[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

[Spyros Kakaroukas]

Επιτρέψτε μου να διαφωνήσω αναφορικά με την πολυπλοκότητα. Η πολυπλοκότητα της διαδικασίας δεν αυξάνεται όσο αυξάνονται οι πελάτες ή οι routers. Αντιθέτως, δίνεται η δυνατότητα για μεγαλύτερο segmentation των σχετικών tasks. Ειδικά όταν έχεις δικό σου IRR database ή αναγκάζεις τους πελάτες να χρησιμοποιούν το radb ( το κατά πόσο είναι όντως up to date τα records ας μην το πιάσουμε, αν υπήρχε λειτουργική ανάγκη να είναι, θεωρώ ότι θα ήταν ). Προφανώς και μεταξύ tier-1 είναι αδύνατον να υπάρχει filtering για διάφορους λόγους, αλλά στις άλλες περιπτώσεις δε θεωρώ ότι τα prefixes θα ξεφύγουν δραματικά σε νούμερο. Μερικά χιλιάδες entries είναι manageable, εφόσον δεν τα διαχειρίζεται άνθρωπος. Δεκάδες χιλιάδες θεωρώ ότι σπάνια θα δούμε στον ίδιο router, αν και μπορεί να κάνω λάθος, ειδικά σε περιπτώσεις όπου έχουμε διασύνδεση με κάποιο μεγάλο IXP, αλλά κι εκεί μπορεί να "σπάσει" με κάποιο κόστος. Προσωπικά θεωρώ το κόστος του να μην κάνεις τίποτα μεγαλύτερο από το αντίθετο, αλλά πάλι φυσικά μπορεί να κάνω λάθος.

Αναφορικά με το RPKI και τα ROAs, είναι σίγουρα ένα βήμα στη σωστή κατεύθυνση ( αν και το ποια είναι η σωστή κατεύθυνση είναι λίγο debatable, καθώς μερικές προτεινόμενες λύσεις δεν είναι ακριβώς εύκολα υλοποιήσιμες ). Όμως, όπως αναφέρθηκε ήδη, δε θα έκανε κάτι στη συγκεκριμένη περίπτωση καθώς το origin ήταν σωστό. Επίσης, μέχρι πρόσφατα υπήρχε σχετικό bug στο ios-xe που προκαλούσε restart του router. Ακόμα όμως και αν δεν είναι enforced στο δίκτυο, έχω την εντύπωση ότι το RIPE στέλνει προειδοποιήσεις αν δει κάποιο route που κάνει fail το roa validation.

Καλό ΣΚ σε όλους :)

My thoughts and words are my own.

Kind Regards,

Spyros


-----Original Message-----
From: grnog-request at lists.grnog.gr [mailto:grnog-request at lists.grnog.gr] On Behalf Of Andreas Polyrakis
Sent: Saturday, June 13, 2015 12:45 PM
To: grnog at lists.grnog.gr
Subject: Re: [grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

Για την μείωση του αποτελέσματος του ανθρώπινου λάθους υπάρχουν μια σειρά διαφορετικών μηχανισμών οι οποίοι δεν είναι όλοι κατάλληλοι για όλα τα δίκτυα (ούτε για όλους τους τύπους προβλημάτων).

Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings -- υπάρχει και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε misconfigurations ή typos.

Κρίμα που δεν είχαμε χρόνο να το συζητήσουμε στο GRNOG meeting πρόσφατα:
Πρακτικά απαιτούνται 2 πράγματα.
- Το πρώτο είναι να φτιαχτούν τα ROAs για το address space που σου
ανήκει: Με τον τρόπο αυτό το address space αυτό προστατεύεται, σε οποιοδήποτε τρίτο δίκτυο που υλοποιούν RPKI, από "λάθος" ανακοινώσεις.
Το βήμα είναι απλούστατο για PA και PI χώρο και πλέον και για ERX (τουλάχιστον στην περιοχή του RIPE). Φτιάξτε το αν δεν το έχετε κάνει ήδη!
- Το δεύτερο είναι η ενεργοποίηση RPKI στο δίκτυο σας (και τον ορισμό σχετικής πολιτικής), αυτό πρακτικά σήμερα σημαίνει να προτιμάτε validated prefixes σε σχέση με unknown και κυρίως invalid (στο μέλλον ίσως να μπορούμε να πούμε και drop των invalids, αλλά δεν είμαστε ακόμα εκεί).

Το ΕΔΕΤ έχει ενεργοποιήσει RPKI πιλοτικά, όποιος ενδιαφέρεται για λεπτομέρειες ας μας ρωτήσει.

