<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<font face="Calibri">Αυτά που έλεγα...<br>
<br>
<a class="moz-txt-link-freetext" href="http://seclists.org/nanog/2018/Jun/367">http://seclists.org/nanog/2018/Jun/367</a><br>
<br>
</font>
<pre class="moz-signature" cols="0">--
Tassos
</pre>
<div class="moz-cite-prefix">Andreas Polyrakis wrote on 8/6/18
10:54:<br>
</div>
<blockquote type="cite"
cite="mid:51c65eb3-1855-d57a-53cd-f84487de9df8@noc.grnet.gr">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<div class="moz-cite-prefix">Τάσο καλημέρα,<br>
<br>
πολύ εύστοχες οι παρατηρήσεις, σχολιάζω in-line.<br>
<br>
On 08/06/18 10:37, Tassos Chatzithomaoglou wrote:<br>
</div>
<blockquote type="cite"
cite="mid:86c1dd17-fe7b-bae2-fbad-e58fb3e4b00c@forthnet.gr">
<meta http-equiv="Content-Type" content="text/html;
charset=UTF-8">
<p><font face="Calibri">Καλημέρα Ανδρέα,</font></p>
<p><font face="Calibri">Το συγκεκριμένο το είχαμε ξανασυζητήσει
το παρελθόν (σε συνάντηση του GRIX νομίζω). Πολύ ωραία ιδέα,
αλλά συγκρίνοντας με την πραγματικότητα, νομίζω ότι
περισσότερο αποτελεί διαφήμιση για κάποιους και όχι ουσία.
Όταν είχε πρωτοξεκινήσει, είχα "ελέγξει" κάποιους μεγάλους
παρόχους με τους οποίους έχουμε BGP peering και το
συμπέρασμα που είχα καταλήξει ήταν ότι η συμμετοχή τους στο
MANRS δεν συμφωνούσε με την πραγματικότητα στο internet.<br>
</font></p>
</blockquote>
To MANRS το ακούω 2-3 χρόνια τώρα. Και εγώ ήμουν αρκετά
επιφυλακτικός. Η αίσθησή μου πλέον, από τα fora/λίστες που
παρακολουθώ, είναι πως πλέον έχει αρχίσει να ωριμάζει. Στο RIPE76
υπήρχαν 3 σχετικές παρουσιάσεις από το ISOC, αν λέει κάτι αυτό,
και κάμποσες αναφορές από τρίτους σε αυτό.<br>
<br>
Παρόλα αυτά υπάρχουν όντως πράγματα να γίνουν. Για παράδειγμα αν
περάσεις το audit αυτό δεν επαναλαμβάνεται, οπότε τίποτα δεν
εξασφαλίζει ότι συνεχίζεις να είσαι MANRS compliant. Όμως είναι
στις προθέσεις του ISOC να διορθωθεί αυτό.<br>
<br>
Συμφωνώ επίσης με όσα λες περί διαφήμισης, το MANRS είναι τελικά
ένα ταμπελάκι το οποίο το βάζεις στο δίκτυό σου και μετά
προσπαθείς να το "πουλήσεις" σαν "ποιότητα της εταιρίας" σου στους
πελάτες σου. Τίποτα κακό με αυτό, αρκεί το ταμπελάκι να έχει όντως
αξία, φυσικά.<br>
<br>
(Note: Κάποια exchanges δίνουν κίνητρα στα μέλη τους να κάνουν
join το MANRS, το εξατάζουμε και εμείς (GR-IX) αυτό)<br>
<br>
<blockquote type="cite"
cite="mid:86c1dd17-fe7b-bae2-fbad-e58fb3e4b00c@forthnet.gr">
<p><font face="Calibri"> </font></p>
<p><font face="Calibri">Γενικότερα θα ήθελα να υπήρχαν και
κάποια metrics (δημόσια διαθέσιμα) που να αντικατοπτρίζουν
όσον το δυνατόν περισσότερο την πραγματικότητα, έτσι ώστε να
μην καταντήσει "ότι δηλώσει είσαι". Επίσης αναφέρεις ένα
εξωτερικό audit, θα ήθελα να μάθω περισσότερα περί αυτού.<br>
</font></p>
</blockquote>
<br>
Με κάθε επιφύλαξη για την ορθότητα των όσων γράφω: Στην αίτηση που
κάνεις περιγράφεις συνοπτικά με ποιον τρόπο κάνεις filtering,
antispoofing κλπ. Κάνουν review αυτών που γράφεις, ενώ παράλληλα
κοιτάνε RIPE (abuse, inetnums, route objects, route sets κλπ).
