blackholing i stor stil og kan drage fordel af den nye avancerede Blackholing-service.
Virksomheder har desuden en tendens til at have en større interesse i sikkerhedstjenester, fordi deres drift og produkter ofte eksisterer i den ”virkelige verden”. Tag f.eks. bilproducenter: deres digitale bil relaterede tjenester bliver mere og mere vigtige, og en producent skal sikre sig, at bilerne ikke bliver ubrugelige eller defekte på grund af enten et angreb eller en fejlkonfiguration.
Beskyttelse af netværk mod sårbarheder via en Internet Exchange
1. DDoS-angreb
Den nok mest kendte angrebstype, der kan begrænses på en IX, er det volumebaserede DDoS-angreb. Formålet med et DDoS-angreb er at stoppe en bestemt destination fra at kommunikere med Internettet. Et eksempel kan være, din webshop, der er hostet på en webserver, hvor en ondsindet konkurrent vil stoppe din shop, fordi du er mere succesfuld. Et DDoS-angreb på din webserver betyder, at din webshop ikke længere er tilgængelig for dine kunder - og alle kunderne går et andet sted hen for at handle (f.eks. til din konkurrent).
Når det kommer til DDoS, har ”Amplification-attacks” været meget stærke i de sidste par år, og en ny fremvoksende trussel er ”Ransom-DDoS” angreb hvor der forlanges løsepenge. Men på trods af stigende vækst i antallet af angreb og angrebsvolumen er mit indtryk, at DDoS-angreb i øjeblikket ikke udvikler sig så aggressivt som tidligere. Der er blevet lagt et stort arbejde i at rette nye sårbarheder, når de opstår. Ud over dette har den gratis og åbne tilgængelighed af DDoS-begrænsnings tjenester fra virksomheder som Cloudflare eller FastNetMon også hjulpet med at løse problemet til en vis grad. Men misforstå mig ikke: vi ser stadig disse angreb på daglig basis.
Så hvordan begrænser vi DDoS? Vi plejede at bruge standard blackholing. Hvis du har blackholing, kan du beskytte en IP-adresse, ved at stoppe trafikken der sendes til den, mens den er under angreb. Det gode er, at der ikke er nogen utilsigtet skade for de anvendte netværk. Men ulempen er, at destinationen stadig ikke kan kommunikere, hvilket betyder at angriberen gennem begrænsnings foranstaltningen i sidste ende har nået det oprindelige mål.
Med DE-CIX's nye patenterede Blackholing Advanced service kan vi gå et skridt videre og ikke kun begrænse data, der sendes til en IP-adresse, men vi kan også begrænse det til visse TCP- og UDP-protokoller. Fordi hvis vi taler om amplifikationsangreb, kan vi se på, hvilke TCP/UDP-kilde- og destinationsporte der specifikt skal blokeres. Vi blokerer blot denne specifikke port, og alle andre porte er stadig tilgængelige, hvilket betyder, at netværket stadig kan kommunikere.
Den anden innovation i Blackholing Advanced er, at det ikke længere er en binær switch mellem "data is flowing" eller "no data is flowing". Vi kan også begrænse, hvor meget trafik der går til destinationen, også kendt som rate limiting - i stedet for hundredvis af gigabyte trafik kan vi reducere det til kun 10, 15 eller 20 Mbit, så destinationen ikke er fuldstændig overvældet. Destinationen kan stadig håndtere den belastning, der kommer ind, de kan frasortere uønsket traffik og tillade legitime anmodninger at komme igennem og blive besvaret. Kommunikation og service er derfor stadig mulig.
2. IP-hijacking
En anden risiko for netværk på Internettet er routing usikkerhed gennem IP-hijacking. Et eksempel på, hvordan dette virker kunne være følgende: Lad os sige, at du, som en ondsindet aktør, vil aflytte trafikken, der går til en IP-destination et sted på Internettet - måske, for at komme tilbage til vores tidligere eksempel, en bestemt webshop - fordi du vil stjæle kreditkortoplysningerne fra butikkens kunder. Du kan begynde at annoncere IP-rummet for webshoppen, og hvis du gør det rigtigt, kan du modtage alle anmodninger, der går til webshoppen. Du kan enten droppe trafikken, så ordrerne fra kunderne ikke besvares, eller du kan sende den videre til webshoppen efter at have indsamlet den ønskede information.
