Dette indlæg er alene udtryk for skribentens egen holdning.

Kritisk infrastruktur, igen, igen, igen

10. januar kl. 14:1721

Idag er danske pengeinstitutter under dDoS angreb.

Igen.

Hvis man kigger på trafikken hos en sådan bank, kommer ca. 98% af pakkerne fra danske ISP'ers netværk.

Angrebet kommer derimod altovervejende fra udenlandske ISP'ers netværk.

Artiklen fortsætter efter annoncen

Hvorfor har vi ikke forlængst lavet nogle IP allokeringer der kun annonceres til danske ISP'er ?

Bankerne skal naturligvis også tilbyde deres services på en globalt annonceret IP, af hensyn til deres kunder i udlandet.

Men når russiske amatør-agenter bliver sure, vil det kun være denne globalt annoncerede IP de kan angribe, med mindre de har tænkt sig at afsløre at de har et botnet indenfor Danmarks grænser.

Nye Digitaliseringsministre kan begynde her.

Artiklen fortsætter efter annoncen

/phk

21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
17. januar kl. 22:48

Hvis det er et ip net som kun skulle være kendt i DK er det ikke en option "at lave et ip net som kun annonceres til de Danske ISP" - det vil være de Danske ISP der skal lave et routing filter som ikke annonceret ip adresserne til nogle uden for DK.

BGP fungere ved man får naboens bedste routes (altså hele bgp tabellen) - det er derfor ingen indbyggede måder til at fortælle interenttet man ikke ønsker ens ip adresse bliver kendt af andre. Det er kun den der sender de bedste routes der kan sikre adresserne mod at blive kendt. Et BGP filter fortæller routeren hvilke routes den må sende og modtage og hvad kost(bgp prepend+local pref) skal være.

17
13. januar kl. 12:35

Det ville give DIX sin renæssance, hvis den blev brugt til kun at route disse "must carry" prefixes mellem ISP'er med danske "eyeballs".

14
12. januar kl. 20:30

En ting er hvad der er teknisk muligt at filtrere noget andet er hvad "brugerne" mener er acceptabelt. Rigtigt mange vil sikker synes at det er et større problem hvis tiktok, youtube eller facebook er nede end hvis det er deres bank de ikke kan få fat i. Hvor mange har her i landet har ikke deres email som "hotmail", "gmail" eller "outlook" og hvor er disse servere placeret? Hvor er alle de servere der betjener "skyen"? De personer der skriver her på version2 er nok ikke repræsentative for "befolkningen".

Det næste man så skal til at se efter er hvor alle disse botnet maskiner er placeret? Hvor mange er der i Danmark, i EU?

6
11. januar kl. 15:45

Jeg kan se der er mange der taler om båndbredde/request begrænsninger som alternativ til ikke-annoncerede ranges.

Det hjælper dig ikke noget, hvis trafikken slet ikke når dit netværk, fordi din hosting providers 4x25GB kapacitet er opbrugt. Du kan filtrere så meget du vil der.

Ja, du kan filtrere længere ude, men hvis angrebet er stort nok er det svært at komme langt nok ud.

Som PHK korrekt påpeger, så vil det hjælpe hvis du har et IP segment der kun er annonceret for danske ISP'er og måske kun for et subset der arbejder med tvær bank trafik.

Hvor let det er efterhånden at skille danske og ikke-danske ISP'ers netværk fra hinanden ved jeg så ikke. Det er næppe helt åbenlyst hvor den grænse skal gå.

7
11. januar kl. 20:21

Hvor let det er efterhånden at skille danske og ikke-danske ISP'ers netværk fra hinanden ved jeg så ikke. Det er næppe helt åbenlyst hvor den grænse skal gå.

Det er et problem man ved lov kan pål

12
12. januar kl. 19:47

Det er et problem man ved lov kan pål

Danmark skal ikke have love som gør det let for en regering at afskære danskerne fra det åbne og frie internet. Lukkethed (eller blot 1. Skridt dertil) hører bananrepublikker til, hvilket Danmark allerede er i tilstrækkelig grad.

16
13. januar kl. 09:37

Danmark skal ikke have love som gør det let for en regering at afskære danskerne fra det åbne og frie internet.

Mit forslag vil ikke indføre nogen begrænsninger af den art.

Det drejer sig alene om at pengeinstitutter og andre vigtige digitale infrastrukturer lave to "døre" til deres services, hvoraf den ene udelukkende kan tilgåes fra internetforbindelser i Danmark, mens den anden "dstår åben for hele verden, inkl. Danmark.

15
13. januar kl. 09:32

Der er intet i PHKs forslag der begrænser nogen inden for Danmark frs at tilgå noget som helst på internettet. Det vil begrænse nogen uden for Danmark i at tilgå nogle specifikke tjænester inden for Danmark.

