Teknisk diskussion om Telias begränsning

Telia blockerade häromveckan port 53 och skyller på problem med överbelastningsattacker. En expert på DNS-tjänsten beskriver blockeringen som att gradvis gå mot ett Internet där konsumenten bara tar del av information, motsvarande en Tv. En kompis till mig hävdar att experten har fel och att Telia faktiskt gjorde rätt eftersom DNS-amplification-attacks är ett så stort problem på Internet. Jag tycker att det är att hantera symptomet utan att lösa grundproblemet. Telia borde istället ta ansvar över sitt nätverk och inte leverera trafik med falsk avsändaradress.

Nätneutralitet - Photo Credit: M3Li55@Telia har börjat blockera inkommande DNS-förfrågningar och -svar mot port 53/UDP och port 53/TCP. Blockeringen drabbade DNS-experten Mats Dufberg som tidigare jobbade på Telia men numera jobbar på IIS (som handhar bland annat toppdomänerna .se och .nu). Telia hade dessutom inte informerat om förändringen annat än som en marginell ändring på en befintlig webbsida (längst ner på sidan om Öppna portar i trådlös router) så jag misstänker att experten inte automatiskt förstod att det var en förändring Telia genomfört. Telia har sedan dess både noterat att Telia gjort fel i att inte informera om förändringen samt lagt upp information om blockeringen.

All trafik på port 53 stängs

Med anledning av allt kraftigare överbelastningsattacker (DDoS-attacker) i våra nät där både vi och våra kunder har drabbats av driftstörningar, är vi dessvärre tvingade att stänga den så kallade DNS-trafiken på port 53 för kunders inkommande trafik.

Att stänga port 53 görs för att skydda alla våra kunder och för att minska problemet med överbelastningsattacker. Åtgärden ställer dessvärre till problem för en liten del av Telias kunder, som är avancerade användare. Stängningen av porten har inletts och sker i omgångar och beräknas vara helt genomförd den 19 juni. Genom ett internt misstag missades information om stängningen här på vår hemsida, vilket vi beklagar och ber om ursäkt för. Vi ser dessvärre inget alternativ till denna åtgärd, men beklagar de olägenheter detta medför. Internet-användare kan bland annat uppleva överbelastningsattacker som att det går trögt att surfa och skicka e-post.

Min vän, som jobbat som chef på en avdelning som tar fram detektions-signaturer för nya attacker, hävdar att Telia har helt rätt och att ”någon borde sno Mats Dufbergs skrivbord innan han får för sig att skriva något mer” samt att det som Mats skrivit är ren dynga. Jag tycker att det är en klar överdrift.

DNS-amplification-attack är ett sätt att få en oftast felkonfigurerad DNS-server att skicka en stor mängd data (ett svar) till den adress man vill överbelasta (DOS-attack). För strax över ett år sedan blev The SpamHaus project måltavla för en sådan attack och Cloudfare (som hjälpte SpamHaus hantera attacken) sammanfattade det hela med The DDOS that almost broke the Internet. Som synes är det otvistigt att sådan överbelastningsattack är en känd risk man behöver kunna hantera som Internetoperatör.

Överbelastningsattacker är dock ingen nyhet, inte heller är användandet av protokoll som är vitala för internet: vi har haft smurf-attacker, vi har haft attacker mot/med BGP, osv.  Är DNS-attack ett rotproblem (”root-cause”) eller ett symptom? Min kompis, han som var chef, tycker att det är ett rotproblem och att rätt sätt är att blockera bort det (”Jag kan själv inte komma på något annat vis som inte är relativt arbetsintensivt, pedagogiskt skitsvårt eller leder till rätt spännande WTF”). Jag själv tycker att problemet snarare är att Telia fortfarande tillåter avsändarförfalskning (”source address spoofing”) på IP-nivå (som är gemensamt för ICMP, BGP, DNS samt alla andra Internet-protokoll).

