CSNOG 2022

Europe/Prague
Congress Hal (OREA Congress Hotel Brno (former hotel Voronez))

Congress Hal

OREA Congress Hotel Brno (former hotel Voronez)

Krizkovskeho 47 603 73 Brno Czech Republic
Surveys
Dotazník spokojenosti / Satisfaction Questionnaire
    • 1
      BGPsec in the context of routing system security

      BGPsec enjoys global world domination. Or does it? No, it does not. At least not yet. Therefore this needs to be addressed.

      BGPsec has been around in theory and on paper for a while. Not in practice and deployments, though. Some production scale and quality experimentation with BGPsec, performed over last two years within Equinix networks, has revealed quite a number of incorrect design time assumptions, outright wrong decisions made, lack of community understanding of how it could and should be used, and how can it fit into the overall routing security framework. One of the open gaps is the unawareness of the community, primarily operations community, of how BGPsec functions and how it should be deployed. Therefore this proposal for your CSNOG event - a tutorial on BGPsec and how BGPsec fits into the overall context.

      Three large parts:

      • BGPsec the protocol, covering the protocol mechanics itself and how it operates on the BGP signaling level;
      • Infrastructure required for BGPsec operation, covering aspects of providing and distributing supporting informational elements into BGPsec system - integration with RPKI machinery, what is required from the perspective of registries and certificate authorities, what are the scalability properties expected from the RPKI side, and practical aspects of how existing origin and path validation tooling would need to be extended to cover BGPsec too;
      • BGPsec in the context of the overall routing security, and how it would match or interwork with the current understanding of routing security as realized by origin and path validation, with specific scenarios of what it would take to deploy BGPsec from the perspective of edge node, transit operator, an IX, and a CSP.

      Overall technical level is expected to be rather high and detailed - as topics involving cryptography and practical security engineering just cannot be shallow and trivial. The target audience is not implementers though - it is focused for deployment teams.

      Some historic background - having spent a substantial amount of time on characterizing the performance of BGPsec if deployed in the global routing system, it became evident that the current model will cause significant resource constraints on the infrastructure. For the most part the reasons why this would happen are not known to the community, and a common and outdated wisdom based on the BGPsec authors' vision appears to be misaligned with reality. Another aspect of complexity is in the area of supporting infrastructure - the keys and certificates and what to do about it to make it practically usable, and this part is mostly completely underlooked by the BGPsec specifications. As it appears at this time, the limiting factor to BGPsec adoption is the lack of community understanding in what it is and how it operates. There are some movements on the administrative side (NIST lobbying the US government and ITU to make BGPsec mandated for use), vendors are so far reluctant to do much as they do not see much interest from the community.

      The content could be squeezed into 1 hour, preferred format would be an auditorium discussion with audience questions intermixed, more resembling a workshop style. It is not expected to have a hands-on part - this is an introduction into BGPsec problematics, and also the existing tooling is yet too raw for production use. An expectation would be for the bidirectional communication with the audience in a form of a questions-driven discussion.

    • 12:30
      Lunch
    • 2
      Welcome
    • 3
      Kernun Central Station - reputační databáze IP adres

      Kvůli stále se zvyšujícímu podílu šifrované komunikace v počítačových sítích přestane být možné detekovat škodlivý provoz na základě obsahu komunikace.

      Tato přednáška se zaměřuje na to, jak tento problém řešit pomocí znalosti reputace komunikujících IP adres.

      Bude popsána idea budování reputační databáze a následně představen algoritmus, který tuto myšlenku implementuje. Funkčnost algoritmu bude ukázána jak v teoretické rovině, tak na praktických příkladech ze skutečných nasazení.
      Součástí přednášky bude i přehled zajímavých problémů, které se projevily při provozu v reálném světě, včetně jejich možných řešení.

    • 4
      Turris Sentinel without Turris routers

      For some time already, we have been working on new thread detection system for our Turris routers. Now we are slowly entering a phase, where we will be ready to deploy it even without our routers. I would like to talk abou how we did it and what were the challenges that we faced.