8
12. januar kl. 10:46

Den lille grønne kommentarsluger har slået til igen!

9
12. januar kl. 11:17

Den lille grønne kommentarsluger har slået til igen!

Jeg er ikke sikker på farven, men har længe mistænkt, at specialtegn (som vores æ, ø og å) kan spille end rolle. Der er imidlertid talrige muligheder for utilsigtet at afslutte en kommentar for tidligt (også på windows). At det virker forstyrrende, er tydeligt.

13
12. januar kl. 20:17

Jeg tror det er noget caching af det skrevne ord og dårlig understøttelse af Firefox.

10
12. januar kl. 12:10

Det virker lidet sandsynligt at PHK skulle gøre brug af Windows. Æ, ø, å-tesen er også lidet sandsynlig.

11
12. januar kl. 13:17

Det virker lidet sandsynligt at PHK skulle gøre brug af Windows.

DR P1 har et program ved navn "Hemmeligheder", hvor man kan ringe ind anonymt med indrømmelser af typen "Jeg er en væsentlig bidrager til FreeBSD, men kører Microsoft Windows på grund af de lækre farver".

Bare et hint...

5
11. januar kl. 14:52

Det er altså simpelt at gøre i egen loadbalancer (kø for dansk trafik - og anden/begræns udenlandsk) - så for meget udenlandsk trafik automatisk gør de bliver blokeret. Derefter drejer det sig kun om loadbalancer kapacitet og liniekapacitet. loadbalancer kapacitet kan løses, ved at lave et ECMP setup (men bare på en haproxy på en alm. VM, kan man snildt klare 30.000 req/sek der bliver begrænset - og hardware dedikerede kan langt mere). Er det liniekapacitet, så er der routing tricks eller bare simpel filtrering på ISP siden (kan ALLE isp'er) - eller flyt sin service bag cloudflare - de har en god track record med at klare DDOS uanset størrelse.

4
11. januar kl. 12:59

Teknisk er det rimelig simpelt at sortere trafikken. og behandle trafikken derefter.

I stedet for at lukke totalt ned for udenlandsk trafik kan man f.eks båndbredde begrænse den for at lukke ned for f.eks udenlandske DDOS, mens indenlandsk trafik køre uhindret igennem.

Om det skal ske hos ISP eller på egen fiber ind i huset er nok mest et spørgsmål om fiberens størrelse.

2
11. januar kl. 10:12

Jeg har i mange år undret mig over hvorfor ISP'erne ikke tilbyder en filtrering af den trafik der kommer fra udlandet og ind til vores offentlige IP-adresser.

På samme måde som når vi bestiller SIM kort hos eks. TDC, hvor man angiver at der ikke må kunne ringes udenfor DK.

Det ville løse disse evindelige angreb udefra en gang for alle.

Jeg er godt klar over, at et sådant filter vil kræve muskler hos ISP'erne, men om de bruger kræfterne på at levere DDoS trafikken ud igennem fiberen til kunden, eller de bruger kræfterne på at frasortere de net de allerede ved kommer fra udlandet kan vel komme ud på et.

Jeg ville med glæde betale lidt ekstra for linien hvis de ISP'ere jeg arbejder med kunne tilbyde en sådan ekstra funktion...

18
14. januar kl. 21:56

Der skal ikke filtreres på trafikken; det vil kunne overvældes. Pointen er at det slet ikke skal annonceres på internet; så er der ikke noget der skal filtreres. Så skal banker|det offentlige|vigtige instanser blot have 2x front-end setup, ét til det interne net, og ét mindre til udenlandsdanskere osv, som så rammes som det eneste.

Alle løsningerne bør allerede have mulighed for loadbalancing over frontends, hvorfor det må blive en teknisk insignifikant løsning. Så er det op til danske ISP'er at peere disse interne prefix mellem sig, og ikke annoncere dem videre ud.

20
16. januar kl. 09:31

Der kan filtreres at line rate (100G), så det i sig selv burde ikke kunne overvældes.

Det er nok mest et spørgsmål om ISPerne på tværs kan blive enige (evt med hjælp fra lovgivning oppefra). Ellers finders der løsninger, som den enkelte ISP kan implementere, som kan afhjælpe problemet.

19
15. januar kl. 13:24

Så er det op til danske ISP'er at peere disse interne prefix mellem sig, og ikke annoncere dem videre ud.

Eller, mere sandsynligt: Op til folketinget at tvinge dem til at tilbyde dette produkt.

1
11. januar kl. 09:50

Med IPv4 bliver der nok problemer, med IPv6 så er der ikke noget problem. Danmark er dog langt hen af vejen et IPv4 land, så måske ministeren skulle starte der.