Работа в Стамбуле

Метка: mpls mitm

  • Принципы защиты сетевого оборудования регионального уровня

    Принципы защиты сетевого оборудования регионального уровня

     Оборудование регионального уровня непосредственно связано с оборудованием сетей клиентов сети IP/MPLS ПАО «Ростелеком» и, следовательно, подвергается максимальному риску атак из сетей клиентов ПАО «Ростелеком».

    Принципы защиты оборудования регионального уровня

          В первую очередь необходима защита маршрутизаторов уровня доступа от несанкционированного доступа с использованием различных сетевых протоколов, а также от некорректной маршрутной информации, как в глобальной таблице маршрутизации, так и в отдельных VRF клиентов.

          В основном защита от несанкционированного доступа производится аналогично защите для маршрутизаторов ядра.

          Поскольку пиринг с сетями клиентов и с сетями других операторов происходит с использованием протокола BGP, то необходима, прежде всего, фильтрация префиксов, приходящих от BGP маршрутизаторов сторонних сетей с целью недопущения попадания некорректной маршрутной информации, анонсируемой маршрутизаторами сторонних сетей в результате ошибки или умышленно. Фильтрация префиксов IPv4 осуществляется на базе списка, приведённого в [RFC6890]. Данный список содержит адреса следующих зарезервированных IETF и не подлежащих выделению сетей:

    • 0.0.0.0/8;
    • 0.0.0.0/1 – 0.0.0.0/32;
    • 10.0.0.0/8;
    • 172.16.0.0/12;
    • 192.168.0.0/16;
    • 127.0.0.0/8;
    • 192.0.0.0/24;
    • 192.0.2.0/24;
    • 169.254.0.0/16;
    • 100.64.0.0/10;
    • 192.88.99.0/24;
    • 198.18.0.0/15;
    • 198.51.100.0/24;
    • 203.0.113.0/24;
    • 224.0.0.0/4;
    • 240.0.0.0/4;

          Фильтрация префиксов IPv6 осуществляется на базе списка, указанного в [RFC6890] следующие префиксы:

    • ::/128;
    • ::1/128;
    • FE80::/10;
    • FC00::/7;
    • 2001::/23;
    • 2002::/16;
    • 64:ff9b::/96;
    • ::ffff:0:0/96;
    • 100::/64;

          С целью уменьшения общего числа префиксов фильтруются все префиксы с маской, длина которой превышает 24 бита для IPv4 и 48 бит для IPv6.
          Такая же фильтрация применяется и при передаче префиксов за пределы автономной системы Ростелеком.

          Пример политики для фильтрации неиспользуемых в сети Internet префиксов на маршрутизаторах Juniper:

    protocols {

        bgp {

            group INET_Customers {

                type external;

                neighbor 1.1.1.2 {

                    description «### Test Client ###»;

                    import sanity-check;

                    export sanity-check;

                    peer-as 65432;

                }

            }

            group INET_v6_Customers {

                type external;

                family inet6 {

                    unicast;

                }

                neighbor 1::2 {

                    description «### Test IPv6 Client ###»;

                    import v6-sanity-check;

                    export v6-sanity-check;

                    peer-as 65432;

                }

            }

        }

    }

    policy-options {

        policy-statement sanity-check {

            term reject-bogons {

                from policy bogons;

                then reject;

            }

            term accept-blackhole {

                from community type_blackhole_route;

                then next policy;

            }

            term reject-long-prefixes {

                from {

                    route-filter 0.0.0.0/0 prefix-length-range /25-/32 reject;

                }

            }

        }

        policy-statement bogons {

            term match-rfc6890-networks {

                from {

                    route-filter 10.0.0.0/8 orlonger accept;

                    route-filter 172.16.0.0/12 orlonger accept;

                    route-filter 192.168.0.0/16 orlonger accept;

                    route-filter 0.0.0.0/1 through 0.0.0.0/32 accept;

                    route-filter 0.0.0.0/8 orlonger accept;

                    route-filter 127.0.0.0/8 orlonger accept;

                    route-filter 192.0.0.0/24 orlonger accept;

                    route-filter 192.0.2.0/24 orlonger accept;

                    route-filter 169.254.0.0/16 orlonger accept;

                    route-filter 192.88.99.0/24 orlonger accept;

                    route-filter 224.0.0.0/4 orlonger accept;

                    route-filter 240.0.0.0/4 orlonger accept;

                    route-filter 198.18.0.0/15 orlonger accept;

                    route-filter 198.51.100.0/24 orlonger accept;

                    route-filter 203.0.113.0/24 orlonger accept;

                    route-filter 100.64.0.0/10 orlonger accept;           

                }

            }

            term reject-others {

                then reject;

