Encuentro Nacional Tecnicos Cabase XX

Informe XX Encuentro Nacional de Técnicos CABASE

                                                    INTRODUCCION DEL EVENTO

 

la Cámara Argentina de Internet – CABASE – llevó a cabo el XX Encuentro Nacional de Técnicos y Internet Day en el Centro de Convenciones ubicado sobre Av. Figueroa Alcorta 2099 en la ciudad Autónoma de Buenos Aires. El evento convocó a toda la comunidad técnica de profesionales comprometidos con la ingeniería, seguridad y operación de Internet en la Argentina. El objetivo de estos encuentros que CABASE es generar un libre intercambio de ideas e información entre los asistentes, en su mayoría de los principales ISP, Carriers, IXPs y Universidades de la Argentina. La agenda temática del encuentro abordó los principales temas vinculados a las tecnologías y sistemas que hacen al funcionamiento de Internet como routing, switching, DNS, Datacenter, peering e interconexión y seguridad en la red, entre otros.

El objetivos principal de este evento fue la interaccion con los pares, ver soluciones,participar en las charlas informativas para los ISP, implementaciones nuevas, como asi tambien los equipamientos que se encuentran en el mercado.

Pudimos observar que al interactuar con nuestros pares nos encontramos con implementaciones que se estan llevando a cabo y otras que en nuestro ambiente ya se encuentran en producción.Estas implementaciones se refieren tanto a temas de Seguridad, Escalabilidad, Monitorizacion y Equipamientos en el mercado.

• Varias de las implementaciones que se mostraron en los encuntros no son gratuitas. (hoy en dia varias las llevamos a cabo mediante implementaciones no pagas)

Se constato con otros tecnicos la utilizaciones de las mismas tecnologias a niveles de Datacenter como asi tambien equipamientos finales hacia clientes.

     Cabe aclarar que los tecnicos con los que hablamos,  no tienen implementado una solucion FTTx sino FTTX.

• Como observacion se evidencio que una pequeña parte de los ISP utilizaba Equipomientos de borde no recomendados por varios tecnicoss

En las Recorridas de Los nodos de Cabase se pudo observar equipamientos que hoy en dia estamos familiarizados a nivel Tecnico como ser Marcas Ciscos, Huawei, Mikrotik, Servidores, Etc. En este recorrido tambien se busco ver otros modelos de Baterias,UPS y  grupos electrogenenos,zapatillas Rackeable, como tambien sistema automático de extinción que utilizan.

En las mismas recorridas se pudo observar desprolijidad en el trabjo de los Datacenter propios de cabase.

En las recorridas pudimos tambien  tomar nota de los Equipos de energizacion que utilizan y como ellos tienen una redundancia sobre su equipamiento.

En los Stand se busco en primera instancia prioridad sobre Soluciones de Mesh, como asi tambien Equipamientos de onus.

Se pudo evidenciar varias marcas genericas que se vendian,  y implementaciones a gran escala de automatizaciones de otras tipos de tecnologia como alarmas, camaras, seguimiento de moviles para empresa

Enfrentando la Tormenta Digital: Desafíos y Soluciones ante los Ataques DDos

Julio Tommasi

Alejandro Echagüe

Agustín Cerqueira

Julián Fassiano

• Presentación de distintos tipos de ataques de denegación de servicio sobre ISP

• Se realizó una charla de los inconvenientes que presentaron los ISP con dichos ataques,  el tiempo en que transcurrió,  como pudieron solucionarlo y las medidas que tomaron para que no vuelva a suceder.
  

En primera instancia se recalcó que siempre se debe tomar medidas de seguridad para evitar posibles ataques, y no esperar a que sucedan para tomar determinación sobre esto.

Los ataques que los ISP y IXP presentaron fueron volumétricos,por lo cual los mismos veían que su tráfico contra los proveedores aumentaron bruscamente por momentos y luego se estabilizaba. 

Primer Caso:

El router principal IXP de Buenos Aires se cae, pensaron que era problema de hardware, después de 3 horas aproximadamente volvió.

El inconveniente se presentó nuevamente.

