Qrator Labs

Это, надо сказать, пока что уникальная история.

Вот и начало: примерно в течение часа, начиная с 19:28 UTC 1 апреля 2020 года, крупнейший российский провайдер — Ростелеком (AS12389) — анонсировал префиксы, принадлежащие известным интернет-игрокам: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и другие известные имена.

До того, как проблема была решена, пути между крупнейшими облачными сетями были несколько нарушены — интернет заморгал. Утечка маршрута была достаточно хорошо распределена через Rascom (AS20764), затем Cogent (AS174) и через пару минут через Level3 (AS3356) по всему миру. Проблема внезапно стала настолько серьезной, что насыщала процесс принятия решения о маршруте для нескольких интернет-провайдеров первого уровня.

Это выглядело так:


С этим:


Эта утечка затронула 8870 сетевых префиксов, принадлежащих почти 200 автономным системам. С большим количеством недействительных объявлений, которые не были отброшены всеми принимающими уровнями. В конечном счете, это не изменит день, но распределение утечек на маршруте может быть ниже, если фильтры будут на месте. Посмотрите на RIPE BGPlay, если вы хотите наблюдать за динамикой произошедшего: stat.ripe.net/widget/bgplay#w.resource=2.17.123.0/24

Как мы писали вчера, все сетевые инженеры должны быть осведомлены о том, что они делают, предотвращая вероятность такой критической ошибки. Ошибка Ростелекома показывает, насколько хрупка стандартизированная IETF маршрутизация BGP, и особенно — в такие напряженные времена с точки зрения роста трафика.

Однако, что сильно отличает ситуацию, так это то, что «Ростелеком» получил предупреждение от канала Qrator.Radar в реальном времени и обратился за помощью в устранении неполадок.

Учитывая простоту ошибок BGP, во время кризиса с коронавирусом так легко допустить ошибку. Однако с предоставленными данными мониторинга инцидент быстро закончился, и правильная маршрутизация была восстановлена.

Мы настоятельно рекомендуем другим интернет-провайдерам, не являющимся Ростелекомом, начать мониторинг своих объявлений BGP для предотвращения масштабных инцидентов. И, конечно же, RPKI Origin Validation — это то, о чем каждый должен не просто думать, а реализовывать.

18 июня 2019 года Qrator Labs уведомила клиентов и партнеров об обнаружении уязвимостей в реализациях стека протоколов TCP/IP, вследствие чего функционал TCP Selective Acknowledgement был отключен, а также был установлен запрет на установление соединений с малым MSS. Работы осуществлялись в срочном режиме после подтверждения уязвимостей.

К сожалению, отключение SACK, хоть и минимально, но все же влияет на производительность передачи данных по протоколу TCP, поэтому 22 июля 2019 года Qrator Labs возвращает функционал SACK на всей сети фильтрации.

Некоторые из ограничений, касающихся L3-фильтрации, останутся активными, обеспечивая прозрачную нейтрализацию атак, использующих упомянутые уязвимости, однако полноценная нейтрализация возможна только в случае использования обновленной операционной системы на серверах заказчиков.

Как мы писали ранее, необходимо применение обновлений и патчей по устранению уязвимостей, связанных с эксплуатацией уязвимостей реализаций TCP/IP. Работа с устаревшим ядром и незакрытой уязвимостью грозит отказом в обслуживании при условии ее эксплуатации злоумышленником. В особенности это касается CVE-2019-11477 (SACK Panic).

С уважением,
Команда Qrator Labs.

Насколько сложно сорвать службу в настоящее время?
Сегодня мы часто говорим о ОАС и избыточности. И повышение роли облаков в общей инфраструктуре Интернета в. Кто-то говорит, что они будут играть решающую роль в доле трафика в ближайшем будущем. Тем не менее, есть и другие огромные интернет-провайдеров — Tier-1, он же крупнейшие операторы транзита, которые имеют транснациональные кабели и действительно являются частью исторической магистрали Интернета. Они часто играют роль последней инстанции в процессе фильтрации плохих маршрутов. Потому что у них есть сотни клиентов. Кроме того, почти все из этих клиентов верят в то, что они получили от интернет-провайдеров провайдера. Это главная причина, почему современные интернет-проекты полагаются на Tier-1s как флаг носителей и надеемся, что они будут применять новый механизм безопасности среди всех остальных.
Всегда ли это реальный сценарий?
radar.qrator.net/blog/how-difficult-is-to-disrupt-a-service-nowadays

Два дня назад, 5 мая 2019 года мы увидели своеобразный BGP сбой, затрагивающий автономные системы в конусе клиентов одного очень конкретны с номером 721.