            }

        }

        policy-statement v6-sanity-check {

            term reject-bogons {

                from policy v6-bogons;

                then reject;

            }

            term reject-long-prefixes {

                from {

                    route-filter ::/0 prefix-length-range /48-/128 reject;

                }

            }

        }

        policy-statement v6-bogons {

            term match-rfc6890-networks {

                from {

                    route-filter ::/128 exact accept;

                    route-filter ::1/128 exact accept;

                    route-filter ::/1 through ::/128 accept;

                    route-filter FE80::/10 orlonger accept;

                    route-filter FC00::/7 orlonger accept;

                    route-filter 2001::/23 orlonger accept;

                    route-filter 2002::/16 orlonger accept;

                    route-filter 64:ff9b::/96 orlonger accept;

                    route-filter ::ffff:0:0/96 orlonger accept;

                    route-filter 100::/64 orlonger accept;

                }

            }

            term reject-others {

                then reject;

            }

        }

    }

          Для снижения вероятности программных сбоев, которые могут произойти в случае большого количества транзитных автономных систем в пути для какого-то префикса, принимаются только анонсы, количество автономных систем в AS_PATH которых не превышает 50. Такое значение не позволяет принимать слишком длинные AS_PATH и в то же время достаточно для корректно сформированных анонсов.

          Пример контроля количества AS в принимаемых анонсах на маршрутизаторах Juniper Networks:

    protocols {

        bgp {

            group INET_Customers {

                type external;

                neighbor 1.1.1.2 {

                    description «### Test Client ###»;

                    import restrict-long-as;

                    peer-as 65432;

                }

            }

            group INET_v6_Customers {

                type external;

                family inet6 {

                    unicast;

                }

                neighbor 1::2 {

                    description «### Test IPv6 Client ###»;

                    import restrict-long-as;

                    peer-as 65432;

                }

            }

        }

    }

    policy-options {

        policy-statement restrict-long-as {

            term reject-long-as_path {

                from as-path too_long_as_path;

                then reject;

            }

        }

        as-path too_long_as_path «.{50,}»;

    }

          Пример контроля количества AS в принимаемых анонсах на маршрутизаторах Cisco Systems:

    router bgp 12389

     bgp maxas-limit 50

    !


          Также необходимо запретить приём от клиентов префиксов Ростелеком и маршрута по умолчанию. Значения BGP Community, не предназначенные для использования клиентами (раздел «3.2.1 Маркировка маршрутов»), должны быть удалены.

          Пример запрета приёма префиксов Ростелеком и маршрута по умолчанию:

    protocols {

        bgp {

            group INET_Customers {

                type external;

                neighbor 1.1.1.2 {

                    description «### Test Client ###»;

                    local-address 1.1.1.1;

                    import INET_CUSTOMER_in;

                    peer-as 65432;

                }

            }

            group INET_v6_Customers {

                type external;

                family inet6 {

                    unicast;

                }

                neighbor 1::2 {

                    description «### Test IPv6 Client ###»;

                    local-address 1::1;

                    import INET__v6_CUSTOMER_in;

                    peer-as 65432;

                }

            }

        }

    }

    policy-options {

        policy-statement INET_CUSTOMER_in {

            term reject-RT-aggregate {

                from policy RT-aggregate;

                then reject;

            }

            term reject-RT-longer-prefixes {

                from policy RT-longer-prefixes;

                then reject;

            }

            term reject-default-route {

                from {

                    route-filter 0.0.0.0/0 exact;

                }

                then reject;

            }

            term remove-12389-communities {

                then {

                    community delete 12389:1-3X;

                    community delete 12389:1UZZ;

                }

            }

        }

        policy-statement RT-aggregate {

            term match-RT-aggregate-networks {

                from {

                    route-filter 87.226.128.0/17 exact accept;

                    route-filter 79.133.64.0/19 exact accept;

                    route-filter 92.50.192.0/18 exact accept;

                    route-filter 94.25.0.0/17 exact accept;

                }

            }

            term reject-others {

                then reject;

            }

        }

        policy-statement RT-longer-prefixes {

            term match-RT-longer-prefixes {

                from {

                    route-filter 87.226.128.0/17 longer accept;

                    route-filter 79.133.64.0/19 longer accept;

                    route-filter 92.50.192.0/18 longer accept;

                    route-filter 94.25.0.0/17 longer accept;

                }

            }

            term reject-others {

                then reject;

            }

        }

        policy-statement INET_v6_CUSTOMER_in {

            term reject-RT-v6-aggregate {

                from policy RT-v6-aggregate;

                then reject;

            }

            term reject-RT-v6-longer-prefixes {

                from policy RT-v6-longer-prefixes;

                then reject;

