Resumen de las charlas del GORE-16

Resumen de las charlas que se dieron en el GORE-16 (en la página del GORE-16 tenéis acceso a la mayoría de las presentaciones correspondientes)

·         Visibilidad del tráfico de red (Talaia Networks)
Se trataba de enseñar una herramienta desarrollada por Talaia Networks, antiguos miembros de la UPC, llamada Polygraph.io. Un sistema de analisis y supervisión de red basado en Netflow.
Es bastante interesante y entre otras cosas da información de las aplicaciones usadas, AS de entrada y salida de tráfico, tráfico por interfaz, detección de anomalias de tráfico, etc.
El modelo de negocio estándar es SaaS (Software as a Service). Es decir la información de Netflow se envía a los servidores de Talaia para su análisis y el cliente examina esta información a través de los servidores de Talaia. No obstante también tienen la opción de desplegar toda la estructura en casa del cliente.
Puede ser interesante para las necesidades de análisis de la red que tiene BEN.

·         Novedades en K-root, RIS y RIPE Atlas (RIPE)
Se mostraron varios de los servicios que proporciona RIPE. El primero fue RIPE Atlas una red distribuida de cerca de 10.000 sondas por todo el mundo que permite hacer pruebas de latencia, pérdida de paquetes, cortes en la red, etc. Los usuarios de las sondas (empresas o particulares) las instalan y mantienen de forma gratuita en sus redes (son muy pequeñas y con un consumo de red muy reducido) y a cambio pueden hacer una cierta cantidad de medidas cada mes.
RIPE mantiene uno de los 13 servidores raiz que hay en el mundo que en realidad son múltiples servidores físicos distribuidos por todo el mundo con funcionamiento anycast para dar mayor fiabilidad. Explicaron la distribución, tipos de servidores (con alcance global o local) y si alguna compañía quería instalar una instancia del servidor en su red, los requisitos que pide.
Por ultimo hablaron de RIS (Route Information Service), una red de servidores distribuida, principalmente en puntos neutros, que hablan BGP con las otras redes -no anuncian redes, sólo reciben los anuncios del resto-, procesan la información y generan información sobre estabilidad de prefijos, distancia en AS, etc. Comentaron también planes futuros (están cambiando el hardware usado para las mediciones) y los requisitos para albergar una de las sondas del proyecto.
DSC05219
·         El estado optimo de las lentes en los transceptores ópticos: como reducir el coste de operación y mantenimiento y el número de dolores de cabeza (Alturna Networks)
Mini curso (con un pequeño taller práctico) sobre fibras ópticas, incluyendo tipos, conectores, etc. Y los problemas típicos como suciedad, rayaduras y como corregirlos con limpiadores y otros elementos.
También presentaron el Multi Fiber Tool, una herramienta para medir transceptores SFP y SFP+, detección de problemas en fibras a través del mismo SFP e incluso con los SFP de SolidOptics (la empresa que hace el aparato) que son “marca blanca”, reprogramarlos para que valgan para varios fabricantes. De esta forma se puede tener un solo recambio y reprogramarlo para Cisco, Juniper, Alcatel, etc. Según haga falta.
DSC05236
·         Un balanceador para mil millones de usuarios (Facebook)
Explicaron la estructura de los servidores de Facebook, que actualmente funcionan SOLO en IPv6. Delante de los servidores de datos (distribuidos por varios CPD en el mundo) hay un balanceador llamado Proxygen que mantiene estados de sesiones y delante de este otro balanceador llamado shiv que es stateless. Detallaron el funcionamiento, los problemas que se encuentran, incluyendo retardos, y como los resuelven. También habló de Cartographer, una herramienta que emplean para distribuir el tráfico entre servidores cuando se saturan.
Por ultimo habló del Wedge y del Spine, dos switches que han desarrollado para sus CPD y que utilizan FBOSS (FaceBook Operating System).

·         Trabajando con Flowspec para parar ataques de DDOS (Arbor Networks)
Flowspec es un sistema parecido a SDN en el area de que permite inyectar rutas y controlar flujos en routers. El inconvenientes es que las implementaciones que hay (Cisco, Juniper, Alcatel, Huawei) so nmuy recientes e incompatibles de un fabricante a otro. Arbor Networks está usando Flowspec para detección y prevención de ataques, analizando patrones de tráfico y redirigiendo el tráfico maligno a agujeros negros.
DSC05240
·         Inteligencia Operacional: Splunk, ELK, Logtrust (Open3S)
Hicieron una presentación de las diversas herramientas de  gestión de logs que hay en el mercado, tanto open source como comerciales y se centraron en Splunk (comercial) y como la usaban como base para desarrollar un entorno de analísis de la red que permite de forma sencilla conocer el estado de red y detectar rápidamente cualquier problema.

·         Colaboracion con los ISPs en las operaciones internacionales de Cibercrimen (Europol)
Explicaron como actua la unidad de crimen digital de la Europol, como colaboran con los ISP, herramientas que usan, etc. A petición del presentador no se pudo grabar ni distribuir la presentación.

·         Lista blanca de reputación SMTP (RedIRIS)
Se presentaron dos listas que lleva el foro Abuses (patrocinado por RedIRIS) para validar la reputación de los servidores de correo. La primera formada sólo por la información proporcionada por los miembros de abuses de sus propios servidores y otra más amplia que añade información de otras fuentes. Estas listas pueden usarse para validar la fiabilidad de los servidores de correo y evitar, en cierta medida, la llegada de spam.

·         Código de buenas prácticas en Ciberseguridad (INCIBE, Telefonica)
Cuando se desmantela una red de bots, normalmente la policia no detiene el servidor, sino que lo deja levantado pero sin sus funciones “malignas” esto permite recolectar las IPs de todos los PCs que se conectan (que están infectados). La lista de estas IPs se transfiere al ISP específico para que avise al usuario. En el caso de Telefonica explicaron que se enviaba un correo al usuario, indico como intentaban detectar al usuario real en caso de IP dinámicas, avisándole de que tenía un virus y le daban un enlace a una página con todos los antivirus y desinfectadores gratuitos necesarios.  También explicó que hacían seguimiento para verificar si la máquina se había desinfectado.

·         CDN metrics (google)
Explicó como hacían las medidas de respuesta de sus servidores en Internet y dio algunos hints sobre lo que los usuarios debían y no debían hacer para medir si su conexión a Internet funcionaba (hint: ping a 8.8.8.8 no es la mejor forma).
También indicó como debían hacer los anuncios los ISPs que hacían peering con Google para evitar que el tráfico fuera por los enlaces de tránsito, mas caros.
DSC05256
·         Dr NMS or: How Facebook Learned to Stop Worrying and Love the Network (Facebook)
Interesante charla sobre como Facebook monitoriza toda su red con una sola persona. Todos los servidores de logs que tienen montados, como filtran la información y como tienen autómatas que intentan corregir los problemas de forma que que una minima parte, menos de un 1 por ciento, neceistan intervención humana.
La parte final de la conferencia fueron las ocho lecciones aprendidas durante el desarrollo de todas las herramientas que usan.

·         Hacking BGP (BICS)
Conjunto de ideas, trucos y herramientas para gestionar los enlaces eBGP en una empresa o ISP pequeño, ajustar, en la medida de lo posible, el uso de ancho de banda y herramientas para monitorizar el AS.

·         Anti phishing WG (APWG)
Explicó el funcionamiento del anti phishing working group y las herramientas que utilizan para evitar el phishing, incluyendo la desactivación de dominios de phishing, clausura de registradores dedicados a este tipo de dominios, etc. Fue una charla de presentación del grupo con poco contenido técnico y más generalista.