Páteční přednášky a workshopy
Druhý den konference Internet a Technologie 14 započali svými prezentacemi zástupci sdružení CESNET a společnosti Red Hat. Ti se věnovali především tématům spojeným s DNS a DNSSEC. Tento přednáškový blok zakončila prezentace o monitorování v 100Gb sítích od Viktora Puše, taktéž ze sdružení CESNET.
Všechny ostatní přednášky včetně workshopů byly přednášeny zaměstnanci sdružení CZ.NIC. Témata byla následující: Turris, Knot DNS, routovací daemon BIRD a útoky využívající USB portu. Většina workshopů navazovala na prezentace, kde se diváci dozvěděli nutný teoretický základ, který si pak vyzkoušeli na praktických úlohách.
Fedora: DNSSEC na pár kliknutí
Páteční prezentace začal Tomáš Hozza spolu Petrem Špačkem ze společnosti Red Hat. V počátku představili aktuální problémy spojené s DNS na klientské i serverové straně s primárním zaměřením na distribuci Fedora. Budoucí plány nastínili vylepšení NetworkManageru a přidání DNS pluginu, který by uměl část funkcí, jimiž disponuje dnssec-trigger.
Tomáš Hozza popisuje DNS v distribuci Fedora
Passive DNS
Cílem Passive DNS (PDNS) je sbírat veřejná DNS data z rekurzivních DNS serverů. Pasivní DNS zachytává odpovědi rekurzivních DNS serverů a ukládá je do databáze spolu s časovou značkou, která indikuje, kdy byly získány. PDNS neukládá, kdo daný dotaz pokládá, soukromí uživatelů tedy není narušeno. PDNS umožní získat informace o historii DNS dat a možnost pokládat inverzní DNS dotazy, řekl Ondřej Caletka ze sdružení CESNET.
Ondřej Caletka a jeho přednáška o Passive DNS
Za pomoci takto získaných dat můžeme odhalit kupříkladu řídicí servery botnetů, ve spolupráci s NetFlow lze také odhalit infikované počítače, kontrolovat neoprávněné využívání IP adres nebo jen zjistit, které domény jsou hostovány pouze na území jednoho státu apod. Pasivní DNS je z tohoto důvodu velmi cenným pomocníkem pro správce a členy bezpečnostních týmů.
Softwarově definované monitorování 100Gb sítí
V dnešní době je velmi důležité monitorovat celou síť kvůli ochraně uživatelů a investic vložených do vybudování a udržování infrastruktury. S pomocí monitorovacích nástrojů můžeme detekovat anomálie a bezpečnostní hrozby. Rychlosti však neustále narůstají a nyní jsou již dostupné i technologie 100 Gb/s, které kromě vyšší rychlosti přináší i problémy spojené s efektivním monitoringem takového provozu (velké nároky na výkon).
Viktor Puš ze sdružení CESNET popsal dnešní posun monitoringu směrem na aplikační vrstvu (L7), jehož hlavním důvodem je přítomnost klíčových protokolů na této vrstvě, jmenovitě HTTP, DNS, SIP atd. Mezi další důvody patří například nedávná chyba Heartbleed. Problém je, že zpracování dat na L7 je mnohem výpočetně náročnější než na nižších vrstvách, a tak je potřeba navrhnut zařízení, které bude dostatečně výkonné a zároveň flexibilní.
Prezentace Viktora Puše o softwarovém monitorování rychlých sítí
Softwarově definované monitorování je založené na myšlence spolupráce hardwarové akcelerační karty a softwaru. Do software je posílána ke složitějšímu zpracování jen malá část paketů – typicky několik prvních paketů komunikace na vybraných portech (pro extrakci informací z L7 vrstvy), případně jinak „zajímavé“ pakety. Zbytek je zpracováván přímo v hardware, kde jsou počítány jen základní statistiky o toku.
Rozhodování, které pakety mají být zpracovány v hardware a které je nutné poslat do software, je řízeno softwarovou částí, díky čemuž je hardwarová část poměrně jednoduchá a tedy výkonná. Toto řešení umožňuje zpracovat provoz na síti 100 Gb/s a zároveň extrahovat užitečné informace z různých protokolů aplikační vrstvy, což by nebylo možné s čistě softwarovým nebo čistě hardwarovým řešením.
Projekt Turris včera, dnes a zítra
Po přestávce Bedřich Košata z CZ.NIC udělal krátké review toho, co se za minulý rok událo v projektu Turris – začátek projektu, návrh a výroba tisíc kusů routerů, příprava OpenWrt pro HW Turrisu a sond na serverové straně pro bezpečnostní analýzu síťového provozu. Během letošního roku se podařilo získat certifikaci pro použití routeru v rámci Evropské unie, započaly se distribuovat routery k uživatelům a vydalo se několik aktualizací firmware.
Bedřich Košata, před ním na stole router Turris a digitronový „displej“ s počtem aktivních routerů
Zájem o Turris je opravdu velký. Sdružení CZ.NIC obdrželo přes 4000 vyplněných přihlášek na router. Z důvodu co nejlepšího pokrytí a výsledků byla distribuce routerů k zájemcům založena na základě jejich umístění a ISP. Dále zde byly zmíněny nové bezpečnostní funkce, které však byly popsány do větší hloubky až na workshopu.