Procedieron a  bajar la interfaz contra CABASE y el CPU bajó notoriamente. Luego de deshabilitar el PEER de BGP, desde CABASE le dieron comunidades extendidas para filtrar el tráfico y que habilite solamente a algunos carriers (el ISP no lo tenía configurado), el ataque no era continuo por lo que no sabían si la medida que tomaron era efectiva.

Luego de realizar lo mencionado en el párrafo anterior, los ataques se produjeron por el TIP. capturaron paquetes y observaron  tráficos UDP  segmentados (equipo Router Mikrotik)

Por consiguiente, configuraron una regla de firewall raw, pero no lo pudieron resolver definitivamente.

Segundo Caso: Alejandro Telefonía IP:

  Las comunicaciones se degradaron en los clientes, se dieron cuenta que recibían excesiva cantidad de tráfico UDP puerto 53, el cual  no estaban acostumbrado a recibir. Con ayuda de expertos pudieron mitigar los ataques.

Luego reiteradas veces sufrieron nuevos ataques y al verificar mejor con un analizador de tráfico, pudieron observar que se veía un aumento  de paquetes fragmentados de protocolo UDP. Con la necesidad de solucionar esto, empezaron a bajar los PEER para determinar por donde venía el ataque, descubrieron que al bajar contra hurricane electric el servicio se normalizo. Pasado un tiempo lo levantaron nuevamente.-

Desde CABASE están tratando de traer el máximo posible de tráfico, por lo que estos sucesos pueden ser más notorios al ir agrandando los mismos.

Los expositores dieron como posibles soluciones el natear con IP de Carrier, en el caso de TIP y otra solución era abrir el ancho de banda (caño) y que pasara todo.

  Asimismo mencionaron que detectaron que los clientes tenían los DNS abiertos, por lo cual debieron generar políticas para que no suceda.

Como dato adicional el expositor de Telecom nos menciona que tienen una solución aplicada la cual se puede contratar y en la cual puede llegar a mitigar un ataque de hasta  1T de ancho de banda (Arbor)

Como Herramientas para detección y mitigación de los ataques de DDoS nos mencionaron  fueron NETFLOW, ARBOR, BLACKHOLE, RPK Y FLOWSPEC.

Seguridad y BGP en RouterOS v7

BGP: Filtros publicación de redes, configuración de peers, ciberseguridad. Capa 2 y capa 3 en equipos Mikrotik

Julián Fassiano

Se comentó sobre script para reglas, generación de diferentes filtros, como así  también la utilización de and y or. Asimismo mostró como cambia respecto a la versión 6 la configuración de filtros. 

Recomendaciones: Agregar router filter  agregar cadenas para rechazar todo .

La necesidad de los filtros va a depender de la solución de cada ISP y la seguridad que le queramos dar.

• Agregación de comunidades simples. (acción)

• La comunidad blackhole no nos ayuda a ataque volumétricos a nivel ip (ejemplo hping)

• Comunidades Extendidas:

• CABASE tiene a qué comunidades debo publicar.

• Agregar path-prepend técnica que implica la adición repetitiva del identificador de sistema autónomo (ASN) propio a la lista de AS en el camino de una ruta BGP.

• Existe un crossfit que hace migración v6 a v7 sin problemas.

A continuación cito algunos comandos a utilizar:

Verificación de los estados de los peer en mikrotik:  /routing bgp session print

- Monitoreo de BGP Prefijos que se publican se pueden ver en :routing bgp advertisements print.-

Como consejos de seguridad mencionó:

• Configuración de MNDP y LLDP en MIKROTIK (con este método se puede ver en capa 2 los equipos que tenemos conectado).

• Las opciones de conexión por ROMON. (no debe  estar activo por seguridad)

• Seguridad Mejoras del Servicio SSH:

• Usar en lo posible técnica de Port Knocking.

• Acceso desde otro puerto, o allow address también para seguridad.

• Utilización de firewall cero confianza. establecido y descarta todo lo demás.

• Webfig mantenerlo deshabilitado.

• Importancia de winbox: proteger y  no dejar nunca abierto el 8291.

Guardianes de la Conectividad

Protegiendo a tu ISP y a tus usuarios contra Ransomware y Botnets mediante el uso de DNS para evitar listas negras

Hernan Kleinman - Planisys

DNZ RPZ

En la charla se vieron los Problemas típicos que se presentan sobre los DNS, tales como:

• Cuidarse de dispositivos hackeados por los usuarios.

