perjantai 5. lokakuuta 2012

Ruotsi digiterroristien tähtäimessä

Ruotsia vastaan on tänään hyökätty rajusti netissä. Röyhkeät tekijät mainostavat operaatiotaan etukäteen Youtube-videolla ja nöyryyttävät sen jälkeen maan viranomaisia. Tämä ei ole enää harmitonta pilaa vaan pikemminkin digitaalista terrorismia.

Ylen uutisen mukaan hyökkäys olisi kosto siitä, että viranomaiset takavarikoivat jokin aika sitten erään piraattisaitin palvelimia. Hyökkääjät, samoin kuin monet piraatit, näkevät että tekninen osaaminen antaa heille oikeuden rikkoa lakia ja toteuttaa oma tahtonsa. Samanlaiseen valtaan ovat uskoneet aiemmin terroristit ja diktaattorit.

Web-sivujen kaataminen ei ehkä ole kovin vaarallista, mutta sillä on pohjimmiltaan sama tavoite kuin terrorismilla: lietsoa epävarmuutta ja todistaa omaa valtaa. Palvelunestohyökkäys on kuin lannoitteista tehty pommi julkisella paikalla -- ase, joka on harrastajankin saatavissa.

Käyttäisivätkö nettiterroristit järeämpiä aseita jos pystyisivät -- pysäyttäisivät rahaliikenteen tai sulkisivat sähköverkon tehokkailla viruksilla? Hyvin mahdollista. Ja hyvin pelottavaa. Siksi yhteiskunnan on löydettävä keinot myös nettiterroristeja vastaan.

Maikkarin uutisessa motiiviksi arvellaan tukea Assangelle. Tuki on korkeintaan symbolista; anonyymi ryhmä lähettää kuitenkin varoituksen muille maille, jotta nämä eivät jatkossa toimisi Ruotsin tavoin. Nimetön ja näkymätön ryhmä haluaa siis sanella, miten valtioiden pitää toimia. Eikö tämä ole ristiriidassa sen kanssa, miksi Wikileaks aikoinaan perustettiin?

Assangen oma suhde sananvapauteen ja avoimuuteen on vähintäänkin ristiriitainen. Sananvapauden ritari yritti estää Britanniassa Wikileaks: Secrets and Lies -dokumentin esittämisen, koska siinä on pätkä, jossa hän tanssii islantilaisessa yökerhossa. Assangen mukaan ko. video loukkasi hänen yksityisyydensuojaansa. Assange on myös valittanut Britannian PCC:lle (Press Complaint Commission, vastaa Suomen julkisen sanan neuvostoa) 45 artikkelista, joissa on hänen mielestään virheellistä tai epäoikeudenmukaista tietoa. Kaikki valitukset on hylätty.

Digiterroristit ovat yhtä väärässä kuin reaalimaailman edeltäjänsä. Ei-demokraattisin keinoin hankittu valta ei ole mikään perustelu ottaa oikeutta omiin käsiinsä.

25 kommenttia:

jari lehtinen kirjoitti...

Anonymous on enemmän typerä kuin riesa. Nyt "Todelliset Anonyymit" ovat irtisanoutuneet koko jutusta. Odotan, että kohta ilmaantuu sellaisia fraktioita kuin "Anonyymeimmät Anonyymit", "Anonyymit Ilman Rajoja", ja RAF (Real Anonymous Front).

Pastebiniin ilmaantui eilisen kuluessa usea Anonymousta kritisoiva teksti. Otteita:

"Sweden is one of the world leading countries in internet freedom, and there's no country who is more openly positive to file sharing than us. Then why're the residents of Sweden begin punished by the act of the police?"

"You can not make Anonymous to please even if you try. There is no line to follow. There is just a hodgepodge of diverse opinions that it is impossible to follow, because they often clash with each other. None of us leave room for anything else but sit and wait for Anonymous maximum indiscriminate retaliation."

"Nor is it easy to understand how it is supposed to be promoting freedom of expression and freedom by restricting freedom of expression and freedom of others. Double standards is not a flattering trait."

Jari kirjoitti...

Petteri: Hyökkääjät, samoin kuin monet piraatit, näkevät että tekninen osaaminen antaa heille oikeuden rikkoa lakia ja toteuttaa oma tahtonsa.

Vai niin? On vaikea lähteä spekuloimaan mitä hyökkääjien päässä liikkuu.

Jos hyökkääjät todella ajattelevat, että heillä on tekninen osaaminen on heidän puolellaan, niin lienevät väärässä. Maailma on niin monimutkainen, että hyökkäyksiinkin käytetään valmiita tuotteita. Osaamiseksi riittää että osaa lukea ja googlata. Sillä osaamisella ei valloiteta maailmaa - korkeintaan hajoitetaan sitä.