Knot DNS – krátký pohled do budoucnosti
Knot DNS je ryze autoritativní opensource DNS server. Podporuje všechny hlavní funkce protokolu DNS, včetně transferů zón, dynamických updatů a DNSSEC rozšíření. Byl představen české i mezinárodní veřejnosti v listopadu roku 2011 a od té doby prošel značným vývojem. Mezi jeho hlavní přednost patří výkon, škálovatelnost, rychlost a možnost přidávat a odebírat zóny za běhu bez výpadku v provozu serveru.
Budoucí verze Knot DNS 1.5 bude disponovat dynamickými moduly a podstoupí značný refaktoring kódu, který přinese ještě nižší spotřebu paměti a rychlejší zpracování odpovědí. Verze 1.6 pak bude disponovat vylepšenou podporou DNSSEC.
BIRD Internet Routing Daemon
Open source routovací démon BIRD implementuje celou řadu protokolů. Jmenovitě BGP, OSPF, RIP a BFD, podporuje jak starší IPv4, tak novější IPv6 a je možné ho provozovat na GNU/Linuxu a BSD systémech. Mezi novinky BIRDu patří selektivní propagace sekundárních routerů, dynamické IPv6 router advertisements (RA) a mnoho dalších vylepšení a funkcionalit.
Přednáška o routovacím démonu BIRD (na ni navazoval odpolední workshop)
Ne(bezpečné) USB? Úvod k útokům s Teensy
V první části přednášky se mohli diváci dozvědět, jakým způsobem je možné infikovat počítač malwarem za pomocí USB portu. Současné Windows sice mají ve výchozím nastavení vypnutou funkci autorunu pro flash disky (to neplatí pro CD-ROM/DVD-ROM), ale za pomocí upraveného firmwaru simulující CD-ROM může útočník spustit kód, jak si nadefinuje v autorun.inf
. Druhá část prezentace byla jako mnoho dalších, jen teoretickou přípravou na následný workshop.
V pravé ruce Pavla Bašty vidíte zařízení Teensy. Že nelze počítač „zavirovat“ přes USB? Velký omyl!
Po skončení obědové pauzy začal blok složený ze čtyř workshopů, kde si účastníci mohli vyzkoušet zajímavé technologie v praxi.
Projekt Turris prakticky
Workshop ne-workshop o projektu Turris pod vedením Bedřicha Košaty a Martina Strbačky ze sdružení CZ.NIC se dělil na dvě části. První část se soustředila na podrobnosti z vývoje projektu, které se nevešly do úvodní prezentace z dopoledního bloku. V druhé části byly představeny možnosti konfigurace a využití routeru Turris a OpenWrt.
(Ne)workshop o projektu Turris – Martin Strbačka
Byl zde například popsán způsob blokování malware ve spolupráci s CSIRT.CZ, který si drží informace o nakažených stránkách v doméně .cz a monitoring komunikace s centry botnetů, jenž je primárně založen na seznamu známých IP adres. V případě monitoringu botnetů však zatím není zaručena tak velká pravděpodobnost, aby bylo možno je „bez ztráty kytičky“ blokovat, takže dosud je tento traffic jen logován.
Knot DNS a DNSSEC
Zde si účastníci mohli na svých noteboocích zkusit nainstalovat a zprovoznit Knot DNS a nakonfigurovat ho pro automatické podepisování, včetně podpory pro dynamické aktualizace zóny pomocí DDNS. Nakonec byly nastíněny některé plánované novinky, jako je podpora pro automatickou správu klíčů, podpora pro hardwarová úložiště klíčů, in-line podepisování a minimální NSEC3 důkazy.
Dynamické routování a BIRD
Zájemci se zde seznámili se základy dynamického routování, dále jim byly představeny protokoly OSPF a BGP a nasazení démona BIRD v počítačové síti. Tento workshop se uskutečnil již v rámci předešlých konferencí Internet a Technologie a z důvodu velké úspěšnosti byl znovu zařazen i do programu IT14. Tentokrát však byla větší pozornost věnována routování v samotném Internetu, tzn. protokolu BGP.
Lokální útoky s jednočipovým počítačem Teensy
V průběhu workshopu věnovanému lokálním útokům na Teensy si účastníci mohli vyzkoušet na připraveném vývojovém prostředí pro GNU/Linux a Windows jednoduché programování jednočipového počítače tak, aby s jeho pomocí bylo možné získat „vzdálený“ přístup do systému. Dále si osahali generování payloadů pro toto zařízení s programem Kautilya.
Lustr v Paspově sále, kde se konala konference IT14
Shrnutí (Lukáš Jelínek)
Konference IT14 hladce navázala na předchozí ročníky a udržela si vysokou úroveň jak z hlediska obsahového, tak z hlediska organizačního a provozního (přednášky/workshopy, doprovodný program, občerstvení atd.). Velmi kladně lze hodnotit kvalitní videostreaming pro ty, kdo se na konferenci nedostali, stejně jako možnost interaktivního vstupu přes XMPP/Jabber.
Je škoda, že před posledními workshopy se konference téměř vylidnila a workshopu o dynamickém routování se účastnilo jen několik (spočítatelných na jedné ruce) zájemců. Přitom šlo zrovna o workshop, který byl zařazen pro dřívější velký zájem. Je možné, že to bylo způsobeno pátečním odpolednem, kdy už má leckdo jiné zájmy než se účastnit workshopu. Možná by tedy bylo lepší zvolit jiné dny, které by lépe vyhověli většímu počtu účastníků – to už je na zvážení organizátorů.
Autorem fotografií v článku je Lukáš Jelínek.