• Seguridad sobretodo en DNS internos.

• Restringir contenido que se puede realizar desde DNS.

• Exigencias Legales.
• IP públicas en listas negras.
• Redirecciones de acceso.

• Envío de spam (el archivo normalmente viene limpio pero la basura se genera internamente al abrirlo)
  

Las implementaciones que realizan son:

• • Capturar el puerto 53 para analizar el tráfico DNS, esto mejoraría el mismo y se podría hacer que sea lo más limpio posible, como así también, verificar el tipo de contenido.

Brindan un Servicio de Valor Agregado para los ISP, así mismo, nos informaron que se puede realizar Reventa de Filtrado para clientes.

Los tipos de esquemas que actualmente resuelven son los siguientes:

Dentro del ISP

Se complementa con un Entorno híbrido en la nube.

Resolves con IPV6, para mejorar el consumo.

La pata de autoritativos para el PTR.

Se puede hacer Delegación de BGP para dar más visibilidad y conectividad.

Inserción de javascript para url maliciosas.

Common Language

IConectiv

Centraliza la información de tus activos de red, para que puedas eliminar duplicaciones y evitar errores.

Es un sistema que nos ayuda a ubicar los activos (equipos de la empresa) desplegados en nuestra red y permite que identifiquemos compatibilidad con otros equipos.

• Lenguaje común para todos los sistemas
• Mismo código en distintas marcas para hablar de lo mismo.
• Contiene  códigos CLFI de 5 a 8 caracteres, es como un DNI de cada cosa, ej: puerto, fibra, switch, etc.

Las Características principales que se mencionaron fueron:

Eficiencia de red mejorada: Common Language facilita una comunicación eficiente y precisa entre diferentes componentes de la red, lo que reduce el riesgo de errores y malas interpretaciones.

Gestión de red simplificada: al utilizar un lenguaje estandarizado, los operadores de red pueden gestionar sus redes de forma más eficiente, simplificando tareas como la gestión de inventario, la resolución de problemas y el aprovisionamiento.

Los códigos mencionados vienen por un aplicativo se que pueden utilizar y se pueden mediante este escanear las etiquetas.

Los Métodos siguientes se pueden realizar con el CLI:

-Gestión de inventario

-Identificación de inventario

Por lo que se mencionó en la exposición, esto se puede utilizar para todo lo que tengas en la red. Si un proveedor no tiene el cli, se le tiene que solicitar para que lo pongan.

Porcentaje de tráfico promedio sobre su tráfico total. Benchmark

Hernán Seone

Juan Carlos Marquez

Estas son técnicas para optimizar la recepción de tráfico por los IXPs. Optimización de CDNs. Tráfico Asimétrico. Repaso de las técnicas disponibles.

Los temas principales fueron:

En cuando a Benchmark desde 3 puntos de vista:

1- Un ISP chico que no tiene cache, está conectado a un punto de intercambio de tráfico y su costo de TIP es mucho más caro que el costo de transporte.

Entonces para se busca optimizar el Benchmark de cada ISP teniendo en cuenta 90%/10% (IPX/TIP)

2- Un ISP grande tiene varios caché y hay parte que tomó de un IXP, la sumatoria del IXP más la sumatoria del caché debería ser igual al 90 % del total lo que entregamos al usuario POR LO TANTO debería de quedar un 10% de TIP

3-El carrier me vende un fijo, compro capacidad fija, CABASE compro variable.

• Lo conveniente que mencionaron desde CABASE es que los ISP se deben juntar, llegar a un precio y negociar con los carriers. Esto va a generar que la preocupación se la va a llevar los  carriers y así mejorará el precio.

Ruteo central distribuye el tráfico, ya sea conectado en donde este.

Los ISP tienen que tener un volumen alto para justificar y que los CDN envíen los equipos.

Google es al revés. (no envía cache a nadie)

Implementación de Wiki de CABASE:

• Se encuentra un link sesión especial para los técnicos (configuraciones para los IXP regionales)

• Temáticas habituales.

• Consultas publicas y de referencia por ejemplo comunidades, recomendaciones de ruteo, BGP. Configuración de Blackhole.