Ennemminkin hyökkääjät ajattelivat, että heillä on oikeus taistella muiden teknistä osaamista vastaan.

En kuitenkaan kannata sitä, että viranomaiset alkavat siilipuolustukseen esim. tekemällä järjestelmistä entistä suljetumman. On kai hyvä että mieltä voi osoittaa näinkin...

Jouni Laurila kirjoitti...

Onko todella niin ettei hyökkäyksiä voida estää?

Mitä jos rajataan esimerkiksi maan ulopuolelta tulevat yhteydet pois hyäkkäyksen ajaksi ja tärkeillä kanavilla käytetään jotain muuta reittiä ulkomaille?

Anonyymi kirjoitti...

@Jouni Laurila
Ei voi, jos putket on täynnä niin ne ovat. Ruotsi voi tietysti irroittaa itsensä kokonaan Internetistä irti, mutta se tuskin on haluttu tila.

@Petteri
Tuosta nöyryyttämisestä. Näkisin, että kansainväliset yritykset nöyryyttävät Lex Nokia, ACTA, Euro/Pankki kriisi, takuut risteilyaluksille yms. Kansallisvaltiot alkavat olla niin hampaattomia, että niitä voi nöyryyttää lähes kuka tahansa globaalitoimia halutessaan, jopa iso joukko kansalaisia.

Esim. siskoni on tekemisissä kansaivälisessaä käsityökerhossa. U:S:A oli tulossa laki mallisuojasta eli kudonta, virkkuu yms ohjeita ei olisi saanut enään julkaista Jenkeissä. Asiaa ajavat senaattorit joiden takana siis oli Amerikkalaisia yrityksiä muuttivat mielensä hyvin nopeast siivotessaan sähköpostejaan ympäri maailmaa tulevista paheksuvista viesteistä. Tuohon käsityökerhoon kuuluu n. toistakymmentä miljoonaa jäsentä.

Petteri Järvinen kirjoitti...

Voittiko siis virkkaajien mielipide? Sehän on mainio esimerkki globaalista vaikuttamisesta ja siitä, että kansalaiset voivat kumota yritysten edun.

Timppa kirjoitti...

En osaa pitää www palvelimen jumittamista kovinkaan vakavana asiana, saati sitten viranomaisten nöyryyttämisenä. Puuha vaatii osaamista lähes yhtä vähän kuin bussipysäkin potkiminen ja on vaikutuksiltaakin kutakuinkin samaa luokkaa. Aika harva viranomaisen www-sivusto on niin tärkeä, että sen kaatumisesta aiheutuisi välitöntä ja vakavaa haittaa kansalaisille.

Onpahan vain kansalaisille yksi keino lisää osoittaa mieltään. Ja hyvä niin, keinoja pitäisi olla muitakin kuin kadulla mellastaminen.

Anonyymi kirjoitti...

@Petteri

Anonymous -liikehdintä on minusta enemmänkin anarkiaa ja huliganismia, kuin terrorismia. Terrorismiksi sen leimaaminen on ainakin vielä tähän mennessä nähtyjen tekojen perusteella liioittelua.

Tappiot ovat vielä enemmän imagopuolella, kuten aiempi kommentoija kirjoitti. Yhtä varmasti kun näitä anarkistia tekoja tapahtuu niin niistä yritetään ottaa kaikki mahdollinen hyöty irti mediassa lisäresurssien saamiseksi. Samoin huomion tuoma myötätunto ilmeiseesti tekee hyvää kun tilanne hieman keljuttaa ja nolottaakin.

Ansioton huomio ruokkii tekoja helposti lisää, joten kannattaa miettiä miten viestii asiasta julkisuuteen. Milloin olette viimeksi kuulleet korkeakoulumaailmasta suomen ulkopuolelta tai suomesta valitusta näistä hyökkäyksistä? Niitä kuitenkin tapahtuu jos nyt ei ihan viikottain niin kuukausittain kuitenkin. Joskus hyökkäykset kestävät tunnin tai pari, joskus päivän joskus viikon. Harvoin kuitenkaan kauemmin, eikä niistä julkisesti huudella koska se vain ruokkii lisää tekijöitä. Taustalla toki tehdään kaikki voitava, haitan poistamiseksi ja sen jälkeen mietitään tapauskohtaisesti kannattaako lähteä selvittämään kuka ja miksi oli taustalla.

Lapsellisiahan hyökkäykset ovat ja sellaisina niihin pitäisi osata suhtautua. Taata palvelut sisäisille käyttäjille ja viestiä muita kautta, että on hieman teknisiä ongelmia. Taustalla sitten CERT:n & ISP:n kanssa työskennellä niin, että häiriön vaikutusta voitaisiin lieventää ja palauttaa ainakin osa ulkoisista palveluista käyttäjille niin pian kuin se on mahdollista.