            }

            term reject-default-route {

                from {

                    route-filter ::/0 exact;

                }

                then reject;

            }

            term remove-12389-communities {

                then {

                    community delete 12389:1-3X;

                    community delete 12389:1UZZ;

                }

            }

        }

        policy-statement RT-v6-aggregate {

            term match-RT-v6-aggregate-networks {

                from {

                    route-filter 2A01:620::/32 exact accept;

                }

            }

            term reject-others {

                then reject;

            }

        }

        policy-statement RT-v6-longer-prefixes {

            term match-RT-v6-longer-prefixes {

                from {

                    route-filter 2A01:620::/32 longer accept;

                }

            }

            term reject-others {

                then reject;

            }

        }

        community 12389 members 12389:*;

        community 12389:1-3X members «^12389:.{1,3}$»;

        community 12389:1UZZ members «^12389:1…$»;

    }

          В целях уменьшения влияния анонсов отдельных клиентов на ресурсы маршрутизаторов Сети ограничивается количество префиксов, получаемых от клиентов, значением 1000 для префиксов IPv4 и 100 для IPv6 (это значение может быть изменено для отдельного клиента или пересмотрено для всей Сети при изменении общей ситуации в сети Internet). При превышении 80% от этого значения генерируется сообщение в журнале событий (syslog), а при превышении 100% сессия BGP разрывается и может быть установлена вновь через 30 минут.

          Пример ограничения количества принимаемых префиксов на маршрутизаторах доступа:

    protocols {

        bgp {

            group INET_Customers {

                type external;

                family inet {

                    unicast {

                        prefix-limit {

                            maximum 1000;

                            teardown 80 idle-timeout 30;

                        }

                    }

                }

            }

            group INET_v6_Customers {

                type external;

                family inet6 {

                    unicast {

                        prefix-limit {

                            maximum 100;

                            teardown 80 idle-timeout 30;

                        }

                    }

                }

            }

        }

    }

          В существующей сети ПАО «Ростелеком» для защиты от некорректных маршрутов применяется фильтрация на основе информации Routing Arbiter Database, являющейся одной из наиболее полных на сегодняшний день баз информации о зарегистрированных в региональных центрах регистрации (Regional Internet Registry, RIR) объектах (автономные системы, префиксы, принципы взаимодействия с соседями). Такая фильтрация является очень мощным средством обеспечения безопасности и стабильности.    Кроме того, процесс получения информации и настройки маршрутизаторов автоматизируется с помощью специализированных программных средств. Если номер автономной системы клиента двухбайтный, для формирования имени фильтра на сети IP/MPLS ПАО «Ростелеком» используется форма CUSTOMER:<ASN>, где <ASN> – номер автономной системы клиента или название AS-SET, AS-NUM или AUT-NUM, зарегистрированные в RIR.

          Пример фильтра при приёме маршрутов от клиента:

    protocols {

        bgp {

            group INET_Customers {

                neighbor 1.1.1.2 {

                    description «### Test Client ###»;

                    import CUSTOMER:65432;

                    peer-as 65432;

                }

            }

        }

    }

    policy-options {

        policy-statement CUSTOMER:65432 {

            term rtbh {

                from {

                    community type_blackhole_route;

                    route-filter 2.1.0.0/16 orlonger;

                    route-filter 1.2.3.0/24 orlonger;

                }

                then {

                    community add NO_EXPORT;

                    next-hop discard;

                    accept;        

                }

            }

            term prefixes {

                from {

                    route-filter 2.1.0.0/16 upto /24;

                    route-filter 1.2.3.0/24 exact;

                }

                then next policy;

            }

            then reject;

        }

        community NO_EXPORT members no-export;

        community type_blackhole_route members 12389:55555;

    }

          Необходимо отметить, что фильтрация префиксов, получаемых от BGP-маршрутизаторов сторонних сетей, не гарантирует отсутствие входящих пакетов с адресами источников из запрещённых сетей. Как и в случае маршрутизаторов магистрального уровня, необходима настройка списков доступа на внутреннем интерфейсе маршрутизатора, связывающем подсистему управления маршрутизатором с подсистемой коммутации пакетов. Также необходимо запретить возможность записывания данных по протоколу SNMP для всех устройств уровня доступа, кроме маршрутизаторов с функциональностью IP SLA, оставив лишь возможность чтения некоторых параметров необходимых для систем мониторинга и управления, а также для систем биллинга. Для маршрутизаторов с функциональностью IP SLA остается возможность записи по протоколу SNMP в CISCO-RTTMON MIB.
          Таким образом, политика безопасности маршрутизаторов доступа в основном совпадает с политикой безопасности маршрутизаторов ядра. Для организации второго рубежа защиты, ориентированного на защиту не отдельного устройства, а сети от несанкционированного доступа и возможности проведения атак типа отказ в обслуживании необходима настройка фильтрации пакетов на клиентских интерфейсах. Универсальный фильтр, запрещающий прохождение пакетов, в адресах назначения которых указаны адреса интерфейсов внутренних устройств сети IP/MPLS ПАО «Ростелеком», кроме тех, которые обеспечивают функционирование публичных сервисов. Для клиентов, использующих только услуги передачи голосового трафика через устройства голосовых сегментов сети IP/MPLS ПАО «Ростелеком», настраиваются списки доступа, разрешающие доступ только к пограничным контроллерам сессий (SBC) на интерфейсах, посредством которых эти клиенты подключаются к сети.

