[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

Andreas Polyrakis apolyr at noc.grnet.gr
Sat Jun 13 11:45:16 CEST 2015 

Για την μείωση του αποτελέσματος του ανθρώπινου λάθους υπάρχουν μια 
σειρά διαφορετικών μηχανισμών οι οποίοι δεν είναι όλοι κατάλληλοι για 
όλα τα δίκτυα (ούτε για όλους τους τύπους προβλημάτων).

Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν 
δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings -- υπάρχει 
και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά 
κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε 
misconfigurations ή typos.

Κρίμα που δεν είχαμε χρόνο να το συζητήσουμε στο GRNOG meeting πρόσφατα: 
Πρακτικά απαιτούνται 2 πράγματα.
- Το πρώτο είναι να φτιαχτούν τα ROAs για το address space που σου 
ανήκει: Με τον τρόπο αυτό το address space αυτό προστατεύεται, σε 
οποιοδήποτε τρίτο δίκτυο που υλοποιούν RPKI, από "λάθος" ανακοινώσεις. 
Το βήμα είναι απλούστατο για PA και PI χώρο και πλέον και για ERX 
(τουλάχιστον στην περιοχή του RIPE). Φτιάξτε το αν δεν το έχετε κάνει ήδη!
- Το δεύτερο είναι η ενεργοποίηση RPKI στο δίκτυο σας (και τον ορισμό 
σχετικής πολιτικής), αυτό πρακτικά σήμερα σημαίνει να προτιμάτε 
validated prefixes σε σχέση με unknown και κυρίως invalid (στο μέλλον 
ίσως να μπορούμε να πούμε και drop των invalids, αλλά δεν είμαστε ακόμα 
εκεί).

Το ΕΔΕΤ έχει ενεργοποιήσει RPKI πιλοτικά, όποιος ενδιαφέρεται για 
λεπτομέρειες ας μας ρωτήσει.

Καλό ΣΚ



On 06/12/2015 05:29 PM, Faidon Liambotis wrote:
> Πρακτικά ελάχιστοι κάνουν RPSL internet filtering in the open web (από 
> τους tier1s, η NTT είναι η μόνη που ξέρω). Είναι, ουσιαστικά, αδύνατο 
> σε μεγάλα δίκτυα (διαχειριστικό κόστος, software limitations — 
> δοκίμασε να βάλεις route filters με δεκάδες ή εκατοντάδες χιλιάδες 
> routes, κάτι τυπικό για πολλούς από τους peers μου) ενώ επιπλέον έχει 
> πολύ μικρή αξία στα non-RIPE regions.
>
> Μπορώ να σου πω ότι προσωπικά έχω αφιερώσει δεκάδες ώρες προσπαθώντας 
> να αφαιρέσω garbage route objects με λάθος origin ή maintainer ή το 
> δικό μας ASN αλλά μη δικό μας prefix, από τον ΙRR της ARIN, της Level3 
> (της οποία δεν ήμασταν ποτέ πελάτες) και της RADB, ενώ έχω φτιάξει 
> αντίστοιχα route objects για το ARIN space μου στην IRR του RIPE χωρίς 
> κανενός είδους authentication ("password: RPSL"[1]).
>
> Επίσης, ενδεικτικά, από τους 500+ peers μας και 5-6 tier1/2 upstreams 
> μας, πλην της NTT δεν έχω ακούσει ποτέ ούτε έναν να μας 
> πει/ζητήσει/ενημερώσει για route object filtering, έστω και προαιρετικά.
>
> Φ.
>
> 1: 
> https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-internet-routing-registry
>
> On 06/12/15 17:00, Spyros Kakaroukas wrote:
>> Φυσικά όπου υπάρχει ο ανθρώπινος παράγοντας θα γίνονται λάθη. Δε
>> διαφωνώ εδώ. Όποιος θεωρεί ότι είναι αλάνθαστος, κατά τη δική μου
>> γνώμη απλά ψεύδεται.
>>
>> Αυτό που θεωρώ τουλάχιστον παράξενο είναι το γεγονός ότι είναι τόσο
>> ευάλωτοι σε ανθρώπινα λάθη. Τη στιγμή που εγώ ( και θεωρώ ότι το ίδιο
>> ισχύει για την πλειοψηφία της λίστας ) , ακόμα και με το ιδιαίτερα
>> μικρό μέγεθος που έχει ο εργοδότης μου, διαχειρίζομαι τα φίλτρα για
>> bgp peers αυτόματα, μου κάνει ιδιαίτερη εντύπωση "μαγαζί" τέτοιου
>> μεγέθους να μην το κάνει με τρόπο αυτόματο και πλήρως λειτουργικό.
>>
>> Για την ιστορία, η TM διαφήμισε τα prefixes σε level3, tsic και ntt.
>> Η level3 τα αποδέχθηκε όλα, αλλά και η tsic αποδέχθηκε μερικά.
>>
>> My thoughts and words are my own.
>>
>> Kind Regards,
>>
>> Spyros
>>
>> -----Original Message----- From: grnog-request at lists.grnog.gr
>> [mailto:grnog-request at lists.grnog.gr] On Behalf Of Yiorgos
>> Adamopoulos Sent: Friday, June 12, 2015 4:43 PM To:
>> grnog at lists.grnog.gr Subject: Re: [grnog] Το leak της ημέρας ( AS4788
>> -> AS3549 )
>>
>> On Fri, Jun 12, 2015 at 4:33 PM, Spyros Kakaroukas
>> <s.kakaroukas at connecticore.com> wrote:
>>> Ειλικρινά απορώ πως γίνεται ο πλέον μεγαλύτερος πάροχος του κόσμου
>>> να μην φιλτράρει σωστά.
>>
>> Here is a clue: Στην γενική περίπτωση παντού είναι guys like us. Αν
>> λοιπόν μπορεί να το κάνεις εσύ το λάθος, το ίδιο μπορεί να συμβεί και
>> σε άλλα μαγαζιά.
>>
>> Θυμίζω κάτι που γράφει στο "How complex systems fail": Complex
>> systems run in degraded mode (και το How Complex Systems Fail έχει
>> γραφτεί για ασθενείς σε ΜΕΘ).
>>
>> Καλό ΣΚ σε όλους! -- "If technology is your thing plan to die reading
>> manuals" --Gene Woolsey
>>
>>
>> This e-mail and any attachment(s) contained within are confidential
>> and are intended only for the use of the individual to whom they are
>> addressed. The information contained in this communication may be
>> privileged, or exempt from disclosure. If the reader of this message
>> is not the intended recipient, you are hereby notified that any
>> dissemination, distribution, or copying of this communication is
>> strictly prohibited. If you have received this communication in
>> error, please notify the sender and delete the communication without
>> retaining any copies. Connecticore SA is not responsible for, nor
>> endorses, any opinion, recommendation, conclusion, solicitation,
>> offer or agreement or any information contained in this
>> communication.
>>
>
>


-- 
-----------------------------------------------------------------------
Andreas Polyrakis - apolyr at noc.grnet.gr
GRNET NOC Technical Manager
Greek Research & Technology Network - http://www.grnet.gr
56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
-----------------------------------------------------------------------

More information about the grnog-members mailing list