Laajasti käytettävissä olevia ja yleisiä ratkaisuja estää putken tukkiminen ei ole olemassa, mutta muita keinoja on varautua kyllä olemassa. Usein niistä on jo sen verran hyötyä, että osa palvelusta saadaan toimimaan joten kuten jos ei muuten niin kevennettynä versiona.

Huoltokäyttöön varattu erillinen toinen yhteys kannattaa järjestää hyvissä ajoin etukäteen toiselta operaattorilta kuin pääyhteys tai pääyhteydet. Hidaskin xDSL yhteys tms. on parempi kuin ei mitään, siinä vaiheessa kun yrityksen satanen, gigainen tai vaikka kymppigigainen on tukossa. Huoltoyhteyttä pitkin sitten kommunikoidaan niiden tahojen kanssa, joiden kanssa yritetään ratkaista ongelmaa, haetaan tietoa verkosta ja voidaan pysyä ajan tasalla välttämättömimmän tiedon osalta.

Yleisesti kunkin (yrityksen, viranomaisen, ISP:n jne verkossa olevan joka ei voi vain nostaa käsiä ylös kun DDoS osuu kohdalle) kannattaa miettiä ainakin joitakin keinoja DDoS -tilanteen varalta.

Nyrkin puiminen taskussa ja ongelmassa piehtarointi toimittajille ei auta. Se aika kannattaa käyttää analysointiin ja ennakolta suunniteltujen toimenpiteiden kohdistamiseen sinne mistä niissä on hyötyä eniten kullakin hetkellä.

Suunnittelemalla ja kevyestikin varautumalla on kuitenkin edes jonkinlaiset edellytykset toimia kuin jos ei olisi tehnyt mitään valmisteluja ja vasta sitten kun jotain tapahtuu yrittää hätiköiden saada aikaan jotain.

Jouni Laurila kirjoitti...

Onko todella niin ettei voida estää ulkomailta yhteydet tiettyihin IP-osoitteisiin.

Tuskin Ruotsin sisältä ihan helposti saadaa kuitenkaan palvelimia tukkoon.

Anonyymi kirjoitti...

@Petteri Virkkaajat voittivat. Saivat jopa anteeksipyynnön.

@Jouni Kun blokkaavan laitteen etupuoli on tukossa liikenteellisesti niin DDOS on tapahtunut. Sillä ei ole mitää merkitystä, että ko. pakettja ei päästetä läpi kun etupuoli on jo tukossa. Itse asiassa blokkaaminen sitoo laitteen resursseja enenmmän kuin liikenteen välittäminen.

Väittäisin, että Ruotsissa ei montaa palvelua ole, joita ei maan sisäisinkin voimin kiinni saataisi. Ongelmaksi tulee TCP/IP:n porttien loppuminen viimeistään.


Petteri Järvinen kirjoitti...

Hienoa virkkaajat!

Mitenkähän Google on hoitanut DDOS-suojauksensa? Sen palveluita ei tukkoon saada.

Anonyymi kirjoitti...

Googlella on useita samanlaisia serverifarmeja. Asiakkaat ohjataan lähimpääm serverifarmiin. Tällöin DDOS kohdistuu yhden saitin sijaan useaan saittiin ja WAN-linkki lienee Tbit-luokassa ja klusteroituja palvelimia on konttikaupalla ja niiden välillä taitaa olla myös sisäisiä reitityksiä ja myös eri saittien välillä.

Googlella lienee maailman monimutkaisin CDN (content delivery networks).

Vastaus on, että heillä älyttömästi järjettömän kokoisia datacentereitä, joihin ajatetaan kuormituksen, asiakkaan geologisen sijainnin mukaan pyyntöjä.

Kun tuollainen DDOS alkaa niin ne koneet pommittaa kiinteätä ip:tä, joka on lisäksi useammilla pommittajilla vielä eri.

Tämän jälkeen Google ohjaa käyttäjiä muihin datacentereihin.

Tuolla f5:lla on tuotteita, jonka kaltaisia uskoisin Googlenkin käyttävän.

Jouni Laurila kirjoitti...

Anonyymi.

Miksi ei rajalla jo blokata?

Silloin jää oma maa vapaaksi.

Anonyymi kirjoitti...

Voihan sitä yrittää jo blokata rajalla, mutta jos hyökkäys koostuu useista miljoonasta eri ip-osoitteesta. Tuollaisen suodattimen generoiminen ei ole ihan helppoa kun se pitäisi tehdä automaattisesti.

Rajalla on sitten nämä eri operaattorit yhdistetty toisiinsa solmupisteissä. Näitä solmupisteitä on Suomessa kolme. Ilkeästi voi sanoa, että Suomen Internet on kolmen ethernetkytkimen takana. Tälläisestä solmupisteestä Suomen liikenne lähtee sitten Ficixistä kolmella 10Gbitin piuhalla Funetin ja Nordunetin kautta eteenpäin. Toki operaattoreilla on omia varayhteyksiä, mutta ne ovat melko heppoiset verrattuna tuohon Ficixin/Funetin lähtöön.

