Speaker: Karol Wiesek
Language: Polish
Podczas prezentacji przedstawione zostaną podatności wynikające z implementacji lub konfiguracji urządzeń zapewniających po stronie operatora dostęp do Internetu w technologii 3G (GGSN). Przedstawione obserwacje wynikają z przeprowadzonego przez PwC audytu sieci mobilnej jednego z klientów, a także z późniejszych, prywatnych badań autora.
CONFidence: http://confidence.org.pl/pl/
PLNOG 13: Adam Obszyński: DNSSEC – Cryptography in the service of the secure DNSPROIDEA
Adam Obszyński – works at Infoblox as Regional Sales Engineer responsible for CEE. Previously, he worked at Cisco and in few integrators and at ISP in the country. Adam has many years’ experience in designing and in implementation of network solutions. He has been in the industry for 17 years. He is the holder of CISSP and CCIE #8557 certificates. Adam is also the speaker at many conferences in the country and abroad (such as Cisco Live U.S. & EU, Cisco Forum, Cisco Expo, PLNOG).
Topic of Presentation: DNSSEC – Cryptography in the service of the secure DNS
Language: Polish
Abstract:
Keyword DNSSEC on Google returns over 2.5 million results. Probably everyone heard term DNSSEC. I will try to systematize information about DNSSEC protocol. I’ll talk about DNSSEC impact on DNS services – from SP and customer perspective.
Why is it not used in Poland? Why world uses it?
The session should include a mix of theory and practices used today on the Internet.
Do You maintain DNS? You are invited then. You will learn how to protect Your data in the DNS system. You can also increase security of your customers :-)
Do You use DNS? You are invited too. Learn what you should ask your ISP for. Same for providers, banks and gov. Institutions.
No marketing. Just the facts.
[FDD 2016] Jarosław Porwoł - Koncert na 144 rdzenie i czterech dyrygentówFuture Processing
Zespół, w którym pracował Jarek, odnosił sukcesy w kwestii mikroserwisów na długo przed tym, zanim wokół nich rozpętała się istna burza. W czasie swojej prelekcji przedstawił rozwiązania, które ów zespół zastosował podczas pracy w pewnym banku, wśród których znalazły się m.in. duże maszyny serwerowe, ciekawe rozwiązania komunikacyjne i sposoby przechowywania danych. Jego wystąpienie to także overview tego, co w projekcie było fajne, a co było błędem (i jak wypadałoby to zrobić lepiej).
Tomasz Kajtoch: Dokładnie 2 lata temu została opublikowana specyfikacja protokołu HTTP w wersji drugiej. Mimo wielu zalet, tylko niewielki procent usług w internecie zdecydował się na jego wdrożenie. Moja prelekcja poświęcona będzie praktycznym przykładom i zaletom płynącym z jego użycia pod kątem frontendu oraz porówna go z dotychczas stosowanymi rozwiązaniami.
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
Co by było gdyby serwery DNS były tylko w wersji IPv6… zupełnie przypadkiem przetestowaliśmy to dla serwisu allegro.pl. Opowiem jak to się objawiło, czy i na ile serwis był dostępny dla klientów oraz jakie wnioski wyciągnęliśmy z tej lekcji. W drugiej części opowiemy o zmianie z http://allegro.pl na https://allegro.pl widzianej z perspektywy admina. Dlaczego to nie było takie łatwe jakby się mogło wydawać. Dowiecie się o wyzwaniach które napotkaliśmy na drodze do pełnego szyfrowania i niekoniecznie technicznych kwestiach na które szyfrowanie miało ogromny wpływ. Dlaczego zmieniając coś w TLS musieliśmy wykonać setki telefonów… Przekażemy także kilka wskazówek jak mieć TLS na A+.
PLNOG 13: Adam Obszyński: DNSSEC – Cryptography in the service of the secure DNSPROIDEA
Adam Obszyński – works at Infoblox as Regional Sales Engineer responsible for CEE. Previously, he worked at Cisco and in few integrators and at ISP in the country. Adam has many years’ experience in designing and in implementation of network solutions. He has been in the industry for 17 years. He is the holder of CISSP and CCIE #8557 certificates. Adam is also the speaker at many conferences in the country and abroad (such as Cisco Live U.S. & EU, Cisco Forum, Cisco Expo, PLNOG).
Topic of Presentation: DNSSEC – Cryptography in the service of the secure DNS
Language: Polish
Abstract:
Keyword DNSSEC on Google returns over 2.5 million results. Probably everyone heard term DNSSEC. I will try to systematize information about DNSSEC protocol. I’ll talk about DNSSEC impact on DNS services – from SP and customer perspective.
Why is it not used in Poland? Why world uses it?
The session should include a mix of theory and practices used today on the Internet.
Do You maintain DNS? You are invited then. You will learn how to protect Your data in the DNS system. You can also increase security of your customers :-)
Do You use DNS? You are invited too. Learn what you should ask your ISP for. Same for providers, banks and gov. Institutions.
No marketing. Just the facts.
[FDD 2016] Jarosław Porwoł - Koncert na 144 rdzenie i czterech dyrygentówFuture Processing
Zespół, w którym pracował Jarek, odnosił sukcesy w kwestii mikroserwisów na długo przed tym, zanim wokół nich rozpętała się istna burza. W czasie swojej prelekcji przedstawił rozwiązania, które ów zespół zastosował podczas pracy w pewnym banku, wśród których znalazły się m.in. duże maszyny serwerowe, ciekawe rozwiązania komunikacyjne i sposoby przechowywania danych. Jego wystąpienie to także overview tego, co w projekcie było fajne, a co było błędem (i jak wypadałoby to zrobić lepiej).
Tomasz Kajtoch: Dokładnie 2 lata temu została opublikowana specyfikacja protokołu HTTP w wersji drugiej. Mimo wielu zalet, tylko niewielki procent usług w internecie zdecydował się na jego wdrożenie. Moja prelekcja poświęcona będzie praktycznym przykładom i zaletom płynącym z jego użycia pod kątem frontendu oraz porówna go z dotychczas stosowanymi rozwiązaniami.
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
Co by było gdyby serwery DNS były tylko w wersji IPv6… zupełnie przypadkiem przetestowaliśmy to dla serwisu allegro.pl. Opowiem jak to się objawiło, czy i na ile serwis był dostępny dla klientów oraz jakie wnioski wyciągnęliśmy z tej lekcji. W drugiej części opowiemy o zmianie z http://allegro.pl na https://allegro.pl widzianej z perspektywy admina. Dlaczego to nie było takie łatwe jakby się mogło wydawać. Dowiecie się o wyzwaniach które napotkaliśmy na drodze do pełnego szyfrowania i niekoniecznie technicznych kwestiach na które szyfrowanie miało ogromny wpływ. Dlaczego zmieniając coś w TLS musieliśmy wykonać setki telefonów… Przekażemy także kilka wskazówek jak mieć TLS na A+.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
7. 3.3.10. NULL RDATA format (EXPERIMENTAL)
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
/ <anything> /
/ /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Anything at all may be in the RDATA field so long as it is 65535 octets
or less.
3.3.14. TXT RDATA format
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
/ TXT-DATA /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
where:
TXT-DATA One or more <character-string>s.
TXT RRs are used to hold descriptive text. The semantics of the text
depends on the domain where it is found.
9. [MOBILE] ------------- [GGSN] --- SYN -----------> [INTERNET]
[MOBILE] <------------ [GGSN] --- SYN/ACK -------- [INTERNET]
[MOBILE] <-------- RST [GGSN] --- RST -----------> [INTERNET]
Komunikacja z otwartym portem tcp w Internecie
[MOBILE] ------------- [GGSN] --- SYN -----------> [INTERNET]
[MOBILE] <------------ [GGSN] --- RST ------------ [INTERNET]
Komunikacja z zamkniętym portem tcp w Internecie
Dlaczego, pomimo zdefiniowanych reguł IP/port przepuszczany jest fragment
synchronizacji TCP ?
10. [MOBILE] -------- [GGSN] --- [SYN + DATA] -------> [INTERNET]
[MOBILE] <------------ [GGSN] --- [RST + DATA] --- [INTERNET]
$ hping3 -S -d 30 -E payload.bin -p 80 <ip>
3.4. Establishing a connection
Several examples of connection initiation follow. Although these
examples do not show connection synchronization using data-carrying
segments, this is perfectly legitimate, so long as the receiving TCP
doesn't deliver the data to the user until it is clear the data is
valid (i.e., the data must be buffered at the receiver until the
connection reaches the ESTABLISHED state.
Nie znalazłem informacji o możliwości przesyłania danych w pakietach RST, ale
doświadczenia pokazują, że jest to możliwe.
11. Protokół HTTP
Reguły klasyfikujące ruch na podstawie nazwy hosta, lub URL wymagają
konkretnych danych z warstwy siódmej :
• Nagłówek HTTP Host
• Request-URL
Do czasu pojawienia się oczekiwanych danych urządzenie albo musi
buforować dane od użytkownika, albo przesyłać je dalej, do czasu, aż będzie
mogło podjąć decyzję.
„Wait for name” attack
Jeżeli urządzenie doczeka się na dane, na podstawie których dokonuje
klasyfikacji – czy weryfikuje zgodność nazwy z odpowiadającym
adresem/adresami IP ?
„Trusted name to untrusted IP” attack
12.
13. Protokół HTTP
„Trusted name to untrusted IP” attack
•Urządzenie poszukuje nagłówka „Host”
•Na podstawie nagłówka „Host” realizowana jest akcja (gprs-free)
•Nie jest weryfikowane czy adres IP, do którego następuje połączenie
odpowiada adresowi na który rozwiązuje się nazwa z nagłówka
14. Protokół HTTP
„Trusted name to untrusted URI” attack
W analogiczny sposób działają ACL’e na poziomie MMS-proxy w APN
mmsowym
• Proxy zamiast decydować na podstawie request-URI, robi to
wykorzystując nagłówek Host
15. Peer2Peer
Mniej lub bardziej świadomie włączona komunikacja P2P wewnątrz APN
MMSy rozliczane są ilościowo, również w roamingu
W roamingu APN MMS „wygląda” jak lokalnie
•MMS-proxy
•P2P