          Пример настройки фильтрации на клиентских интерфейсах маршрутизаторов доступа:

    interfaces {

        ge-2/0/0 {

            unit 2 {

                family inet {

                    filter {

                        input Prohibited_Destinations;

                    }

                }

            }

        }

    }

    firewall {

        filter Prohibited_Destinations {

            term RTK_IPMPLS_internal {

                from {

                    address {

                        87.226.133.0/24;

                        87.226.134.0/24;

                        87.226.135.0/24;

                        87.226.136.0/24;

                        87.226.137.0/24;

                        87.226.138.0/24;

                        87.226.139.0/24;

                    }

                }

                then { 

                    discard;

                }

            }

            term RTK_IPMPLS_MGMT {

                from {

                    address {

                        87.226.129.0/24;

                        87.226.131.128/27;

                        10.0.0.0/8;

                    }

                }

                then {

                    discard;

                }

            }

            term default-action {

                then accept;

            }

        }

    }

          С целью защиты коммутирующих устройств узла:

    • протокол VTP (VLAN Trunking Protocol) на коммутаторах переводится в режим transparent;
    • приём и передача пакетов Spanning Tree Protocol (STP) запрещается на портах, к которым подключены клиенты;
    • защита от перегрузки интерфейса между маршрутизатором и коммутатором излишним трафиком осуществляется путём ограничения скорости входящего трафика на порту подключения клиента;
    • для предотвращения перегрузки таблицы MAC адресов коммутатора на интерфейсах подключения клиентов настраивается механизм Port Security, позволяющий коммутатору заучить не более определённого количества MAC адресов на этом порту;
    • производится ограничение трафика broadcast/multicast/unknown unicast на интерфейсах подключения клиентов (storm control);
    • не применяются протоколы автоматического обнаружения на уровне 2 (CDP, LLDP, LLDP-MED).

          Соответствующие настройки коммутаторов описаны в разделе «8 Принципы настройки агрегирующих коммутаторов».

  • Скачать CiscoWorks • Скачать Cisco Prime LAN Management Solution 4.1 для Windows

    Скачать CiscoWorks • Скачать Cisco Prime LAN Management Solution 4.1 для Windows

    Пакет CiscoWorks LAN Management Solution (LMS) содержит набор средств управления, необходимых для упрощения развертывания, администрирования, мониторинга и диагностики различных кампусных инфраструктур от Cisco.

    CiscoWorks LAN Management Solution

    Используя общие централизованные системы и сведения о сети, CiscoWorks LAN Management Solution предоставляет уникальный набор функций, позволяющих снизить время развертывания сети и расходы на администрирование.

    Основные свойства Cisco LMS:

    • Надежный набор средств уровня 2 для обнаружения устройств и подключений, детализированной визуализации топологии, настройки услуг уровня 2 и отслеживание оконечных станций, облегчающее настройку, управление и понимание физической и логической сетевой инфраструктуры.
    • Представление сетевых устройств на основе графического пользовательского интерфейса с отображением в реальном времени динамических данных о состоянии позволяет упростить диагностику и устранение неисправностей устройств.
    • Обнаружение неисправностей в реальном времени, функции анализа и отчета, использующие подробные сведения об устройствах и правила поиска неисправностей, основанных на лучших методах компании Cisco.
    • Упрощенные задачи администрирования, требующие меньших затрат времени, и централизованное управление сетью с помощью управления заменой устройств, сетевой конфигурацией и образами программного обеспечения, доступность сети и анализ неисправностей.
    Cisco prime

    CiscoWorks LMS состоит из следующих программных компонентов:

    • CiscoWorks Common Services — базовая платформа, осуществляющая общее управление интеграцией со сторонними системами сетевого управления, контроль административного доступа и сервисами для всего семейства решений CiscoWorks.
    • CiscoWorks LMS Portal — собственно, CMS сайта.
    • CiscoWorks Assistant — появился с версии 3.0, представляет собой набор визардов для первичной настройки компонентов.
    • Resource Manager Essentials (RME) — для управления критичными сетевыми ресурсами через Интернет с использованием web-интерфейса. Предоставляет набор инструментов для поиска и устранения неисправностей в сети, сбора детализированных отчетов, централизованного обновления программного обеспечения и конфигураций устройств, управления и конфигурации VPN, CallManager и др.
    • Internet Performance Monitor (IPM) — для анализа, оптимизации производительности и отладки неисправностей сетевых соединений на основе Cisco IP SLA.
    • CiscoView — графическое средство управления устройствами.
    • MiniRMON — инструмент для работы с RMON и RMON2.
    • Campus Manager (CM) — для обнаружения и управления L2/L3 устройствми, конфигурирования и управления VLAN и ATM LANE, а также определения подключения пользователей и IP телефонов.
    • Device Fault Manager (DFM) — обеспечивает обнаружение и определение причин сбоев сетевого оборудования в режиме реального времени.
    • Virtual Network Management (VNM) — появился с версии 3.2, занимается визуализацией топологии виртуальных сетей и их диагностикой, VRF.
    • Health and Utilization Monitor (HUM) — появился с версии 3.0.1, идёт как Add-On, требует отдельной лицензии. занимается сбором, отображением и мониторингом параметров производительности, уведомлением о превышении пороговых значений. Поддерживает только cisco-устройства, может мониторить до 1000 устройств.

    Все эти компоненты имеют свою нумерацию в рамках конкретной версии LMS, скачать Cisco Prime LAN Management Solution 4.1 для Windows

  • Как работают криптовалютные боты для процессинга на кошельки

    Как работают криптовалютные боты для процессинга на кошельки

    Большинство биткойнеров и криптовалютчиков считают наличие посторонних инжектов для процессинга  крипты или «человека в браузере» самой большой угрозой криптокошелькам, обменникам и онлайн биржам, причем процессоры крипты используют эту тактику все чаще

    Сценарии bgp mitm процессинга крипты с майнинга
    Последние статистические данные, предоставленные ведущими антивирусными компаниями подтверждают, что процессинг крипты с онлайн биржи или майнинга считается наиболее прибыльным бизнесом у кибернегодяев.
    Широкое распространение платформ онлайн торговли криптовалютой, их открытость для мобильных платформ и социальных сетей, привлекают внимание все большего количества комбинаторов. Самым простым методом процессинга крипты на кошелёк своего дропа считается фишинг, использующий приемы социальной инженерии, которые позволяют получить учётные данные криптокошелька или закрытые ключи ничего не подозревающих наивных держателей криптовалюты. О более продвинутых техниках процессинга крипты через mitm с майнинга с использованием сценариев bgp spoofing и реализаций техники bgp hijacking мы поговорим позже.
    Дроповоды и тафогоны также концентрируют свои усилия на создании все новых и новых инжектов и схем процессинга, способных заполучить закрытые ключи или учётные данные криптокошельков клиентов, включая кейлогеры (key-loggers) и грабберы экранов.
    Ответом криптовалютного сообщества стало усовершенствование процесса аутентификации, классическим примером которого является введение многофакторной аутентификации (переменные пароли, СМС-подтверждение, аппаратные токены). На сегодняшний день практически все криптобиржи уже перешли на двухфакторную аутентификацию при входе в свою учётную запись.
    Чтобы обойти системы двухфакторной защиты, ботоводы и тафогоны широко используют метод «человек в браузере». По данным многочисленных исследований, большинство участников криптовалютного рынка считают процессинг крипты  методом «человек в браузере» самой серьезной угрозой облачному майнингу. В классической схеме «человек посередине» дроповоды находятся между жертвой и криптовалютным мостом.
    В схеме «человек в браузере» ботоводы используют инжекты и процессинг, которые инфицируют браузер клиентов криптовалютной биржи. Обычно «человек в браузере» появляется в образе объектов модулей поддержки (Browser Helper Object), управляющих элементов ActiveX, расширений для браузера, дополнений, плагинов или перехвате API функций операционной системы.
    Такой тип нелегальных переводов криптовалюты основан на присутствии на устройстве клиента криптовалютной биржи инжекта или процессинга, который внедряется в его браузер. Такие дополнительные браузерные плагины способны изменять параметры транзакции крипты или проводить операции незаметно для клиента биржи. Эти программы обычно способны «прятать» транзакции, проведенные дроповодами от имени владельца кошелька, подменяя содержимое самого браузера.

