Dr. Thomas King
DE-CIX Teknoloji Başkanı
DE-CIX’ten Dr. Thomas King bir IX platformunun ağları, kötü niyetli saldırılar ya da aksilikler nedeniyle oluşabilecek güvenlik problemlerinden nasıl koruduğunu anlatıyor.
Dijital değer zincirinde her geçen gün daha fazla veri dönüşümü gerçekleştikçe kurumların, güvenilir iş ortakları ve buluttaki dijital kaynakları arasındaki bağlantıyı nasıl koruyacaklarına daha yakından bakmaları gerekiyor. Dünyanın lider İnternet Değişim Operatörü DECIX’in CTO’su Thomas King, bir IX platformunun ağları, kötü niyetli saldırılar ya da aksilikler sonucu oluşabilecek güvenlik problemlerinden nasıl koruduğunu anlatıyor.
Internet altyapısı operatörleri her zaman, müşterilerinin güvenmekten mutluluk duyacağı bir hizmet sunmakla görevli. Internet Değişim Noktalarını yönetmek aslında B2B bir faaliyet olmasına rağmen, önemli olan bilgisayarının başında ya da elinde telefonla bekleyen son kullanıcının güvenini kazanmak. Internet altyapısı operatörleri tarafında ana işimiz, müşterilerimizin faaliyetleri için Internet dünyasına olan güveni güçlendirmek ve korumak. Bir Internet Değişim Noktası (IX) için devamlı araştırma ve geliştirme (AR-GE), güvenlik denetimleri ve sertifikaları ve en iyi uygulamaları geliştirip korumak, ağ güvenliğini garantiye alma sürecinde kasti ve kazara hasarlara karşı ek güvenlik servis provizyonları kadar önemli.
Birbirine bağlantı hizmeti alan müşterilerin bugünlerde bir İnternet değişim Noktası’nın sağladığı ekstra güvenlik özelliklerinin yanı sıra, birbirine bağlantı platformlarının nasıl yönetildiğine de dikkat ettiklerini görüyoruz. Kurumlar, bir İnternet Değişim Noktası’nın güvenilir biçimde yönetildiğine ikna olmak için operasyonların belli kriter ve en iyi yöntemleri takip ettiğine dair kanıt görmek istiyor. Kurumlar ticari ortaklarını güvenlik ve politika benzeri konularda incelemeye alışkın. Büyük kurumlar kendi operasyonlarında hizmet sağlamak ve düşük risk seviyelerini garantilemek için altyapı ortaklarına güveniyor. Örneğin kurumların bazıları, DE-CIX tarafından sunulan İnternet değişim Noktası lokasyonlarından sadece bir tanesine değil DE-CIX’in yönettiği 29 lokasyonun çoğuna bağlanıyor.
Ağ çeşidi dikkate alınmadan, Kaynak Ortak Anahtar Altyapısı RPKI (Resource Public Key Infrastructure) kullanarak IP hırsızlığından korunmak gibi routing güvenliğine ihtiyaç var. DDoS saldırılarına karşı koruma sağlamak başka bir konu, çünkü bütün ağlar saldırganlar için yeterince ilgi çekici olmayabiliyor. Mesela, son kullanıcılar için oyun sunucularını işleten veya sunan müşteriler genellikle DDoS saldırılarının çoğunluğunu yükleniyor. Bu grup müşteriler karadelik hizmetini yoğun olarak kullanıp, yeni Blackholing Advanced hizmetinden faydalanabilir.
Aynı zamanda kurumlar, güvenlik hizmetlerine yüksek ilgi duyuyor çünkü operasyonları ve ürünleri çoğunlukla gerçek dünya alanlarında var oluyor. Mesela araba üreticileri: dijital otomotiv hizmetleri gitgide daha önemli olmaya devam ediyor ve arabaların bir saldırı ya da yanlış ayarlama sonucunda bozuk veya arızalı olmasının önlenmesi gerekiyor.
Ağları bir İnternet Değişim Noktası üzerinden güvenlik açıklarından korumak
- DDoS saldırıları
Internet Değişim Noktaları’nda engellediğimiz en bilinen saldırı tipi volumetrik DDoS saldırısı. DDoS saldırılarının amacı, belirli bir varış rotasının Internet ile iletişimini durdurmak. Örneğin, bir web sunucusunda web dükkanı olan bir şirket var ve şirketin rakibi bu dükkanınıın başarısından çok memnun değil. Şirketin web sunucusuna gerçekleşen bir DDoS saldırısı, bu web dükkanının artık müşterilerilere ulaşılabilir olamayacağı ve bütün müşterilerin başka bir yerden alışveriş yapacağı anlamına geliyor (rakip şirket gibi).