Denne type IP-hijacking kan ske enten ved et uheld eller med vilje. Der har været episoder i fortiden, hvor folk formodentlig har gjort det med vilje - for eksempel omdirigering af trafik fra en bank eller trafik fra en Bitcoin blockchain. Men andre episoder har helt sikkert været tilfældige. YouTube blev taget offline af Pakistan Telecom i 2008, fordi nogen havde konfigureret noget forkert. De overbelastede fuldstændig nettet, fordi Pakistan Telecom Network ikke var stort nok til at håndtere alle de forespørgsler, der gik til YouTube.
Med det øgede antal netværk og mængden af IP-adresser, der er tilsluttet Internettet, samt den stigende afhængighed i samfundet af digital infrastruktur og også værdien af de data, der deles, er det rimeligt at forvente, at vi kan forvente, at IP-hijacking - om det er ondsindet eller utilsigtet - vil vokse. Der er simpelthen flere spillere på banen. Faktisk fandt Internet Society MANRS-projektet, at der fra år 2019 til 2020 var næsten 40% flere tilfælde af IP-hijacking, hvilket er bekymrende.
Teknologier som RPKI Origin Validation og IRR-filtrering, som vi tilbyder på DE-CIX's rute-servere, kan anvendes til at afhjælpe problemet. RPKI's (Resource Public Key Infrastructure) funktion er at ”validere oprindelsen”, dette sikrer, at det ikke er så let at annoncere den forkerte IP-adresse ved en tastefejl eller lignende uheld. RPKI gør det også muligt at kontrollere, om du har tilladelse til at annoncere denne IP-adresse, og hvis ikke, kan vi meget nemt filtrere annonceringen ud.
IRR-filtrering (Internet Routing Registries) bruges på den anden side til at forhindre spredning af forkerte routing-oplysninger. Denne filtrering har allerede været implementeret i Internettets infrastruktur i flere år, mens RPKI Origin Validation først er blevet tilgængelig for nylig.
Derudover er der det kommende BGPSec, en standardiseringsaktivitet, der pågår i IETF. Med en oprindelsesvalidering baseret på RPKI sammen med BGPSec, der også bruger en del af RPKI's kryptografiske byggesten, vil du have fuld sikkerhed mod hijacks. BGPSec er dog stadig i standardiseringsfasen, og desværre har det en alvorlig ulempe: Det kræver mange ressourcer på Internettets routere og ud fra hvad folk siger, tror jeg stadig, at implementeringen vil tage mindst et par år - hvis det nogensinde implementeres - så det er bestemt ikke et hurtig fix.
En anden sikkerhedsproblematik er ASN-hijacking. Hvert netværk, der ønsker at være en del af Internettet, har brug for et autonomt systemnummer (ASN). Ved at hijacke en persons ASN kan du udgive dig for at være en anden. Dette kan bruges ondsindet, primært til at sende uønsket indhold som spam og udføre DDoS-angreb.
Vi har set ASN-hijacking især hos virksomheder, der har registreret et ASN, men af en eller anden grund ikke annoncerer det til Internettet. Det er meget svært at afgøre, hvem der står bag nummeret - den legitime ejer eller en ondsindet aktør. Det fremstår som om den legitime ejer opfører sig dårligt, hvilket kan resultere i, at de bliver blokeret eller får langt værre omdømme problemer. Derfor opfordrer jeg virksomheder til at holde øje med deres AS-nummer, selvom de i øjeblikket ikke bruger det.
Hvad mere bør et netværk gøre for at optimere kommunikationen ?
En anden - men ikke ny vinkel - er Bidirectional Forwarding Detection (BFD), som af en eller anden grund endnu ikke blevet godt etableret i markedet. Det er en skam, fordi det er en meget interessant metode for optimering af netværks kommunikationen. Hvis to netværk eller infrastruktur elementer har en forbindelse og vil sikre, at data flyder i begge retninger, kan der anvendes den såkaldte BFD-protokol. Uden BFD tager det et par minutter at opdage, at der er et problem med en forbindelse, og i mellemtiden bliver de data, som du troede, var udvekslet droppet, så kommunikationen ikke sker. Med BFD kan et problem opdages på sekunder eller endda millisekunder, så parterne kan stoppe med at sende data over den brudte forbindelse og tage en alternativ rute.
Netværks ansvarlige burde planlægge anvendelsen af BFD, så de let kan opdage eventuelle problemer og automatisk omdirigere trafikken. Tidligt næste år planlægger vi at implementere en funktion til at understøtte BFD for vores rute servere.
Lær mere: https://www.de-cix.net/en/connectivity
Kontaktinfo:
DE-CIX
Erik Norup
Business Development Manager
Info@de-cix.net
Erik.norup@de-cix.net
www.de-cix.net