    Подобные инжекты и процессинг могут обойти многофакторную аутентификацию — как только веб-сайт биржи или обменника подтвердит правильность введенных клиентом логина и пароля, троян тут же подменит данные о проводимой транзакции. 
    Дополнительный криптовалютный плагин также способен обеспечить видимость успешного завершения транзакции, подменяя содержимое, отображаемое браузером. «Человек в браузере» — очень коварный тип процессинга крипты, потому что ни биржа, ни пользователь не могут обнаружить его, несмотря на многофакторную аутентификацию, капчи или применение других способов аутентификации. Эксперты по безопасности обнаружили, что большинство интернет-пользователей (73%) не может различить реальные и поддельные всплывающие предупреждения, а также не способны распознать контент, созданный инжектами и процессингом.
    По результатам опроса, большинство криптовалютных профессионалов считают «человека в браузере» самой серьезной угрозой онлайн-биржам. На этом принципе работают такие программы, используемые дроповодами и трафогонами, как Zeus, Carberp, Sinowal или Clampi.
    В настоящее время клиенты криптовалютных бирж и обменников все ещё подвержены воздействию типа «человек посередине», но в их силах попытаться уменьшить вероятность быть вовлеченным в них (например, фишинг), что могло бы помочь избежать инфицирования системы. Наиболее эффективной контрмерой считается аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку ботовод, применяющий метод MiTM («человек посередине»), протоколирует лишь один канал связи. ООВ предусматривает отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции криптовалюты с высоким риском. Система ООВ передает пользователю информацию о транзакции, например, по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля.
    Однако, меры противодействия дроповодам и их реальная эффективность постоянно снижаются.
  • Оценили устойчивость национальных сегментов интернета

    Оценили устойчивость национальных сегментов интернета

    Уже пятый год подряд наши специалисты совместно с Главным Цетром управления Магистральными Сетями Связи Ростелеком, который находится в Дубовой Роще, оценивают влияние возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов интернета.
    Исследование сетей объясняет, каким образом отказ одной автономной системы (Autonomous System) влияет на глобальную связность отдельного региона. В большинстве случаев крупнейшая автономная система в регионе является доминирующим интернет-провайдером (ISP) на рынке.
    доступность интернета Ростелеком
    Чем больше число альтернативных маршрутов трафика между автономными системами, тем более отказоустойчивым и стабильным является интернет-сегмент. Хотя некоторые пути являются более важными, чем другие, создание как можно большего числа альтернативных маршрутов является единственным способом диверсификации рынка и обеспечения достаточно надежной сети.
    Глобальная связность любой автономной системы интернета, независимо от того, является ли она региональным игроком или международным гигантом, зависит от количества и качества ее путей к Tier-1 провайдерам, таким как Ростелеком, Укртелеком, Белтелеком, ТрансТелеком, Level 3, AT&T. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам.
    рейтинг доступности автономных систем

    Надежность IPv4 (Internet Protocol version 4)

    Наши аналитики рассказывают, что расчет показателя для каждой исследуемой страны был произведен по следующей методике:
    • На первом этапе с использованием системы моделирования работы глобального интернета для каждого оператора в мире был сделан расчет всех альтернативных маршрутов прохождения трафика до трансконтинентальных Tier-1 операторов.
    • На втором этапе с использованием базы геоданных Maxmind GeoIP были сопоставлены страны с каждым IP-адресом каждой автономной системы.
    • Далее для каждой Автономной Системы была подсчитана доля адресного пространства, соответствующего выбранному региону. Были отфильтрованы интернет-провайдеры, находящиеся в точке обмена трафика в регионе, где они не имеют значительного присутствия.
    • В итоге для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента автономных систем заданного национального сегмента.
    Сравнительная таблица Топ-20 стран по устойчивости национальных сегментов сети интернет 2019-2020 годах
    Место в рейтинге 2019 (Оператор связи) Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, % 2020 (Оператор связи) Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, % Изменение в рейтинге 2019 — 2020
    1 Германия (DeutscheTelekom) 2.19 Бразилия (Fortel) 1.95 Вверх на 1 позицию
    2 Бразилия (LACNIC) 2.74 Германия (DeutscheTelekom) 2.67 Вниз на 1 позицию
    3 Великобритания (Cogent) 3.07 Швейцария (Swisscom) 2.89 Вверх на 2 позиции
    4 Украина (Uarnet) 3.16 Украина (Datagroup) 3.27 4 место
    5 Швейцария (Swisscom) 3.35 Великобритания (Cogent) 3.35 Вниз на 2 позиции
    6 Сингапур (StarHub) 4.00 Нидерланды (JointTransit) 3.52 Вверх на 8 позиций
    7 Франция (Cogent) 4.17 Канада (BellCanada) 3.80 Вверх на 2 позиции
    8 Бельгия (Telenet) 4.24 США (Level 3) 4.25 Вверх на 10 позиций
    9 Канада (Bacom) 4.31 Франция (Cogent) 4.38 Вниз на 2 позиции
    10 Польша (Netia) 4.55 Лихтенштейн (QNet) 4.41 10 место (newcomer 2020)
    11 Россия (Rostelecom) 4.74 Испания (ServihostingNetworks) 4.64 Вверх на 2 позиции
    12 Гонконг (PCCW) 5.15 Польша (Netia) 4.88 Вниз на 2 позиции
    13 Испания (Vodafone) 5.23 Россия (Rostelecom) 5.08 Вниз на 2 позиции
    14 Нидерланды (JointTransit) 5.25 Япония (Asia Pacific Network Information Centre) 5.14 14 место (newcomer 2020)
    15 Ирландия (Cogent) 5.72 Бельгия (Cogent) 5.49 Вниз на 7 позиций
    16 Болгария (Spectrumnet) 6.12 Италия (TelecomItaliaSparkle) 5.56 Вверх на 1 позицию
    17 Италия (Fastweb) 6.44 Сингапур (StarHub) 5.68 Вниз на 11 позиций
    18 США (Level 3) 6.83 Индонезия (TelkomIndonesia) 5.89 18 место (newcomer 2020)
    19 Люксембург (POST Luxembourg) 6.92 Аргентина (ARSAT) 6.40 19 место (newcomer 2020)
    20 Чехия (ISP Alliance) 7.27 Гонконг (PCCW Global) 6.44 Вниз на 8 позиций

