Kritisk infrastruktur, igen, igen, igen

Det er ikke kun kritisk IT-infrastruktur, der er under angreb. Som jeg ser det er Europa under heftigt angreb qua vores energipolitikker gennem de sidste mange år.

Artikel

Hvis det er et ip net som kun skulle være kendt i DK er det ikke en option "at lave et ip net som kun annonceres til de Danske ISP" - det vil være de Danske ISP der skal lave et routing filter som ikke annonceret ip adresserne til nogle uden for DK.

BGP fungere ved man får naboens bedste routes (altså hele bgp tabellen) - det er derfor ingen indbyggede måder til at fortælle interenttet man ikke ønsker ens ip adresse bliver kendt af andre. Det er kun den der sender de bedste routes der kan sikre adresserne mod at blive kendt. Et BGP filter fortæller routeren hvilke routes den må sende og modtage og hvad kost(bgp prepend+local pref) skal være.

Det ville give DIX sin renæssance, hvis den blev brugt til kun at route disse "must carry" prefixes mellem ISP'er med danske "eyeballs".

En ting er hvad der er teknisk muligt at filtrere noget andet er hvad "brugerne" mener er acceptabelt. Rigtigt mange vil sikker synes at det er et større problem hvis tiktok, youtube eller facebook er nede end hvis det er deres bank de ikke kan få fat i. Hvor mange har her i landet har ikke deres email som "hotmail", "gmail" eller "outlook" og hvor er disse servere placeret? Hvor er alle de servere der betjener "skyen"? De personer der skriver her på version2 er nok ikke repræsentative for "befolkningen".

Det næste man så skal til at se efter er hvor alle disse botnet maskiner er placeret? Hvor mange er der i Danmark, i EU?

Jeg kan se der er mange der taler om båndbredde/request begrænsninger som alternativ til ikke-annoncerede ranges.

Det hjælper dig ikke noget, hvis trafikken slet ikke når dit netværk, fordi din hosting providers 4x25GB kapacitet er opbrugt. Du kan filtrere så meget du vil der.

Ja, du kan filtrere længere ude, men hvis angrebet er stort nok er det svært at komme langt nok ud.

Som PHK korrekt påpeger, så vil det hjælpe hvis du har et IP segment der kun er annonceret for danske ISP'er og måske kun for et subset der arbejder med tvær bank trafik.

Hvor let det er efterhånden at skille danske og ikke-danske ISP'ers netværk fra hinanden ved jeg så ikke. Det er næppe helt åbenlyst hvor den grænse skal gå.

Det er altså simpelt at gøre i egen loadbalancer (kø for dansk trafik - og anden/begræns udenlandsk) - så for meget udenlandsk trafik automatisk gør de bliver blokeret. Derefter drejer det sig kun om loadbalancer kapacitet og liniekapacitet. loadbalancer kapacitet kan løses, ved at lave et ECMP setup (men bare på en haproxy på en alm. VM, kan man snildt klare 30.000 req/sek der bliver begrænset - og hardware dedikerede kan langt mere). Er det liniekapacitet, så er der routing tricks eller bare simpel filtrering på ISP siden (kan ALLE isp'er) - eller flyt sin service bag cloudflare - de har en god track record med at klare DDOS uanset størrelse.

Teknisk er det rimelig simpelt at sortere trafikken. og behandle trafikken derefter.

I stedet for at lukke totalt ned for udenlandsk trafik kan man f.eks båndbredde begrænse den for at lukke ned for f.eks udenlandske DDOS, mens indenlandsk trafik køre uhindret igennem.

Om det skal ske hos ISP eller på egen fiber ind i huset er nok mest et spørgsmål om fiberens størrelse.

Der er DKNOG13 9-10 Marts. Det ville være et oplagt forum at tage den snak i.https://events.dknog.dk/event/21/

Teknisk er det ikke en umulig opgave. Noget tilsvarende sker allerede i dag med BGP communites. Se https://apps.db.ripe.net/db-web-ui/query?searchtext=as3292

Den største udfordring bliver nok sådan noget som Apples "skjul min ip", hvor ens enhed sender trafikken gennem en tunnel.

Jeg har i mange år undret mig over hvorfor ISP'erne ikke tilbyder en filtrering af den trafik der kommer fra udlandet og ind til vores offentlige IP-adresser.

På samme måde som når vi bestiller SIM kort hos eks. TDC, hvor man angiver at der ikke må kunne ringes udenfor DK.

Det ville løse disse evindelige angreb udefra en gang for alle.

Jeg er godt klar over, at et sådant filter vil kræve muskler hos ISP'erne, men om de bruger kræfterne på at levere DDoS trafikken ud igennem fiberen til kunden, eller de bruger kræfterne på at frasortere de net de allerede ved kommer fra udlandet kan vel komme ud på et.

Jeg ville med glæde betale lidt ekstra for linien hvis de ISP'ere jeg arbejder med kunne tilbyde en sådan ekstra funktion...

Med IPv4 bliver der nok problemer, med IPv6 så er der ikke noget problem. Danmark er dog langt hen af vejen et IPv4 land, så måske ministeren skulle starte der.