    • 5
      On the edge of small data

      Efficient analysis and collection of deeply inspected, high throughput network traffic is hard… especially as the trend towards globally distributed applications continues.

      pktvisor is a free and open source analytics agent designed to address this challenge. It combines embedded stream processing pipelines with traffic analysis and data sketch algorithms to efficiently extract counts, top-k heavy hitters, set cardinality, quantiles and other key information from data streams directly on the edge, resulting in lightweight time series metrics.

      Orb is an open source companion project that acts as a control tower for a distributed fleet of pktvisor agents, providing fleet and configuration management along with data collection and sinking functionality, accessible via web UI and REST API.

      Together their goal is to deliver immediately actionable insights local to the traffic source and simultaneously collected and integrated into global result sets.

      This talk will introduce the origin of the tools, discuss the goals and status of the projects, and look to the future as they extend beyond traffic analysis and into general streaming analytics embedded at the edge.

    • 6
      Přechod na VxLAN / EVPN krok za krokem

      V přednášce bych se zaměřil na úvahy, které předcházely výběru technologie a designu. Hlavním tématem je jaké jsme při návrhu udělali dobrá a špatná rozhodnutí a jak nám v tom technologie pomohla nebo naopak ublížila. Hlavními body je návrh "chassis vs. standalone box", vPC, "Fabric Peering" a návrh EVPN v režimu "ingress replication" a konečně "port-security" v L2 segmentu. Také se podíváme na novou funkcionalitu NX-OS nazvanou "super-bridging".

    • 15:40
      Coffee break
    • 7
      Směrovací cykly

      Cílem přednášky je zvýšit povědomí o problému směrovacích cyklů v Internetu. Protože myslím, že problém s cykly je podhodnocen. Na jedné straně může být zřejmé, že cykly nedělají nic dobrého a mohou způsobit škodu. Ale stále jsou jích hodně, pravděpodobně kvůli nedostatečné informovanosti v komunitě. Ukážu, jak vám cykly mohou ublížit a různé statistiky které jsem nasbíral vloni.

    • 8
      Měření spolehlivosti internetu v roce 2022: Česká republika, Slovensko a zbytek světa

      Sedm let po sobě vydávají Qrator Labs výroční zprávy o spolehlivosti národních internetových segmentů. Zdrojem dat je stav a historie vztahů ISP, jak je vidět ze vzájemných vztazích BGP.

      Výzkum za rok 2022 spatří světlo v srpnu. Chceme-li porozumět současné situaci v některém regionu z pohledu telekomunikací, musíme si o ní nejprve nasbírat nějaké informace. Musíme pochopit, kdo jsou nejvýznamnější hráči na trhu, jak rozmanitý je tento trh vůbec, kde jsou kritické body selhání. K tomu existuje několik přístupů.

      V roce 2022 si chceme pohrát s jedním z možných přístupů: z hlediska vztahů autonomních systémů. Podíváme se na současnou distribuci zdrojů mezi ASN a na to, jak dobře uplatňují současné bezpečnostní postupy. Také se pokusíme upozornit na špičku ISP a prověřit stabilitu a spolehlivost dvou regionů: Českou Republiku a Slovensko.

    • 9
      Objektivní měření mobilní sítě

      Mobilní sítě jsou velmi živý organismus, parametry fyzické vrstvy se dynamicky mění a kvalitativní parametry nejsou poplatné nejen místu, kde měření probíhá, ale i době měření, momentálnímu zatížení sítě či rychlosti pohybu terminálu. Načtení internetové stránky na uživatelském koncovém zařízení, případně další komplikovanější služby, je tak mnohem komplikovanější úloha než v pevných sítích. Pro zvládnutí této nelehké úlohy vzniká metodika testování na FEL ČVUT v Praze. Přednáška popisuje základní metody pro měření mobilních sítí s ohledem na komunikaci pomocí protokolu TCP a UDP s cílem analyzovat kvalitu služby QoS (Quality of Service). Na výsledcích měření mobilních sítí jsou představeny možnosti posouzení kvality sítě s ohledem na typ a algoritmus použitého protokolu TCP/UDP. V příspěvku budou prezentována data pořízená na měřicí platformě F-Tester® 5G 4drive-box, kterou používá ČTÚ a společnost CETIN.