    TL;DR, ключевые изменения:

    • США поднялись на 10 позиций, оказавшись на 8 месте;
    • В Топ-20 рейтинга вошли 4 новые страны: Лихтенштейн, Япония, Индонезия и Аргентина;
    • 4 страны покинули Топ-20: Люксембург, Чехия, Ирландия, Болгария;
    • Гонконг опустился на 8 позиций и замыкает двадцатку;
    • Сингапур потерял 11 позиций;
    • Многолетний лидер рейтинга – Германия – уступила первое место Бразилии в 2020 году.
    Ростелеком обещал поднять зарплаты сотрудникам в этом году
    В 2020 году позитивная глобальная тенденция к повышению надежности и общей доступности сетей во всем мире сохраняется. Число стран с высокой степенью отказоустойчивости, где сбой сетей системообразующих операторов связи затрагивает менее 10% автономных систем региона, второй год подряд увеличивается на 5. В этом году оно достигло в общей сложности 40, однако самый важный факт, который следует отметить, – это значительные улучшения в надежности и IPv4, и IPv6. Более того, в будущем неизбежен момент, когда новая версия протокола IP займет лидирующие позиции и в нашем рейтинге станет основной.

    Надежность IPv6 (Internet Protocol version 6)

    По состоянию на сентябрь 2020 года, почти 30% пользователей Google используют соединение IPv6. Фактически это означает, что их интернет-провайдеры поддерживают версию 6 протокола IP. Тем не менее, основная проблема IPv6 по-прежнему сохраняется. 
    Из-за продолжающихся пиринговых войн между несколькими провайдерами верхнего уровня в IPv6 они не все связаны друг с другом. Если сеть подключена только к одной их стороне, она не будет иметь полноценной связности в IPv6. Другими словами, для обеспечения полной связности и высочайшей надежности пути до Tier-1 операторов должны присутствовать постоянно.
    Процент Автономных Систем в стране, которые имеют лишь частичную связность в IPv6 из-за пиринговых войн
    Место в рейтинге 2020 Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, IPv6 Процент частичной доступности, IPv6
    1 Великобритания (Choopa) 2.16% 5.49%
    2 Германия (Core-Backbone) 2.52% 5.92%
    3 Бразилия (AlgarTelecom) 2.81% 1.85%
    4 Нидерланды (ATOM86) 3.21% 1.51%
    5 Канада (ShawCommunications) 3.27% 8.05%
    6 Франция (legacyNeotelecoms) 3.78% 8.21%
    7 Бельгия (VERIXI) 3.80% 8.56%
    8 Швейцария (Swisscom) 4.05% 3.49%
    9 Япония (NTT Communications) 4.40% 0.84%
    10 Италия (FASTWEB) 4.42% 10.99%
    11 Индонезия (FiberStar) 4.60% 5.44%
    12 Украина (Datagroup) 5.28% 2.67%
    13 Россия (ERTH-TRANSIT) 5.87% 1.61%
    14 Гонконг (PCCW Global) 6.01% 12.02%
    15 Ирландия (CIX) 6.04% 10.47%
    16 США (Level 3) 6.09% 9.03%
    17 Румыния (Prime-Telecom) 6.61% 10.90%
    18 Болгария (Neterra) 6.68% 2.23%
    19 Польша (EPIX-KGM) 6.84% 5.95%
    20 Испания (AireNetworks) 6.92% 9.61%
    Показанная таблица демонстрирует, что есть несколько стран, где частичная доступность по IPv6 превышает 10%: Италия, Гонконг, Ирландия, Румыния. Наши специалисты сделали вывод, что рассматривая частичное подключение в сочетании с долей сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, можно заявить, что только в одном Гонконге отказ IPv6 приведет к тому, что 18% подключенных к IPv6 ресурсов станут недоступными. 16% – в Ирландии, почти то же самое – в Италии и Румынии. Эти цифры высоки даже в Великобритании – 7,5%, Германии – 8% и США – 15%.
    Наименьшие значения среди IPv6 Toп-20 принадлежат Бразилии – 4,66%, Нидерландам – ​​4,72% и Японии – 5,24%.
    Активное перераспределение рынка в США дало стимул для улучшения показателей национальной устойчивости этой страны. Стабильность и устойчивость крупных интернет-сегментов в принципе выигрывает от рыночной конкуренции и сильно страдает в случае консолидации игроков. Однако процессы консолидации в США и других странах носят, к сожалению, системный характер, поэтому успех 2020 года может оказаться единичным случаем.