Blockeringen av ICMP som gjordes för att komma tillrätta med smurf-attacken (DDOS med ICMP) är ofta kritiserat för att blockeringen orsakar problem med hur trafik överförs mellan routrar och att fel blir svårare att felsöka, eftersom ICMP används till mycket mer än ping. Att införa en blockering på portnivå är som att behandla all huvudvärk med att dricka vatten, jovisst kanske majoriteten som har symptomet egentligen har vätskebrist, men det finns risk att de som har saltbrist eller huvudvärk av någon annan orsak knappast blir hjälpt av det. Symptombehandling kan man ibland använda som en akut problemlösning medan man tar fram en åtgärd mot grundproblemet. Symptombehandling kan också användas för att lokalisera grundproblemet. Men om man börjar med akutåtgärder för ett problem ett år efter övriga världen så har man stora problem med sitt säkerhetsarbete.

Telia har problem med de av deras kunder som använder Telia-utrustning som innehåller kända säkerhetshål och inte uppdaterats. Det finns också kunder som använder sig av egen utrustning med kända säkerhetshål. Det Telia borde göra är att se till att den utrustning de äger är uppgraderad. Det går att med ett enkelt DNS-test kontrollera om en utrustning innebär en risk för DNS-amplification-attack. Men framförallt borde Telia ta ansvar över sitt nät och se till att de inte skickar ut trafik med falsk avsändare. Alla operatörer borde ta ansvar över vad för trafik de levererar. Som operatör kan man också fundera över att kontrollera inkommande trafik efter falsk avsändare, så kallad ingress-filter. Ett sådant filter innebär dock att peer-routrar får arbeta massor mer samt kan orsaka problem för andra operatörer, så jag rekommenderar försiktighet.

För att gå in ytterligare på den tekniska aspekten av DNS så misstänker jag att blockeringen kan orsaka vissa konstigheter i beteendet för namnuppslagningen för de som använder sig av exempelvis Googles DNS-servrar, som gör att sådana namnuppslagningar kommer att gå långsammare. När 53/UDP blockeras så är det ofta svårt att se om det är en fråga eller ett svar som kommer. Eftersom de flesta DNS-klienter byter till 53/TCP efter 3-5 sekunder borde det bara bli ett riktigt problem för de cirka 2% klienter som inte klarar av en sådan övergång (enligt en undersökning efter DDOS-attacken mot SpamHaus). Fördröjningen gör dock att det blir en QoE (slutanvändare-upplevelse) att Internet är segare än normalt (det går trögt att surfa och skicka epost). Det är dock inget jag har underlag på.

Som nätverkstekniker håller jag med Mats Dufberg om att Telias begränsning av DNS är ytterligare ett steg på en väg som kan leda till att privatkunderna stängs in av operatörerna. Genom blockering av portar som tillhör populära Internet-protokoll minskar man möjlighet för kunder att själva lära sig mer och ”ingå” i Internet. Med formuleringar om att skydda kunderna så hindrar man samtidigt kunden att stjälv ha möjligheten att lära sig. Man riskerar att hindra nya generationers ungdomar att upptäcka teknikintresset och ha möjligheten att bli självlärda experter.

Edit: Det har efterfrågats att jag förtydligar DNS-beteendet jag misstänker att Telias kunder kan uppleva, samt varför jag beskriver det så löst. UDP skiljer sig mot TCP genom bland annat avsaknad av inbyggd kontrollfunktion. DNS-servern behöver alltså skicka ett meddelande tillbaka och en router/brandvägg kan inte från det svaret avgöra om det är en fråga eller ett svar. Det är bara mottagaren som kan avgöra det. Om DNS-servern sätter mottagarport till 53 på ett UDP-svar (teoretiskt 1 chans på 65535, men beror praktiskt på många faktorer) så kanske det blir blockerat. Om DNS-klienten inte får svar (och inte RSET eller något annat felmeddelande) så kommer den försöka igen ett par gånger. Beteendet kommer dock verka sporadiskt och bli svåra att felsöka. Med TCP är det lättare för brandvägg att kontrollera om det är en fråga eller ett svar (stateful inspection) så risken där är lägre.

%d bloggare gillar detta: