BGPsec enjoys global world domination. Or does it? No, it does not. At least not yet. Therefore this needs to be addressed.
BGPsec has been around in theory and on paper for a while. Not in practice and deployments, though. Some production scale and quality experimentation with BGPsec, performed over last two years within Equinix networks, has revealed quite a number of incorrect design time assumptions, outright wrong decisions made, lack of community understanding of how it could and should be used, and how can it fit into the overall routing security framework. One of the open gaps is the unawareness of the community, primarily operations community, of how BGPsec functions and how it should be deployed. Therefore this proposal for your CSNOG event - a tutorial on BGPsec and how BGPsec fits into the overall context.
Three large parts:
Overall technical level is expected to be rather high and detailed - as topics involving cryptography and practical security engineering just cannot be shallow and trivial. The target audience is not implementers though - it is focused for deployment teams.
Some historic background - having spent a substantial amount of time on characterizing the performance of BGPsec if deployed in the global routing system, it became evident that the current model will cause significant resource constraints on the infrastructure. For the most part the reasons why this would happen are not known to the community, and a common and outdated wisdom based on the BGPsec authors' vision appears to be misaligned with reality. Another aspect of complexity is in the area of supporting infrastructure - the keys and certificates and what to do about it to make it practically usable, and this part is mostly completely underlooked by the BGPsec specifications. As it appears at this time, the limiting factor to BGPsec adoption is the lack of community understanding in what it is and how it operates. There are some movements on the administrative side (NIST lobbying the US government and ITU to make BGPsec mandated for use), vendors are so far reluctant to do much as they do not see much interest from the community.
The content could be squeezed into 1 hour, preferred format would be an auditorium discussion with audience questions intermixed, more resembling a workshop style. It is not expected to have a hands-on part - this is an introduction into BGPsec problematics, and also the existing tooling is yet too raw for production use. An expectation would be for the bidirectional communication with the audience in a form of a questions-driven discussion.
Kvůli stále se zvyšujícímu podílu šifrované komunikace v počítačových sítích přestane být možné detekovat škodlivý provoz na základě obsahu komunikace.
Tato přednáška se zaměřuje na to, jak tento problém řešit pomocí znalosti reputace komunikujících IP adres.
Bude popsána idea budování reputační databáze a následně představen algoritmus, který tuto myšlenku implementuje. Funkčnost algoritmu bude ukázána jak v teoretické rovině, tak na praktických příkladech ze skutečných nasazení.
Součástí přednášky bude i přehled zajímavých problémů, které se projevily při provozu v reálném světě, včetně jejich možných řešení.
For some time already, we have been working on new thread detection system for our Turris routers. Now we are slowly entering a phase, where we will be ready to deploy it even without our routers. I would like to talk abou how we did it and what were the challenges that we faced.
Efficient analysis and collection of deeply inspected, high throughput network traffic is hard… especially as the trend towards globally distributed applications continues.
pktvisor is a free and open source analytics agent designed to address this challenge. It combines embedded stream processing pipelines with traffic analysis and data sketch algorithms to efficiently extract counts, top-k heavy hitters, set cardinality, quantiles and other key information from data streams directly on the edge, resulting in lightweight time series metrics.
Orb is an open source companion project that acts as a control tower for a distributed fleet of pktvisor agents, providing fleet and configuration management along with data collection and sinking functionality, accessible via web UI and REST API.
Together their goal is to deliver immediately actionable insights local to the traffic source and simultaneously collected and integrated into global result sets.
This talk will introduce the origin of the tools, discuss the goals and status of the projects, and look to the future as they extend beyond traffic analysis and into general streaming analytics embedded at the edge.
V přednášce bych se zaměřil na úvahy, které předcházely výběru technologie a designu. Hlavním tématem je jaké jsme při návrhu udělali dobrá a špatná rozhodnutí a jak nám v tom technologie pomohla nebo naopak ublížila. Hlavními body je návrh "chassis vs. standalone box", vPC, "Fabric Peering" a návrh EVPN v režimu "ingress replication" a konečně "port-security" v L2 segmentu. Také se podíváme na novou funkcionalitu NX-OS nazvanou "super-bridging".
Cílem přednášky je zvýšit povědomí o problému směrovacích cyklů v Internetu. Protože myslím, že problém s cykly je podhodnocen. Na jedné straně může být zřejmé, že cykly nedělají nic dobrého a mohou způsobit škodu. Ale stále jsou jích hodně, pravděpodobně kvůli nedostatečné informovanosti v komunitě. Ukážu, jak vám cykly mohou ublížit a různé statistiky které jsem nasbíral vloni.
Sedm let po sobě vydávají Qrator Labs výroční zprávy o spolehlivosti národních internetových segmentů. Zdrojem dat je stav a historie vztahů ISP, jak je vidět ze vzájemných vztazích BGP.
Výzkum za rok 2022 spatří světlo v srpnu. Chceme-li porozumět současné situaci v některém regionu z pohledu telekomunikací, musíme si o ní nejprve nasbírat nějaké informace. Musíme pochopit, kdo jsou nejvýznamnější hráči na trhu, jak rozmanitý je tento trh vůbec, kde jsou kritické body selhání. K tomu existuje několik přístupů.