Κοιτάνε και δημόσιους route collectors για bgp leaks από το δίκτυό
σου κλπ. Τέλος υπάρχει και ένα test που είναι εσωτερικό (η ΕΔΕΤ θα
το περάσει σύντομα οπότε δεν ξέρω λεπτομέρειες ακόμα) με το οποίο
στέλνουν spoofed κίνηση και τσεκάρουν πως αυτή κόβεται.<br>
<br>
<blockquote type="cite"
cite="mid:86c1dd17-fe7b-bae2-fbad-e58fb3e4b00c@forthnet.gr">
<p><font face="Calibri"> </font></p>
<p><font face="Calibri">Παρόλα αυτά, συμφωνώ με την γενικότερη
ιδέα και προτείνω σε όλους αν όχι να δηλώσουν συμμετοχή,
τουλάχιστον να μελετήσουν τις προτάσεις που περιγράφονται
και να προσπαθήσουν να εφαρμόσουν όσον το δυνατόν
περισσότερες, πάντα προσαρμοσμένες στις ιδιαίτερες ανάγκες
του εκάστοτε δικτύου που διαχειρίζονται.</font></p>
<p><font face="Calibri">Όπως και με το <a
class="moz-txt-link-freetext"
href="http://www.worldipv6launch.org/"
moz-do-not-send="true">http://www.worldipv6launch.org/</a>,
είναι ένας έξυπνος τρόπος να προωθήσουμε κάποιες τεχνολογίες
και διαδικασίες που στην τελική θα μας βοηθήσουν όλους.</font><br>
</p>
</blockquote>
<br>
Ακριβώς!<br>
<br>
Ακόμα και για κάποιον που δεν θέλει να κάνει join, το να κινηθεί
κάποιος στην κατεύθυνση αυτή είναι σημαντικό κέρδος. Στο site τους
έχουν πληροφορίες και tutorials που αξίζει να δούμε όλοι.<br>
<br>
Ανδρέας<br>
<br>
<blockquote type="cite"
cite="mid:86c1dd17-fe7b-bae2-fbad-e58fb3e4b00c@forthnet.gr">
<p> </p>
<pre class="moz-signature" cols="72">--
Τάσος
</pre>
<div class="moz-cite-prefix">Andreas Polyrakis wrote on 8/6/2018
1:01 πμ:<br>
</div>
<blockquote type="cite"
cite="mid:8c93f2d2-e815-9ba4-b509-bb21f0b234bc@noc.grnet.gr">Αγαπητοί,
<br>
<br>
Ίσως να έχει πέσει στην αντίληψή σας το MANRS (Mutually
Agreed Norms for Routing Security). <br>
<br>
Διαβάζεται MANNERS, όπως λέμε (καλοί) τρόποι, γιατί περιγράφει
τους τρόπους που πρέπει να συμπεριφερόμαστε σαν καλοί network
operators. <br>
<br>
<a class="moz-txt-link-freetext"
href="https://www.manrs.org/manrs/" moz-do-not-send="true">https://www.manrs.org/manrs/</a>
<br>
<br>
Πρόκειται μια πρωτοβουλία του ISOC για routing security, Όπως
προείπα περιγράφει πράγματα που πρέπει να κάνει ο κάθε ένας
από εμάς για να μειωθούν περιπτώσεις spoofing, hijack, DDoS, ή
το αποτέλεσμα αυτών. Αυτά που λέει είναι πράγματα απλά, που οι
περισσότεροι κάνουμε ήδη, ή είναι εύκολο να υιοθετήσουμε: BGP
filtering με βάση το ripe και αλλα registries, antispoofing,
well maintained RIPE objects (πχ abuse contacts, maintainers,
... ) κλπ, <br>
<br>
Οι operators που συμμετέχουν εμφανίζονται εδώ <a
class="moz-txt-link-freetext"
href="https://www.manrs.org/participants/"
moz-do-not-send="true">https://www.manrs.org/participants/</a>
<br>
και τα IXPs εδώ <a class="moz-txt-link-freetext"
href="https://www.manrs.org/participants/ixps/"
moz-do-not-send="true">https://www.manrs.org/participants/ixps/</a>
<br>
<br>
Σαν ΕΔΕΤ είμαστε στην διαδικασία συμμετοχής στο MANRS. Εφόσον
πληρείτε τα κριτήρια (δεν είναι υποχρεωτικά όλα), η διαδικασία
είναι απλούστατη, συμπληρώνετε μια απλή φόρμα, γίνεται ένα
εξωτερικό audit που απαιτεί σχεδόν μηδενική συμμετοχή σας και
είστε έτοιμοι. <br>
<br>
Επίσης έχει ήδη κάνει join το GR-IX σαν IXP (σύντομα θα
υπάρξει και κάποια ανακοίνωση). Πιθανότατα θα προωθηθεί και
από εκεί. <br>
<br>
Με το παρόν θα ήθελα να σας προτρέψω να ρίξετε μια ματιά, και
ειδικά οι μεγαλύτεροι ISPs που ήδη πληρείτε τις προυποθέσεις,
να κάνετε join. <br>
<br>
Σημειώνω πως στο επόμενο GRNOG θα υπάρξει σχετική παρουσίαση
από το ISOC και θα μοιραστεί υλικό. Αν ομως κάποιος
ενδιαφέρεται να προχωρήσει νωρίτερα και χρειάζεται
περισσότερες πληροφορίες, μπορεί να επικοινωνήσει (και) μαζί
μου. <br>
<br>
Φιλικά, <br>
Ανδρέας <br>
<br>
<br>
<br>
<br>
</blockquote>
<br>
</blockquote>
<p><br>
</p>
<pre class="moz-signature" cols="72">--
Andreas Polyrakis
GR-IX Manager // GRNET NOC Technical Manager
GRNET - Networking Research and Education
7, Kifisias Av., 115 23, Athens
t: +30 210 7474249 | c: +30 697 2832 445 | f: +30 210 7474490
Follow us: <a class="moz-txt-link-abbreviated" href="http://www.grnet.gr" moz-do-not-send="true">www.grnet.gr</a>
Twitter: @grnet_gr | Facebook: @grnet.gr
LinkedIn: grnet | YouTube: GRNET EDET
</pre>
</blockquote>
<br>
</body>
</html>