Lue tarkemmin täältä.
http://www.ficix.fi/
Nordunet
http://www.nordunet.fi

Alla verkonkuva klikkaa blokkia Funet niin näet Suomen.

http://stats.nordu.net/stat-q/load-map/ndn-map,,traffic,peak

Siellä rajalla on siis kahdennettu todennäköisesti Juniperin valmistama reititin yhdistelmä. Suomi on siis kytketty neljällä 10Gbitin ethernet liittymällä Internettiin. Käytännössä kun joku generoi Suomea kohti 50Gbitin liikenteen niin putoamme pois Internetissä.

Kyllä Ruotsin sisältäkin löytyy koneita, jotka ovat kiinni jossain botnet-verkossa, jotka kerran aktivoiduttuaan toimivat itsenäisesti. Tokihan näitä saadaan myös blokattua, mutta käsityötähän se pääsääntöisesti on.

Petteri Järvinen kirjoitti...

Googlella on useita samanlaisia serverifarmeja. Asiakkaat ohjataan lähimpääm serverifarmiin. Tällöin DDOS kohdistuu yhden saitin sijaan useaan saittiin ja WAN-linkki lienee Tbit-luokassa

Kyllä kyllä, mutta mikä estää Ruotsin (tai Suomen) viranomaisia käyttämästä samaa tekniikkaa? Jos Google pystyy siihen, luulisi valtionkin pystyvän. Saahan tätä ostaa myös palveluna. Ilmeisesti kyse on vain siitä, ettei web-palveluita nähdä riittävän tärkeinä.

Jouni Laurila kirjoitti...

Edelleen häirintähän on yleensä yhteen tai ei ainakaan kovin moneen IP osoitteeseen.
Maalikosta ei tuo nyt niin hirveän vaikealta kuullosta kun tosiaan yhteys maahan tulee vain muutamasta paikasta.

Onko kysymys lopulta vain tahdosta?

Anonyymi kirjoitti...

@Petteri Ei mikään paitsi rahan puute tai sitten noita palveluita ei nähdä tarpeeksi tärkeänä, että niihin kannattaisi satsata noin paljon ;)
No onhan Googlen liikevaihto 10 miljardia ja business kiinni toimivasta verkosta. Suomen valtiolle siitä tulee korkeintaan imagotappio.

@Jouni Minä taidan olla huono selittäjä, mutta ongelmana on sulkulistan toimintaperiaate.
Joka on seuraavanlainen.
Src-ip Dst-ip proto action

Src-ip = 6 miljoonaa osoitetta tai vaihtoehtoisesti kaikki maailman osoitteet any. Tuo tarkoittaa myös 6 miljoonaa riviä/objektia, jotka pitäisi pystyä lennossa generoimaan.

Dst-ip Kohdepalvelimen osoite

proto=portti esim http = 80

action = salli, älä salli

Jos me emme päästä ketään palveluun niin se on sama kuin täydellisesti onnistunut hyökkäys, joten yleensä halutaan hyökkäystä vaimentaa/estää, että palvelu pysyy käytettävissä.

Tämän lisäksi nuo reitit mainostetaan dynaaisesti reititysprotokollilla (BGP) eri reitittimiem välillä. Mikäli liikenntä saadaam riittävästi niin nuo ohjaus/mainostus -sanomat estyvät ja reitittimet alkavat arpomaan kohteeseen uusia reittejä (laskenta kestää puolikin tuntia), joka voikin olla 40Gbitn sijasta 1Gbit varayhteys ja tuon puolituntia koko verkko on hukuksissa kun reitittimet eivät tiedä minkä reitittimen takana se sijaitsee.

Eli se ei ole helppoa ja halpaa vaan monimutkaista ja kallista kun se tehdään oikein, mutta siinä Petteri on oikeassa, että se on tahdosta kiinni.

Anonyymi kirjoitti...

Anteeksi Jouni piti olla

%s/mutta siinä Petteri on oikeassa/mutta siinä Jouni on oikeassa/

Credit niille joille se kuuluu.

Anonyymi kirjoitti...

@Anonyymi

(pahoittelut, että kirjoitin tämän ensin väärään ketjuu, mulla oli selaimesta kaksi ikkunaa auki ja .... seli seli seli, sorry)

@Jouni Kun blokkaavan laitteen etupuoli on tukossa liikenteellisesti niin DDOS on tapahtunut. Sillä ei ole mitää merkitystä, että ko. pakettja ei päästetä läpi kun etupuoli on jo tukossa. Itse asiassa blokkaaminen sitoo laitteen resursseja enenmmän kuin liikenteen välittäminen.