Καλό ΣΚ



On 06/12/2015 05:29 PM, Faidon Liambotis wrote:
> Πρακτικά ελάχιστοι κάνουν RPSL internet filtering in the open web (από
> τους tier1s, η NTT είναι η μόνη που ξέρω). Είναι, ουσιαστικά, αδύνατο
> σε μεγάλα δίκτυα (διαχειριστικό κόστος, software limitations —
> δοκίμασε να βάλεις route filters με δεκάδες ή εκατοντάδες χιλιάδες
> routes, κάτι τυπικό για πολλούς από τους peers μου) ενώ επιπλέον έχει
> πολύ μικρή αξία στα non-RIPE regions.
>
> Μπορώ να σου πω ότι προσωπικά έχω αφιερώσει δεκάδες ώρες προσπαθώντας
> να αφαιρέσω garbage route objects με λάθος origin ή maintainer ή το
> δικό μας ASN αλλά μη δικό μας prefix, από τον ΙRR της ARIN, της Level3
> (της οποία δεν ήμασταν ποτέ πελάτες) και της RADB, ενώ έχω φτιάξει
> αντίστοιχα route objects για το ARIN space μου στην IRR του RIPE χωρίς
> κανενός είδους authentication ("password: RPSL"[1]).
>
> Επίσης, ενδεικτικά, από τους 500+ peers μας και 5-6 tier1/2 upstreams
> μας, πλην της NTT δεν έχω ακούσει ποτέ ούτε έναν να μας
> πει/ζητήσει/ενημερώσει για route object filtering, έστω και προαιρετικά.
>
> Φ.
>
> 1:
> https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-inte
> rnet-routing-registry
>
> On 06/12/15 17:00, Spyros Kakaroukas wrote:
>> Φυσικά όπου υπάρχει ο ανθρώπινος παράγοντας θα γίνονται λάθη. Δε
>> διαφωνώ εδώ. Όποιος θεωρεί ότι είναι αλάνθαστος, κατά τη δική μου
>> γνώμη απλά ψεύδεται.
>>
>> Αυτό που θεωρώ τουλάχιστον παράξενο είναι το γεγονός ότι είναι τόσο
>> ευάλωτοι σε ανθρώπινα λάθη. Τη στιγμή που εγώ ( και θεωρώ ότι το ίδιο
>> ισχύει για την πλειοψηφία της λίστας ) , ακόμα και με το ιδιαίτερα
>> μικρό μέγεθος που έχει ο εργοδότης μου, διαχειρίζομαι τα φίλτρα για
>> bgp peers αυτόματα, μου κάνει ιδιαίτερη εντύπωση "μαγαζί" τέτοιου
>> μεγέθους να μην το κάνει με τρόπο αυτόματο και πλήρως λειτουργικό.
>>
>> Για την ιστορία, η TM διαφήμισε τα prefixes σε level3, tsic και ntt.
>> Η level3 τα αποδέχθηκε όλα, αλλά και η tsic αποδέχθηκε μερικά.
>>
>> My thoughts and words are my own.
>>
>> Kind Regards,
>>
>> Spyros
>>
>> -----Original Message----- From: grnog-request at lists.grnog.gr
>> [mailto:grnog-request at lists.grnog.gr] On Behalf Of Yiorgos
>> Adamopoulos Sent: Friday, June 12, 2015 4:43 PM To:
>> grnog at lists.grnog.gr Subject: Re: [grnog] Το leak της ημέρας ( AS4788
>> -> AS3549 )
>>
>> On Fri, Jun 12, 2015 at 4:33 PM, Spyros Kakaroukas
>> <s.kakaroukas at connecticore.com> wrote:
>>> Ειλικρινά απορώ πως γίνεται ο πλέον μεγαλύτερος πάροχος του κόσμου
>>> να μην φιλτράρει σωστά.
>>
>> Here is a clue: Στην γενική περίπτωση παντού είναι guys like us. Αν
>> λοιπόν μπορεί να το κάνεις εσύ το λάθος, το ίδιο μπορεί να συμβεί και
>> σε άλλα μαγαζιά.
>>
>> Θυμίζω κάτι που γράφει στο "How complex systems fail": Complex
>> systems run in degraded mode (και το How Complex Systems Fail έχει
>> γραφτεί για ασθενείς σε ΜΕΘ).
>>
>> Καλό ΣΚ σε όλους! -- "If technology is your thing plan to die reading
>> manuals" --Gene Woolsey
>>
>>
>> This e-mail and any attachment(s) contained within are confidential
>> and are intended only for the use of the individual to whom they are
>> addressed. The information contained in this communication may be
>> privileged, or exempt from disclosure. If the reader of this message
>> is not the intended recipient, you are hereby notified that any
>> dissemination, distribution, or copying of this communication is
>> strictly prohibited. If you have received this communication in
>> error, please notify the sender and delete the communication without
>> retaining any copies. Connecticore SA is not responsible for, nor
>> endorses, any opinion, recommendation, conclusion, solicitation,
>> offer or agreement or any information contained in this
>> communication.
>>
>
>


--
-----------------------------------------------------------------------
Andreas Polyrakis - apolyr at noc.grnet.gr
GRNET NOC Technical Manager
Greek Research & Technology Network - http://www.grnet.gr 56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
-----------------------------------------------------------------------




This e-mail and any attachment(s) contained within are confidential and are intended only for the use of the individual to whom they are addressed. The information contained in this communication may be privileged, or exempt from disclosure. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination, distribution, or copying of this communication is strictly prohibited. If you have received this communication in error, please notify the sender and delete the communication without retaining any copies. Connecticore SA is not responsible for, nor endorses, any opinion, recommendation, conclusion, solicitation, offer or agreement or any information contained in this communication.