    Однако, надежность IPv6, даже с учетом частичной доступности, выглядит лучше, чем у IPv4. Средняя доля сетей, теряющих глобальную доступность при отказе одного оператора связи, составляет 36,22% для IPv4 и 28,71% для IPv6. При этом, к сожалению, степень внедрения IPv6 в странах в два раза ниже, чем в случае с IPv4 и современной версии протокола предстоит пройти еще долгий путь до полного развертывания на сетях операторов связи.
  • На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    Точка обмена межоператорским трафиком MSK-IX. расположенная на площадке М9 приступила к созданию «резервной копии» Рунета, об этом нам сообщили в среду, 6 июля, со ссылкой на источники в Ростелекоме.
    маршрутизация трафика на площадке М9
    Уже этой осенью может появиться резервная копия части инфраструктуры российского сегмента. Для этого автономная некоммерческая организация АНО MSK-IX создала отдельный фонд «Индата». Он будет заниматься развитием сетевых технологий, сообщил нам исполнительный директор фонда Александр Степанов и подтвердил глава MSK-IX Алексей Платонов. На первом этапе АНО инвестирует в этот фонд около 70 млн рублей.
    Фонд займется «макроскопическими исследованиями интернета», то есть анализировать маршрутизацию трафика и взаимодействие между собой автономных систем. Это позволит выявлять проблемы в маршрутизации и создать ряд web-инструментов, позволяющим российским инженерам электросвязи в режиме реального времени получать информацию о состоянии Сети и их взаимодействии друг с другом. После исследований будет создана единая система, объединяющая базы данных IP-адресов голландской регистратуры RIPE NCC (занимается распределением IP-адресов между операторами связи, в том числе российскими), и других регистратур (всего в мире существует пять таких организаций), а также базы данных маршрутной информации интернета.​
    Сейчас каждый оператор самостоятельно определяет политики маршрутизации трафика. Компании «отмечают» свои маршруты в базе данных. Уничтожение части информации из этой базы может привести к сбоям во всем интернете. Создаваемая система будет некоммерческой, а ее использование для операторов будет добровольным, сообщил Брындин. 
    В MSK-IX также подчеркнули о независимости фонда от Ростелекома. Компания «МегаФон» имеет собственную систему защиты от DDoS-атак, что «гарантирует клиентам отражение самых мощных атак», сообщила представитель компании Юлия Дорохина. Представители других операторов комментариев не дали по поводу самой инициативы АНО MSK-IX и ее перспектив.
    Наши эксперты отмечают, что Минкомсвязи пытался разработать «дубль» на государственном уровне еще в 2014 году. Идея возникла после обострения политической обстановки и опасений, что в критической ситуации российский интернет будет изолирован от глобальной сети. При этом идея создания системы в MSK-IX появилась еще год назад и не была связана с разрабатываемым Минкомсвязи законопроектом, заверяет Рыбников.
    В феврале 2016 года Минкомсвязи разработало законопроект о госконтроле интернет-трафика. Ведомство предложило создать систему мониторинга, которая позволит органам государственной власти понимать работу российского сегмента интернета. Закон обосновали необходимостью государства защищать рунет от внешних атак. 
    В мае Минкомсвязи опубликовало поправки в госпрограмму «Информационное общество», в которых планируется, что к 2020 году 99% российского интернет-трафика будет передаваться внутри страны. 
    На данный момент существует несколько вариантов законопроекта, ни один из которых публично не обсуждался. Судоплатов заявил, что идея создания системы в MSK-IX никак не связана с проектом Министерства.