Ei nyt aivan näinkään, läpi päästön osalta.

Liikenteen pudottaminen kategorisesti ei käytännössä rasita laitetta. Mutta jos etupuolen sisään tuleva suunta on täysin tukossa, niin tilaa ei jää muulle liikenteelle ja sitä myötä (D)DoS tapahtunut. Sillä ei ole merkitystä, että paluusuuntaan kaista voi olla täysin tyhjä.

Väittäisin, että Ruotsissa ei montaa palvelua ole, joita ei maan sisäisinkin voimin kiinni saataisi. Ongelmaksi tulee TCP/IP:n porttien loppuminen viimeistään.

Reititin ei käsittele TCP:tä muuten kuin ACL:ssä, jos niitä on interfaceen konfiguroitu. Jos ei ole, niin reititin käsittelee vain IP (L3) eikä edes katso mitä protokollaa paketin sisällä siirretään.

Palomuurikaan* ei "käsittele" varsinaisesti TCP/UDP tms. portteja, joten ne eivät voi loppua, _mutta_ palomuurin rajallinen resurssi on istunnot (sessiot).

*) Tilatietoinen palomuuri ts. se mitä nykyään yleisesti ymmärretään palomuurilla. Palomuureja on myös stateless, application-proxy jne. ja niissä tilanne on hieman erilainen.

Palomuuri perustaa jokaista läpi päästämäänsä yhteyttä kohden session ja jos sessiot loppuvat niin se on sitten siinä, jo avatut yhteydet toimivat mutta uusia ei voi avata ennen kuin niitä vapautuu. Vapautuminen voi tapahtua jonkun yhteyden sulkeuduttua tai sitten aikakatkaisulla.

Tyypillisessä isomman organisaation palomuurissa on 500k - 2M sessiota käytettävissä vakiona (niitä saa joissain malleissa ostaa lisensseilä lisää käyttöön). TCP ja UDP portteja on 2^16 - 1 kpl, TCP ja UDP:n rinnakkaisia protokollia on 2^8 teoriassa, mutta niistä käytössä vain kourallinen virallisesti varatusta 133:sta. Kiinnostunut voi katsella Unix -tyyppisessä koneessa kuten Linux, *BSD, Mäkki jne vilkaisemalla /etc/protocols sisältöä.

Sessioita on siis on huomattavasti enemmän kuin vain portteja TCP:ssä, UDP:ss jne. Joissakin palomuureissa on rajoitus, että esim. TCP ja UDP varaavat jonkun määrän, esim 500k sessiota kumpikin erikseen per liikennesuunta (untrust-> trust ja trust-untrust) jne.

Parin miljoonan session auki saaminen hyvin konfigurodusta palomuurista joka ei edes salli ja aukaise yhteyttä kuin vain kouralliseen porttiin vaatii pientä yrittämistä isomman yrittämisen, mutta toki se osaavalta onnistuu :)

Sen lisäksi, että (kaupallinen, ei mikään linux- tai windows -lelu)palomuuri pitää sisällään muitakin puolustuskeinoja. Sessioiden määrää lähde ja kohde-osoitteittain voi rajoittaa ja määritellä rajan, jossa palomuuri alkaa tehdä ns. SynProxy suojausta. Näin ollen palomuurin takana oleva palvelin tai palvelinfarmi ei edes näe liikennettä jos sen määrä ylittää asetetun rajan, ennen kuin vastapää on neuvotellut normaalin three-way-handshaken kuntoon, palomuuri neuvottelee yhteyden palvelimen kanssa vasta sitten kuntoon ja hyppää itse pois välistä. Tämä estää sessioiden haaskaamisen fake- ja decoy -osotteisiin joista ei tule vastausta.

Eikä palomuuri tee vain yksinkertaista portti-pohjaista tarkistusta vaan tarkistaa myös sisältöä ns. ALG:n (Application Level Gateway) perustuen. Jos liikenne ei täytä protokollamääritystä niin se pudotetaan.

ALG:n jälkeen voi olla, jos rahaa on ostaa lisenssi, IDP/IPS kerros.

Kaiken tämän saa käytännössä toimimaan lähes wire-speed nopeudella, koska toiminnallisuus perustuu ASIC-piireihin ja rinnakkaistukseen. Kutakin asiaa varten on omat kortit, prosessoreineen jne.

ps. En tarkoittanut tuossa yllä, että Linux netfilter (iptables) olisi työasemakäytössä ja palvelimessa lelu, mutta yrityksen palomuurina se on lelu. Sama koskee MS TMG:tä. BSD puolen pf on paljon parempi, mutta ei sekään kuin etäisesti muistuta sitä mitä nykyisin isommat palomuurit osaavat tehdä.

Anonyymi kirjoitti...

@Petteri ja Anonyymi

Joo, Googlella on toistakymmentä datakeskusta ja ne käyttävät eri tekniikoita (DNS, GeoIP, anycast ainakin) ohjatakseen liikenteen sinne mihin se parhaiten sopii, vuorokaudenajan, kuormituksen, energian hinnan, huoltojen ym. vuoksi. Mutta samaa voidaan käyttää sitten myös muilta häiriöiltä suojautumiseen.

Google on suunnitellut ja teettänyt itse huomattavan osan aina kytkimistä lähtien. Ei siellä ole edes juuri Ciscon tai HP:n kytkimiä, vähän aikaa sitten oli juuri esillä "Pluto" -kytkin, jonka Google vähin äänin hankki takaisin.

Olisin melko varma, että Google on tehnyt myös omat L7 sovelluskytkimet, BSD:n päällä olevaa softahan se on F5:lla ja Citrixilläkin (Netscaler) esimerkiksi.

Anonyymi kirjoitti...

@Jouni Laurila

Miksi ei rajalla jo blokata?

Ei ole vain yhtä paikkaa mistä liikenne maahan tulee.

Vastaan alempana tarkemmin toisessa vastauksessa.

Anonyymi kirjoitti...

@Anonyymi

CIX on vain liikenteenvaihtopaikka, sieltä ei välttämättä lähde yhteisiä ulkomaanyhteyksiä, mutta koska siellä on monta toimijaa yhdessä paikassa niin siellä on kannattavaa tarjota ulkomaisten tai kotimaisten toimijoiden tarjota ulkomaailmaan yhteyksiä niille operaattoreille, joilla ei ole omia ulkomaanyhteyksiä.

CIX (Commercial Internet Exchange), FICIX Suomessa, jolla on kolme liityntäpaikkaa kuten kirjoitit. Jenkeissä MaeWest ja MaeEast.

Ja niissä käytännössä on vai yksi, kaksi tai muutama isoa kytkintä, jonka kautta jäsenet jotka ovat tuoneet omat yhteytensä voivat sitten kätevästi peerata toisten kanssa ilman että täytyy tehdä ns. full-mesh kunkin tiloista toisen operaattorin laitetiloihin.

Taustalla on siis taloudelliset ja käytännöllisyyden intressit.

Mutta se, että 'vain' sieltä sinänsä lähtisi ulkoyhteyksiä on väärä käsitys. Toki voi lähteä, mutta se ei ole koko tarina.

Jokaisella operaattorilla on joko oma ulkoyhteys tai ne ostavat yhteyden toisten kautta muuallekin. Tätä sanotaan liikenteen vaihtamiseksi eli peeraukseksi.

WHOIS rekisteriä pitävät RIR:t (Regional Internet Registries) kuten esim. RIPE Euroopassa, pitävät rekisteriä kuka kenenkin kanssa vaihtaa liikenettä.

Homma perustuu siihen, että kullakin toimijalla on oma autonomisen systeemin numero (AS-numero) ja jonka yhteyteen rekisterödään kunkin käyttöön annetut verkon palaset ns. prefixit ja jota kukin sitten mainostaa BGP:llä (Border Gateway Protocol). RIR:llä on sitten rekisteri, josta voi tarkistaa (eivät aina ole valitettavasti ajan tasalla) sen kenelle jokin verkkoalue on luovutettu ja mikä on kyseisen AS:n peering-politiikka ts. kenen kanssa he vaihtavat liikennettä, mitä hyväksyvät ja mitä eivät.

Käytännössä toimija voi olla ns. transit-toimija (välittää liikennettä myös muilla AS:lle) tai stub-toimija (välittää liikennettä vain itselleen), Stub-toimijalla voi olla 1-n kpl liittymiä muihin operaattoreihin.

FUNET:in eikä NordUNET:n liikenne tule GEANT:n tai kenenkään muunkaan verkosta palomuurien lävitse. FUNET:n käytössä on Juniperin isohkoja reitittimiä MX:iä, palomuuritoiminnallisuutta niissä ei ole, mutta toki on ACL:t, mutta niitä ei oikein voi palomuuritoiminnallisuudeksi sanoa. Ne sopivat lähinnä karkeaan filteröintiin ja hallinta-liittymän suojaamiseen ym.

Suuryrityksillä, Google, Nokia, Apple on ja oli jo kauan sitten aikanaan myös esim. Valmetilla (nyk. Metso) on ollut omat sisäiset verkot ja omat peeringit useammassa maassa eri mantereilla. En tiedä nykytilanetta tarkkaan, mutta ainakin 10-20 suurinta suomalaista yritystä luultavasti hallinnoi oimia verkkojaan ulkomaille asti ja nillä on internetistä riippumattomat siirtoverkkoyhteydet operaattoreilta, monta peering paikkaa ympäri maailman jne.

