APNIC文摘—我們需要重新思考網路監測嗎?

本APNIC文摘原標題為Do we need to rethink network monitoring?,是由監測網路性能的科技公司ThousandEyes工程師Kemal Sanjta撰文。大部分電腦使用者,即使不是專業工程師等級,可能也至少聽過tracerout和ping。很多人會用ping指令檢查網路連線,或用traceroute檢查網路連線品質。一直以來,這2種指令差不多就夠用了。

隨著電腦網路越來越複雜,這2種指令的不足之處也逐漸顯現。例如traceroute可能會沒發現節點或回報錯誤連結,誤導除錯方向。Ping雖然很好用,但這個指令非常依賴網際網路控制訊息協定(Internet Control Message Protocol,ICMP),而近幾年來ICMP又常常被封鎖或管控。 閱讀全文 “APNIC文摘—我們需要重新思考網路監測嗎?”

APNIC文摘—推動網路規範,技術社群也有一份

本APNIC文摘原標題為Tech community has role to play in improving efficiency of cybernorms,是由倫敦大學學院全球政治與網路安全系教授Madeline Carr撰文。聯合國治理專家小組(UN Group of Governmental Experts,UNGGE)在2015年提出11條網路規範,希望藉此約束國家的網路行為;規範內容包括分享資訊、防治惡意攻擊、積極通報弱點等。與其說此規範是為了讓網路從此運行無阻,不如說是為了防範網路安全事件發生時因誤解、溝通不良,甚至欺瞞而導致危險加劇或國家衝突。

過去網路規範的討論常侷限於政治面。事實上,技術社群,尤其是網路世界中身先士卒、首當其衝的電腦網路安全事件、危機處理團隊(各國CSIRT與CERT)等的意見也非常重要。 閱讀全文 “APNIC文摘—推動網路規範,技術社群也有一份”

APNIC文摘—更完整的WHOIS資料

本APNIC文摘原標題為Filling the gaps in whois,是由APNIC註冊管理機構產品團隊的資深軟體工程師Rafael Cintra撰文。今年10月1日起,APNIC WHOIS資料庫中的inet[6]num *(inetnum或inet6num)欄位中,會新增一種叫做whois存根紀錄(stub record)的新類型資料。

*「inetnum」是ANPIC(或其他4大RIR)WHOIS查詢結果中的其中一個欄位,欄位中列出該筆查詢IP位於的IPv4位址區段。同理,inet6num則是該筆查詢IP位於的IPv6位址區段。

APNIC從IANA取得IP資源時,會在APNIC的WHOIS資料庫中產生對應的inet[6]num紀錄。之後APNIC把這些IP資源發出去時,會在原本的inet[6]num紀錄(母紀錄)下,產生一筆新的inet[6]num紀錄。以前若APNIC發配的IP位址轉移到其他地區(不同RIR),APNIC就會移除新的inet[6]num紀錄;這表示使用者搜尋IP時,只會看到該筆IP的inet[6]num母紀錄,因此誤以為該筆IP仍屬於APNIC。

有了存根紀錄,在相同的情況下,查詢結果中的inet[6]num欄位會改為顯示該IP區段已轉移到其他地區。一旦IP區段被轉移到APNIC管轄範圍外,APNIC就無法得知該區段的國碼。因此,查詢結果中的國碼欄位會顯示ZZ,表示「國碼未知」。

(圖片來源:APNIC部落格)

如圖所示,查詢結果中也會顯示該IP區段被轉到哪個地區,使用者可以轉而去該地區RIR的WHOIS再次搜尋,取得最新的WHOIS資料。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Filling the gaps in whois

APNIC舉辦IGF網路安全工作坊,連結政策和技術社群

本APNIC文摘原標題為Bridging the policy and technical communities on international cybersecurity discussions,是由APNIC策略參與總監Pablo Hinojosa撰文。在過去的四年中,APNIC與學術界合作,在聯合國網路治理論壇(Internet Governance Forum, IGF)中舉辦一系列的工作坊,主要討論網路規範的概念,希望能連結政策和技術社群,並了解他們各自的挑戰、恐懼和動機。以下介紹自2016年以來所舉辦的四次工作坊內容。 閱讀全文 “APNIC舉辦IGF網路安全工作坊,連結政策和技術社群”

APNIC文摘—新版NTP驗證機制

本APNIC文摘原標題為Network Time Security: new NTP authentication mechanism,是由德國Ostfalia University of Applied Sciences博士生Martin Langer撰寫,介紹新的NTP驗證機制。本篇根據該文做重點摘要。

在網路時間協定(Network Time Protocol, NTP)中使用驗證機制,對於防止攻擊者操縱時間資訊是很重要的。其中,Symmetric Key和Autokey就是這樣的驗證機制,也已存在許多年了,然而兩者均有嚴重的缺點,因此很少被用來保護NTP連線。經過多年的發展,現在有了新標準—網路時間安全(Network Time Security, NTS)可解決目前機制的問題,並提供真正的替代方案。