V roce 2022 si chceme pohrát s jedním z možných přístupů: z hlediska vztahů autonomních systémů. Podíváme se na současnou distribuci zdrojů mezi ASN a na to, jak dobře uplatňují současné bezpečnostní postupy. Také se pokusíme upozornit na špičku ISP a prověřit stabilitu a spolehlivost dvou regionů: Českou Republiku a Slovensko.
Mobilní sítě jsou velmi živý organismus, parametry fyzické vrstvy se dynamicky mění a kvalitativní parametry nejsou poplatné nejen místu, kde měření probíhá, ale i době měření, momentálnímu zatížení sítě či rychlosti pohybu terminálu. Načtení internetové stránky na uživatelském koncovém zařízení, případně další komplikovanější služby, je tak mnohem komplikovanější úloha než v pevných sítích. Pro zvládnutí této nelehké úlohy vzniká metodika testování na FEL ČVUT v Praze. Přednáška popisuje základní metody pro měření mobilních sítí s ohledem na komunikaci pomocí protokolu TCP a UDP s cílem analyzovat kvalitu služby QoS (Quality of Service). Na výsledcích měření mobilních sítí jsou představeny možnosti posouzení kvality sítě s ohledem na typ a algoritmus použitého protokolu TCP/UDP. V příspěvku budou prezentována data pořízená na měřicí platformě F-Tester® 5G 4drive-box, kterou používá ČTÚ a společnost CETIN.
V roce 2022 připravil Český telekomunikační úřad vyhodnocení Strategie správy rádiového spektra, ve kterém si vytyčil další krátkodobé kroky pro využívání rádiového spektra v České republice.
Prezentace by měla zhodnotit dosavadní využívání klíčových kmitočtových pásem a budoucí regulační kroky nastíněné v dokumentech státu.
Automation is not a buzz word anymore, but a need in many networking areas. As network services are becoming more and more complex, an automated way for deployment and monitoring is really required. There is a plenty of tools for network management (ansible, NSO, Terraform, ...), Some are commercial, but can we do something with open source tools and standardized protocols? Yes, for sure. Let's look at NETCONF and gNMI as ways how to communicate with network devices. Purpose of this talk is to demonstrate some practical use cases for device configuration (get&push) and operational management using recent versions of most common network operating systems and open source libraries implementing NETCONF or gNMI client.
V přednášce popíšu praktický příklad filtrování směrovacích informací pomocí automaticky aktualizovaných prefix listů na bird démonovi. Ukážu konkrétní konfigurace a kroky, jak to zopakovat.
During last two decades, multi-threaded CPUs took the market. BIRD developers have been listening to complaints about a single-threaded architecture of the routing daemon and after some hesitation, several years of development and thousands of rewritten lines of code, there is finally a multi-threaded alpha version released.
This talk will briefly cover the design choices we're taking, performance measurement results, new features being enabled by the rework, known bugs and caveats and future plans.
V této přednášce nastíníme, jak fungují počítačové sítě spravované studenty na kolejích (převážně Strahov), jak řídíme přístup do sítě a jak řešíme připojování různých atypických zařízeni (IoT). Podíváme se na řešení nestandartních situací a představíme náš informační systém IS pro správu celé síťové infrastruktury a podpůrných služeb.
Internet was born free and without any blockings.
Lately, illegal and illicit content appears, different for different states.
Russia, which pretented to be European-like democracy implemented one of the most advanced blocking system, which looks completely legal.
How it was evolved, from protection of children to war time censorship, is it really effective, how step-by step eolved supporting legislation.
There are some legislative trends for content blockings in EU.
Which mistakes made Russian industry to allow what happend, what to look carefully in other countries.
In my presentation I would like to report briefly on my trip to the Ukrainian border. I organized and accompanied a humanitarian convoy. This resulted in a task force Ukraine and we created the community project "Keep Ukraine Connected". This project got so much popularity within a few hours that I would like to give an intro to the project and also an update. This is not a commercial project, but a community project to support other disasters in the future. The Global NOG Alliance sees itself not only as a supporter for network operator group meetings and colleagues from the community who have an idea to organize a NOG meeting, but we see ourselves with the Ukraine task force as a link between the disaster area and the manufacturers/supporters .
The story of operating UA cctld during first week of military invasion and decisions made to guarantee its operational integrity, availability and security. How several trusted partners were chosen, including CZ.NIC, which services were moved abroad; and how communication and management were set up. Recommendations for open source products, proprietary products, anycast server providers, and other resources.
Je odpojení Ruska od Internetu reálné?
Ve své prezentaci představím, jak funguje organizace ICANN (Internet Corporation for Assigned Names and Numbers). Přichází v úvahu rozštěpení celosvětové sítě? Jaké jsou možnosti dočasného dobrovolného odtržení od Internetu? Jaké nástroje má Česká republika v případě masívního útoku a jak bychom obstáli?