Summa summarum, 50GBps liikenne ei siis voi tukkia koko suomen liikennettä. Se saattaa tukkia Elisan, Soneran ja ehkäpä Funetinkin, mutta TDC-Song, DNA jne. muut eivät Ficixissä peeraavat eivät välttämättä ole tukossa.

Asiaa voi tutkia tarkemmin tracertoute.org traceroute ja LG (LookingGlass) palvelun kautta, sekä vaikkapa ROBTEX:n palvelun kautta, josta voi selailla ja hakea tietoja helposti, nähdä osan mm. AS:n välisen liikenteen vaihdon graafisesti jne.

Hyvä esimerkki vaikka tässä, kuinka Elisan AS6667 on kytketty. http://as.robtex.com/as6667.html

Anonyymi kirjoitti...

En jaksa enää tällä kertaa kirjoitta pitkästi ja vastailla jokaiseen kysymykseen, mutta muutamaan voisin vielä yrittää joitakin asiota selventää.

- koska ei ole mitään yhtään rajaa, jonka lävitse liikenne tulee Suomeen ei ole mahdolista suodattaa yhdessä paikassa.

- yhteinen suodattaminen vaatii yhteistyötä ja koordionointia.

- BGP on protokolla, joka jos ei ole erikseen kielletty niin se yrittää reitittää liikenteen ongelmakohtien ohi, aivan sama onko ongelmakohta rikkinäinen kuitu tai DDoS:n alla oleva operaattori.

- Nykyään, ainakin Suomessa ja Pohjois Euroopassa operaattorien reititysfiltterit on kunnossa ja ne estävät tahattoman reitittämisen, muualla näin ei välttämättä ole.

- Olennaisimpia periaatteita on, että asiaton liikenne pitäisi pystyä estämään mahdollisimman lähellä sen alkulähdettä.

- Alkulähteellä suodattamisen peruskulmakiviä on nykyään se, että ns. reuna-verkoissa (ei transit verkoissa) on käytössä Egres-filtterit.

- Egress filtterit sallivat verkosta ulos vain niiden verkkojen lähde-osoitteet (source-prefixes) jotka sinne on allokoitu.

- Suomessa Viestintäviraston ohjeet määräävät, että operaattorin on käytettävä Egress filttereitä.

- Jollei Egress filttereitä ole käytössä, reunaverkoissa niin siitä aihutuu se, että häirintää haluava käyttäjä voi väärentää ihan minkä tahansa lähdeosoitteen verkko välittää sen perille niin hyvin kuin se vain osaa. Myöhemmin transit-osuudella vääriä lähdeosoitteita sisältävien pakettien filtteröinti on lähes mahdotonta tehdä tehokkasti ja poistamatta samalla validiakin liikennettä.

- Reitittimet, joista internetin runko koostuu eivät ole laitteita joita olisi tarkoitettu raskaaseen filtteröintiin. Ne on optimoitu mahdollisimman nopeaan pakettien eteenpäin lähettämiseen.

- Monien reitittimien kyky käsitellä pitkiä ja monimutkaisia pääsylistoja (ACL) on rajoittunuta. Usein ne jouduttaisiin käsittelemään reitittimen prosessorilla (Route Prosessor) jos niitä yritettäisiin käyttää.

- Route Prosessor tai Route Engine (RP/RE) on ensisijaisesit suunniteltu reitityksestä ja laitteen hallinnasta huolehtimiseen ja linjakorttien ASIC:t eivät osaa joko ollenkaan käsitellä ACL:iä tai sitten käsittely päätyy aina prosessoreille, joka hidastaa liikennettä ja koko laitetta -- siksi niitä ei voida käyttää vaikka olisi tarvettakin.

- Mitä monimutkaisemmat säännöt ja mitä enemmän niitä on ACL:ssä sen enemmän se hidastaa.

BGP reititystaulusta, sen latausajasta jne.

Tässä pätkä juuri sitten otetusta Internetin juuresta otetusta yhdestä reitittimestä. Jätin pois yksityiskohtia, joista näkisi mistä se on kotoisin :)

Tarkoitus on näyttää kuinka paljon on reittejä, kuinka paljon ne vievät muistia jne.

Tietysti jos putket ovat hitaat, niin kyllä vajaan puolen miljoonan prefixin lataamiseen voi mennä hidasta yhteyttä pitkin ja hitaalla vanhalla reitittimellä puolikin tuntia, mutta nopealla uudella reitittimellä ja yhteyksillä ei siinä kauan nokka tuhise. Jotakuinkin saman ajan kuin 50-100 Megainen tiedosto latautuu käytössä olevaa putkea pitkin :)

...
424109 network entries using 41138573 bytes of memory
424111 path entries using 15267996 bytes of memory
73125 BGP path attribute entries using 4391760 bytes of memory
60888 BGP AS-PATH entries using 1650598 bytes of memory
4843 BGP community entries using 406502 bytes of memory
10 BGP extended community entries using 240 bytes of memory
73192 BGP route-map cache entries using 1171072 bytes of memory
...
BGP using 64026765 total bytes of memory
Dampening enabled. 246 history paths, 904 dampened paths
BGP activity 8599582/8175473 prefixes, 8650092/8225981 paths, scan interval 60 secs
...