    • 10
      Rádiové spektrum a přístup k němu po roce 2022

      V roce 2022 připravil Český telekomunikační úřad vyhodnocení Strategie správy rádiového spektra, ve kterém si vytyčil další krátkodobé kroky pro využívání rádiového spektra v České republice.
      Prezentace by měla zhodnotit dosavadní využívání klíčových kmitočtových pásem a budoucí regulační kroky nastíněné v dokumentech státu.

    • 11
      NETCONF vs gNMI - what can I do with them?

      Automation is not a buzz word anymore, but a need in many networking areas. As network services are becoming more and more complex, an automated way for deployment and monitoring is really required. There is a plenty of tools for network management (ansible, NSO, Terraform, ...), Some are commercial, but can we do something with open source tools and standardized protocols? Yes, for sure. Let's look at NETCONF and gNMI as ways how to communicate with network devices. Purpose of this talk is to demonstrate some practical use cases for device configuration (get&push) and operational management using recent versions of most common network operating systems and open source libraries implementing NETCONF or gNMI client.

    • 12
      Automatická aktualizace prefix listů

      V přednášce popíšu praktický příklad filtrování směrovacích informací pomocí automaticky aktualizovaných prefix listů na bird démonovi. Ukážu konkrétní konfigurace a kroky, jak to zopakovat.

    • 13
      BIRD in multiple threads: Quo volas?

      During last two decades, multi-threaded CPUs took the market. BIRD developers have been listening to complaints about a single-threaded architecture of the routing daemon and after some hesitation, several years of development and thousands of rewritten lines of code, there is finally a multi-threaded alpha version released.

      This talk will briefly cover the design choices we're taking, performance measurement results, new features being enabled by the rework, known bugs and caveats and future plans.

    • 14
      Správa sítí od studentů pro studenty

      V této přednášce nastíníme, jak fungují počítačové sítě spravované studenty na kolejích (převážně Strahov), jak řídíme přístup do sítě a jak řešíme připojování různých atypických zařízeni (IoT). Podíváme se na řešení nestandartních situací a představíme náš informační systém IS pro správu celé síťové infrastruktury a podpůrných služeb.

    • 11:20
      Coffee break
    • 15
      To block or not to block

      Internet was born free and without any blockings.
      Lately, illegal and illicit content appears, different for different states.
      Russia, which pretented to be European-like democracy implemented one of the most advanced blocking system, which looks completely legal.
      How it was evolved, from protection of children to war time censorship, is it really effective, how step-by step eolved supporting legislation.
      There are some legislative trends for content blockings in EU.
      Which mistakes made Russian industry to allow what happend, what to look carefully in other countries.

    • 16
      Global NOG Alliance: Taskforce Ukraine

      In my presentation I would like to report briefly on my trip to the Ukrainian border. I organized and accompanied a humanitarian convoy. This resulted in a task force Ukraine and we created the community project "Keep Ukraine Connected". This project got so much popularity within a few hours that I would like to give an intro to the project and also an update. This is not a commercial project, but a community project to support other disasters in the future. The Global NOG Alliance sees itself not only as a supporter for network operator group meetings and colleagues from the community who have an idea to organize a NOG meeting, but we see ourselves with the Ukraine task force as a link between the disaster area and the manufacturers/supporters .

    • 17
      Hosting UA cctld at CZ.NIC

      The story of operating UA cctld during first week of military invasion and decisions made to guarantee its operational integrity, availability and security. How several trusted partners were chosen, including CZ.NIC, which services were moved abroad; and how communication and management were set up. Recommendations for open source products, proprietary products, anycast server providers, and other resources.

      Speaker: Dmytro Kohmanyuk (Hostmaster.UA)
    • 18
      Jak blízko jsme rozštěpení Internetu

      Je odpojení Ruska od Internetu reálné?
      Ve své prezentaci představím, jak funguje organizace ICANN (Internet Corporation for Assigned Names and Numbers). Přichází v úvahu rozštěpení celosvětové sítě? Jaké jsou možnosti dočasného dobrovolného odtržení od Internetu? Jaké nástroje má Česká republika v případě masívního útoku a jak bychom obstáli?

      Speaker: Mr Ondřej Filip (CZ.NIC)
    • 19
      Closing
    • 13:10
      Lunch