Estas son herramientas que nos ayudan a mejorar, también es bueno la participación de la comunidad para ayudar y tener un repositorio de consultas.

Desarrollando el Entretenimiento

Conocer el equipamiento, las nuevas salas y equipamiento de las CDNs / Conocer la Plataforma de Distribución de Contenidos, encriptación, antenas, etc. (HUB DE CONTENIDOS CABASE)

Una Mirada Técnica a los Proyectos de Netflix en Argentina

Vinicius Esteves

• El caché nunca encuentra todo el contenido. por esa razón a veces el tráfico se busca en otro lado.

• Meta tiene multipeer FNA

• En Horarios picos, los que tienen FNA se produjeron reclamos últimamente.(problema con la granja de servidores. por parte de Meta. ya fue reportado por la misma compañía)

• DNS abiertos, desde CABASE se le informará a los ISP que tienen abierto, para que lo verifiquen.

Equipamientos y tipos de servidores que dan los cache de Netflix

En la siguiente imagen se puede observar las eficiencia, consumos necesarios y espacio en si 

Informe para completar, desde NETFLIX verifica la necesidad de cada caso y dependiendo de eso proceden a evaluar y si es conveniente enviar equipamiento.

Así mismo verifica las métricas y las calidades que presenta los clientes del ISP para ver si es necesario realizar cambios de equipos

Criterios para la selección de envío de un OCA

Información de los registros:

Netflix no utiliza herramientas de flujo, pero recomiendan tenerla.

Oakla Speedtest

las formas de realizar las pruebas son las siguientes:

Servidores:

Cuando el cliente se conecta, verifica los servidores que se encuentran más cerca, mejor performance, y con mejor llegada. esto también se basa en la latencia

• Se puede aplicar un servidor seleccionado por parte del cliente.

Automatizando Redes con Framework MAT

German Trozzi - Iquall Networks

Implementación de automatización, como primera medida realizar script para evitar realizar procedimientos manuales y así mejorar el tiempo de resoluciones sobre distintos sistemas.

Alfredo Verderosa - Gerente de Servicios

En esta exposición el orador explica lo positivo de migrar a redes automatizadas, comenzando desde automatizar funciones o trabajos rutinarios hasta procesos de análisis más avanzados. De tal forma en que no la IA reemplace a las personas, sino para que estas puedan dedicar más tiempo a temas mas estrategicos y que mejoren procesos. 

LACNIC

Agotamiento de IPv4 - Valores de transferencias

Los oradores hablaron sobre el agotamiento de IPv4 y comentaron que hay lista de espera de 7 años aprox. y comentaron que preventivamente se puede pagar por direcciones IPv6 hasta tanto se pueda asignar las antes mencionadas por un precio más accesible.

Recomendaron participar del foro de LACNIC, para dar algún punto de vista sobre los temas que tratan, como asi también proponer nuevas ideas. Para esto no hace falta ser parte de algún Ente.

Conectando el Cielo

Pablo Recalt - Telespazio

Starlink y la Revolución de los Satélites en Órbita Baja en Argentina / Antenas, Demostración del funcionamiento y modelo de negocio mayorista.

El expositor dio información sobre las bondades de las comunicaciones satelitales. Trabajan con satélites en órbita LEO, de la empresa Starlink.

Una de las consultas que se hizo es si una vez conectados podemos trabajar con nuestras IP´s y comento que aun no pero en un futuro se podría hacer

Novedades sobre Nuevas CDNs, Route Servers, RPKI, Ataques DDoS, etc.

Se informo a la gente de cabase la necesidad de algunos IPS de contar con cache de distintas CDN, lo cual

Visita a IXP BUE, Ruteo Central, DC CDNs | Visita a ROCSTAR

Nodos

Sala de ups

Sala de Operaciones

Pudimos observar que el análisis de tráfico y seguimiento de alarmas se realiza mediante Observium.

Sala de Generadores

Rocstar.

Cabe mencionar que la visita a este sector fue solo para comentarnos como es el servicio que brindan, similar al implementado en Wiltel (PLAYME) y no nos mostraron los equipos instalados. Ellos ofrecen a ISP llevarles el contenido y que la aplicación se llame como quieran ellos