Anonyymi kirjoitti...

Ah niin joo, puoli tuntia....

Puoli tuntia (30 min) voi kulua siihen että route tulee aktiiviseksi BGP:ssä siksi, että siinä on yleensä käytössä ns. dampening-toiminto.

Koska routetaulu täytyy laskea uusiksi aina päivityksen saapuessa naapurilta tai oman interfacen tilan muuttuessa Up/Down tai Down/Up. Turhan laskemisen estämiseksi BGP:ssä pidetään kirjaa kuinka usein joku reitti muuttuu ja jos se muuttuu liian usein niin sen todetaan lepattavan (flapping) ja se pistetään joksikin aikaa jäähylle (dampened route), route poistetaan reititystaulusta ja vasta aikaviiveen jälkeen tarkistetaan vieläkö se lepattaa.

Monesti siis BGP reititystaulun muuttumiseen voi vian korjaamisen jälkeen kulua sen puoli tuntia vain odotellessa sitä, että lepattanut reitti korjaantuu.

Kyse ei siis suinkaan välttämättä ole siitä, että reititystaulun laskemiseen menisi puoli tuntia, ellei sitten ole todella vanha ja hidas reititin ja sen lisäksi hitaat yhteydet jolloin reititystaulun siirtymiseen naapurilt tai naapureilta menee pitkän aikaa.

Anonyymi kirjoitti...

@Petteri

Kyllä kyllä, mutta mikä estää Ruotsin (tai Suomen) viranomaisia käyttämästä samaa tekniikkaa? Jos Google pystyy siihen, luulisi valtionkin pystyvän. Saahan tätä ostaa myös palveluna. Ilmeisesti kyse on vain siitä, ettei web-palveluita nähdä riittävän tärkeinä.

En oikein tiedä miten tähän vastaisin. Yhtä syytä ei ole, mutta tässä joitakin syitä:

- mikään yksittäinen mikään keino ei tuo 100% varmuutta, tarvitaan useita keinoja, teknisiä ja hallinnollisia ihmisiä jotka ymmärtävät näistä asioista tarpeeksi.

- tilanne elää jatkuvasti, et voi olettaa että rakennat nyt suojauksen joka on paras mahdollinen ja odottaa että se on enää sitä vuoden päästä.

- keskittäminen yhdellä osa-alueella tuo etuja, mutta toisella osa-alueella se tuo heikkouksia ja aiheuttaa suuremman haavoittuvuuden kuin hajautettu toiminta.

- ei keskitetyssä toimintamallissa johtaminen, kompetenssin ylläpitäminen, on vaikeaa ja sitä on vaikea valvoa sekä testata.

- keskitetyssä toimintamallissa syntyy helposti heikkoja kohtia, jotka kun pettävät kaikki muu on ollut puuhastelua ja itsepetosta.

- suojautuminen maksaa paljon ja on vaivalloista, vaatii jatkuvaa kehittämistä, jatkuvaa yhteistyötä jne. kaikilta tahoilta eikä sen järjestäminen hitaahkosti pyörivissä valtiollisissa rattaissa ole niin helppoa laittaa toimeen kuin yksittäisessä yrityksessä.

Palveluna sitä varmasti voisi ostaa ja ostetaankin, mutta kun mietit miten hajallaan julkisen sektorin toimijat ovat omien järjestelminensä niin edes osittain kattavien suojausten teko kriittisimpiin palveluihin ym. on todella haasteellista.

Rahaa näihin toimiin ei nyt niin mahdottomasti olla aikeissa tietääkseni* lisätä, joten vaikeuksia on silläkin puolella, että joko ostopalveluna tai omana työnä tehtävään työhön ei juuri ole helppo saada tekijöitä.

*) Juu se tilannekeskus on rakenteilla, mutta se on vasta alkua sille mitä pitäisi ja voisi tehdä, jos asiaan osoitettaisiin enemmän resursseja. Toisaalta taas en ole niin varma, että nykyisessä taloudellisessa tilanteessa ja kun riidellään peruspalveludenkin rahoituksesta kukaan poliitikko näitä asioita sen erityisemmin yrittäisi ajaa.

Anonyymi kirjoitti...

Hi there i am kavin, its my first time to commenting anywhere, when i read this piece of writing i thought
i could also make comment due to this sensible article.
Also visit my homepage : vuelos a bangkok

Website Security Test