В самом начале, мы должны выделить несколько деталей для наших читателей:

1. Все номера автономной системы под 1000 называются «низшие Asns», поскольку они являются первыми автономными системами в сети Интернет, зарегистрированных IANA в первые дни (в конце 80-х) глобальной сети. Сегодня они в основном представляют правительственные ведомства и организации, которые были так или иначе вовлеченных в исследования Интернета и создания в 70-90s.
2. Наши читатели должны помнить, что Интернет стал достоянием общественности только после того, как Департамент Соединенных Штатов обороны, которое финансировало начальный ARPANET, передал его в Агентство обороны связи, а затем в 1981 году, соединив его к CSNET с TCP ( RFC675 ) / IP (RFC791) над Х.25. Несколько лет спустя, в 1986 году, НФС сменил CSNET в пользу NSFNET, который рос так быстро, что сделало возможным ARPANET из эксплуатации к 1990 году.
3. IANA была создана в 1988 году, и, предположительно, в то время, существующие НАС были зарегистрированы РИР. Не удивительно, что организация, которая финансировала первоначальное исследование и создание ARPANET, последующей передачей его в другой отдел из — за его оперативного размера и роста, только после диверсификации его в 4 -х различных сетей (Wiki упоминает MILNET, NIPRNET, SIPRNET и JWICS, над которой военные только NIPRNET не контролировали шлюзы безопасности общедоступного Интернета.

radar.qrator.net/blog/legacy-outage

После нескольких месяцев жизни с TLS 1,3 мы написали статью о том, почему это неизбежное обновление так важно



blog.qrator.net/en/tls-13-enabled_44/

13 марта в предложение для RIPE против злоупотребления рабочей группы было представлено, о том, что угон событие BGP следует рассматривать как нарушение политики. В случае принятия, если вы являетесь ISP атакован с угоном, вы можете отправить специальный запрос, где вы могли бы подвергнуть такую ​​автономную систему. Если есть достаточно подтверждающих доказательств для группы экспертов, то такое LIR будет считаться противная сторона и далее наказывали. Были некоторые аргументы против этого предложения
radar.qrator.net/blog/new-hijack-attack-in-the-wild

Это была обычная среда на 4.04.2019. Кроме того, что в каком — то момент полуденного сроки AS60280 принадлежащий к НТЭК Беларуси просочился 18600 префиксов, происходящих из примерно 1400 автономных систем. Эти маршруты были взяты из RETN транзита поставщика (AS9002) и далее объявил поставщик NTEC в — RU-Телеком в AS205540, который, в свою очередь, принял все из них, распространяя утечку.



radar.qrator.net/blog/bgp-perforating-wound

Как известно многим нашим читателям, Qrator.Radar постоянно исследует глобальные возможности подключения BGP, а также региональные. Поскольку Интернет означает «Взаимосвязанные сети», для обеспечения наилучшего качества и скорости межсетевое взаимодействие отдельных сетей должно быть богатым и разнообразным, а их рост мотивирован на разумной конкурентной основе.

Отказоустойчивость интернет-соединения в любом регионе или стране зависит от количества альтернативных маршрутов между AS. Хотя, как мы указывали ранее в наших отчетах о надежности сегментов Интернета, некоторые пути явно более критичны по сравнению с другими (например, пути к транзитным интернет-провайдерам первого уровня или автономным системам, на которых размещаются авторитетные DNS-серверы), что означает Множество доступных маршрутов — это единственный жизнеспособный способ обеспечить адекватную масштабируемость, стабильность и надежность системы.

На этот раз мы подробнее рассмотрим интернет-сегмент Российской Федерации. Есть причины следить за этим сегментом: согласно данным, предоставленным базой данных RIPE, в России насчитывается 6183 автономных системы из 88664 зарегистрированных во всем мире, что составляет 6,87% от общего числа.

Этот процент ставит Россию на второе место в мире, сразу после США (30,08% зарегистрированных AS) и до Бразилии, которой принадлежит 6,34% всех автономных систем. Последствия изменений в российском соединении могут наблюдаться во многих других странах, зависящих от этого или смежных с ним, и, в конечном счете, практически от любого интернет-провайдера в мире.

Подробнее
radar.qrator.net/blog/russian-internet-segment-architecture

Коллеги из журнала Банковское Обозрение проводят иследование, посвящённое изучению опыта ведущих экспертов в организации информационной безопасности компаний.

Мы приглашаем вас принять в нём участие. Вопросов всего шесть, и все они в основном адресованы вашему личному опыту работы.

Всем, кто примет участие в исследовании, будет выслана подборка материалов журнала по теме ИБ (сайт bosfera.ru) за последний год — включая материалы закрытой ленты. По итогам самого исследования коллеги планируют опубликовать подробный аналитический материал, который также будет выслан всем респондентам.
Опросник можно найти по ссылке: bosfera.ru/bo/chto-v-ib-vyhodit-na-pervyy-plan

Участие в исследовании является полностью добровольным и остаётся на ваше усмотрение. Желаем вам всего доброго, и надеемся, что материалы, которые предоставят коллеги из Банковского Обозрения, будут вам полезны.

Ваши, Команда Qrator Labs