NTS協定是時間協定的安全性擴充,目前著重在unicast模式下的NTP,它提供強大的加密保護,防止封包被操縱、追蹤或被大量丟棄,並讓保護過程中導致準確性的損失最小化。

NTS為NTP的客戶端和伺服器模式提供加密安全性,讓用戶透過驗證的方式獲取時間資訊。NTS協定分為兩個階段。第一階段是NTS密鑰交換,它在NTP客戶端和伺服器之間建立必要的密鑰資訊,這個階段使用TLS handshake,並依賴與網頁相同的公鑰基礎架構。在交換密鑰後,TLS(傳輸層安全協定)通道將會關閉,協定進入第二階段,TLS handshake透過Extension Fields(EF),對NTP時間同步封包進行驗證。

截至目前為止已有7個已知的NTS工具(implementation)處於不同的開發階段,自2018年以來,IETF(網際網路工程小組)已進行多次Hackthon來測試互通性,有4個獨立的工具已通過測試,包含OstfaliaNTPsecChronyNetnod

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Network Time Security: new NTP authentication mechanism

APNIC文摘—線上遊戲與網路中立

本APNIC文摘原標題為Gaming, streaming, and network neutrality,是由澳洲新南威爾斯大學電機工程與電信系教授Vijay Sivaraman撰寫,介紹線上遊戲與網路中立的關係。本篇根據該文做重點摘要。

根據遊戲電競研究分析公司Newzoo統計,全球有超過23億線上遊戲玩家,其中約有11億玩家去年在遊戲上的總支出為1,379億美元。許多線上遊戲是免費的,業者透過玩家在遊戲中額外的消費來增加收入,因此,玩家和遊戲供應商都希望能有最優質的遊戲體驗。但是,他們無法控制網路連線情況,連網速度落後的玩家還可能因此並禁止進入遊戲中,以免破壞他人的體驗。 閱讀全文 “APNIC文摘—線上遊戲與網路中立”

APNIC文摘—DNS大戰(下)

「DNS大戰」下篇將介紹企業型民族國家(corporate nation-state)在IT產業的生成。一個國家的主權領域包括陸地、海洋、天空,隨後擴展至太空,現在還增加了由資訊科技所定義的領域。如果網路被視為人類活動的獨特領域,就像陸地和海洋一樣,可由特定主體宣稱其主權,以Google為例,行動裝置的作業系統有90%是Android,而超過70%的用戶使用Chrome瀏覽器,那麼民族國家(nation-state)的模式便可適用於此,Google可在龐大的資訊科技領域宣稱其主權,並捍衛其資產,監管勢必遭到Google的否定。 閱讀全文 “APNIC文摘—DNS大戰(下)”

APNIC文摘—DNS大戰(上)

本APNIC文摘原標題為DNS Wars,是由APNIC首席科學家Geoff Huston撰文。於10月底在德州奧斯汀舉辦的第77次北美網路維運論壇(NANOG),邀請美國網路安全公司Farsight Security的執行長Paul Vixie發表有關DNS和網路發展的專題演講,本篇摘要Huston對該場次的回應和想法,並將重點放在原文的後半部。 閱讀全文 “APNIC文摘—DNS大戰(上)”

APNIC文摘—加密DNS無法阻止竊聽和審查(下)

如上篇所述,研究團隊為加密DNS訊務設計一項新功能,並設定兩種情況來評估其有效性,結果是新功能可以有效地識別來自DoH訊務的網頁。此外,團隊認為審查者不僅要能找到被訪問的頁面,還需盡快找到它,以防止使用者下載內容。對審查者來說最佳的狀況是,列入黑名單頁面的DoH紀錄具有唯一的起始模式,因為這個原因,當通訊開始僅觀察到幾個封包時,團隊會分析DoH紀錄的唯一性。在DNS加密的情況下,審查者必須在準確度和附帶損害之間找到折衷方案,研究顯示,黑名單中不受歡迎的頁面,可以進行精確的審查且附帶損害較低。 閱讀全文 “APNIC文摘—加密DNS無法阻止竊聽和審查(下)”

APNIC文摘—加密DNS無法阻止竊聽和審查(上)

本APNIC文摘原標題為Eavesdroppers and censors can still monitor what you’re viewing even if you’re using encrypted DNS,由洛桑聯邦理工大學資訊科學博士生Sandra Siby撰文。

今(2019)年四月域名系統的訊務達到5兆個DNS交易次數,創下歷史新高,這大批交易都以明文顯示,讓網路服務供應商(Internet Service Providers, ISPs)、自治系統(Autonomous systems, ASes)或國家級機構可執行用戶追蹤、大規模監視和審查,為加強隱私保護,網路治理組織、相關產業行為者和標準化機構將DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH)兩項協定標準化。 閱讀全文 “APNIC文摘—加密DNS無法阻止竊聽和審查(上)”