DDoS’a gelirsek, amplifikasyon saldırıları son yıllarda çok güçlü ve yeni bir tehdit olarak fidye DDoS ortaya çıktı. Fakat saldırı sayılarındaki ve hacimlerindeki artışa rağmen, DDoS saldırıları önceden geliştikleri kadar agresif bir biçimde gelişmiyor. Yeni güvenlik açıkları ortaya çıktığı gibi bu açıkları düzeltmek için büyük çalışmalar da gerçekleşti. Buna ek olarak, Cloudfare ya da FastNetMon gibi şirketlerin DDoS önleme hizmetlerinin ücretsiz ve herkese açık olması da bu sorunu çözmekte yardımcı oldu. Ama bu saldırıları hala her gün görmeye devam ediyoruz.
DDoS’la nasıl başa çıkarız? Eskiden standard karadelik hizmetini kullanırdık. Karadeliğiniz varsa bir IP adresini, saldırı altındayken trafik gönderilmesini engelleyerek koruyabilirsiniz. Bunun iyi tarafı saldırı altında olan ağlar için bir hasar meydana gelmemesi ama dezavantajı ise trafiğin varış rotasının diğer ağlarla hala iletişime geçememesidir. Bunun anlamı da saldırıyı önlemiş olursunuz ama saldırı amacına ulaşmış olur.
DE-CIX’in yeni patenli Blackholing Advanced hizmetiyle bir adım daha ileri gidebiliriz ve bir IP adresine gönderilen veriyi sınırlamakla kalmayıp belirli TCP ve UDP protokollerinde sınırlayabiliriz. Çünkü eğer amplifikasyon saldırılardan bahsediyorsak hangi TCP/UDP kaynaklarının ve varış rotası portlarının özellikle bloke edilmesi gerektiğine bakabiliriz. Sadece bu port’u bloke edebilir ve diğer portlar hala ulaşılabilir durumda kalabilir, bu da ağın hala iletişime geçebildiği anlamına gelir.
Blackholing Advanced’in ikinci yeniliği ise artık sadece ‘veri akışı var’ ve ‘veri akışı yok’ arasında iki bileşenli bir seçenekle sınırlı değil. Ayrıca varış rotasına ne kadar trafik gittiğini sınırlayabiliriz diğer bir adıyla hız kısıtlama yapabiliriz – yüzlerce gigabit trafiktense trafiği 10,15,20 Mbit’e düşürebiliriz, bu sayede varış rotası tamamen boğulmaz ve gelen yükü hala kaldırabilir, çöpü ayırabilir ve uygun istekleri alıp cevaplandırabilir. İletişim ve hizmet de bu yüzden mümkündür.
- IP hırsızlığı
Ağlar için internetteki diğer bir risk ise IP hırsızlığı tarafından routing güvensizliği. Bunun nasıl olduğuna bir örnek vermek gerekirse: Kötü niyetli bir saldırı olduğunu varsayalım ve Internette bir IP varış rotasında bulunan trafik gizlice takip edilmek isteniyor. – belki de önceki örneğe geri dönersek, bir web dükkanını alalım – mesela dükkanın müşterilerinin kredi kartı bilgileri çalınmak üzere. Dükkanın IP alanı, kötü niyetli saldırılarla web dükkanından geçen bütün istekleri almaya çalışıyor. Burada trafik, ya müşterilerin siparişleri alınmasın diye düşürülebilir ya da bilgilere bakıldıktan sonra web dükkanına iletimi sağlanır. Bu tarz bir IP hırsızlığı kazara veya bilerek gerçekleşebilir. Geçmişte tahminen bilerek yapıldığı olmuştur – bir bankanın ya da bir Bitcoin blockchain’in trafiğini başka bir yere göndermekgibi. Ama kazayla gerçekleşen durumlar da kesinlikle olabiliyor. Birisinin hatalı ayarlamalarından dolayı Youtube, Pakistan Telecom tarafından 2008’te çevrimdışı bırakılmıştı. Ağı fazla yüklenmişti, çünkü Pakistan Telecom Network Youtube’a giden arama yükü kaldıracak kadar büyük değildi.
Internete bağlı olan ağ ve IP alan miktarlarındaki artış, toplumun dijital altyapıya olan bağımlılığının artması ve paylaşılan verilerin değeriyle IP hırsızlığı beklenen bir durum haline geldi – ister kötü niyetli ister bilmeden olsun ve artmaya da devam ediyor. Sahada daha fazla oyuncu var. Aslında, İnternet Topluluğu MANRS projesi, 2019’dan 2020’ye kadar IP hırsızlığı olaylarında %40’a yakın bir artış olduğunu tespit etti. Bu kesinlikle endişe verici.
DE-CIX’in rota sunucularında sağladığımız RPKI Kaynak Doğrulama ve IRR filtreleme gibi teknolojiler bu tür sorunları azaltmak için kullanılabilir. RPKI’nin işlevi, kaynak doğrulamadır, çünkü yanlış IP alanını bir yazım hatası veya benzeri yoluyla yanlışlıkla duyurmanın o kadar kolay olmamasını sağlar. Bu IP alanını duyurmanıza izin verilip verilmediğini kontrol etmeyi mümkün kılar ve değilse, duyuruyu çok kolay bir şekilde filtreleyebilir. IRR (İnternet Yönlendirme Kayıtları) filtreleme ise yanlış yönlendirme bilgilerinin yayılmasını önlemek için kullanılır. Bu filtreleme, İnternet altyapısında yıllardır kullanılıyor, oysa RPKI Kaynak Doğrulama ancak son zamanlarda kullanılabilir hale geldi.
Buna ek olarak, IETF’de (Internet Mühendisliği Görev Gücü) devam etmekte olan bir standardizasyon faaliyeti olan BGPSec de hayata geçecek. RPKI’nin kriptografik yapı taşlarının bir kısmını da kullanan BGPSec ile birlikte RPKI’ye dayalı bir kaynak doğrulama olursa, hırsızlıklara karşı tam güvenliğiniz olur. Bununla birlikte, BGPSec hala standardizasyon aşamasında ve ne yazık ki büyük bir dezavantajı var: İnternet yönlendiricilerinde çoğu kaynak yoğun ve uygulamaya geçmesi için de hala en az birkaç yıl var – bu yüzden kesinlikle kısa vadeli bir düzenleme değil.
- ASN hırsızlığı
Diğer bir güvenlik sorunu da ASN hırsızlığı. İnternetin bir parçası olmak isteyen her ağın bir Otonom Sistem Numarasına (ASN) ihtiyacı var. Birinin ASN’sini ele geçirilerek başka biri gibi davranılabilir. ASN numaraları, özellikle spam gibi istenmeyen şeyler göndermek ve DDoS saldırıları gerçekleştirmek için kötü amaçla kullanılabilir. ASN’nin ele geçirildiğini, özellikle bir ASN’yi kaydettirmiş ancak herhangi bir nedenle şu anda İnternet’e duyurmayan şirketlerde görüyoruz. Böyle durumlarda numaranın arkasında kimin olduğunu gerçekten tespit etmek çok zor – meşru sahibi veya kötü niyetli bir aktör olabilir. Meşru mal sahibi kötü davranıyor gibi görünüyor, bu da onların kara listeye alınmasına veya çok daha kötü itibar sorunlarına neden olabiliyor. Bu nedenle, şirketleri şu anda kullanmasalar bile AS numaralarına dikkat etmeleri gerekir.
Ağların iletişimi optimize etmek için başka ne yapması gerekir?
Farklı bir açıdan, yeni olmamasına rağmen, Çift Yönlü Yönlendirme Algılaması (Bidirectional Forwarding Detection – BFD) bir nedenden dolayı henüz tam olarak oturmadı. Temel olarak, iki ağ veya altyapı parçasının bir bağlantısı varsa ve verilerin her iki yönde de aktığından emin olmak istiyorsanız, BFD protokolü uygun. BFD olmadan, bir bağlantıyla ilgili bir sorun olduğunu algılamak birkaç dakika sürer ve bu arada dönüştürülen veri iletilmez, bu nedenle iletişim de gerçekleşmez. BFD ile bir sorun saniyeler hatta milisaniyeler aralığında algılanabilir, böylece taraflar sorunlu bağlantı üzerinden veri göndermeyi durdurabilir ve alternatif bir yol izleyebilir. Ağlara, herhangi bir sorunu kolayca tespit edebilmeleri ve trafiği otomatik olarak yeniden yönlendirebilmeleri için BFD kullanmaları önerilir. Önümüzdeki yılın başlarında, rota sunucularımız için BFD’yi destekleyecek bir özelliği hayata geçirmeyi planlıyoruz.
