[grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

Wed Apr 25 15:21:34 CEST 2018

Καλησπέρα,

Επίτηδες δεν αναφέρθηκα αυστηρά σε tier1, αλλά θεωρώ ότι οι tier1 και οι μεγάλοι tier2 δεν είναι τόσοι πολλοί. Δε θα ήταν ανάγκη να κάνουν κάτι μεταξύ τους, αλλά με τους πελάτες τους. Επίσης, θα είχε ενδιαφέρον να δούμε αν μπορούμε να ορίσουμε το μέγεθος των prefix-list που είναι πολύ μεγάλο. Τυχαίνει να έχω λίστες με > 130.000 γραμμές που διαχειρίζομαι αυτόματα ( και κάποτε ήθελα να το ανοίξω θέμα στη λίστα, για να συζητήσουμε τι/πως υλοποιεί ο καθένας ),  χωρίς ιδιαίτερο πρόβλημα. Σε σχέση με το RPKI, θαρρώ ότι πιο εύκολα θα υλοποιήσουν κάτι 5-10-100 νοματαίοι, παρά όλο το Internet.

Πιστεύω ότι ο μεγαλύτερος λόγος μη υλοποίησης δεν είναι τόσο οι τεχνικές/διαδικαστικές δυσκολίες ( που είναι υπαρκτές ), αλλά η άποψη ( ας μη συζητήσουμε την ορθότητά της ) ότι δεν προσφέρει κάποιο value.

Για το peer locking μπορείς να βρεις πληροφορίες στο http://instituut.net/~job/peerlock_manual.pdf .

Φιλικά,

[id:5E6E4B51-9051-4F92-883B-EC9737BFDE79]<http://www.connecticore.com/>

Spyros Kakaroukas
IP & Data Manager / CCIE #36537

Connecticore SA
78 Kifisias Avenue, Marousi, 15125, Greece
T:  +30 211 000 7089 | M: +30 695 676 0684
F:  +30 211 000 7099 | E: s.kakaroukas at connecticore.com

P Consider our environment – Think before you print ü

From: <grnog-request at lists.grnog.gr> on behalf of Andreas Polyrakis <apolyr at noc.grnet.gr>
Reply-To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Date: Wednesday, 25 April 2018 at 13:58
To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Subject: Re: [grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

On 25/04/18 13:25, Spyros Kakaroukas wrote:
Καλησπέρα,

Όντως ενδιαφέρον συμβάν. Προσωπικά, δεν βλέπω να έχει κάποια ευθύνη η Google.

Σχετικά με το RPKI, αν και θα έλυνε αρκετά θέματα, θεωρώ ότι απαιτεί μεγάλο ποσοστό υλοποίησης για να λειτουργήσει. Συνεπώς, μου φαντάζει λίγο ουτοπικό.

Επιστρέφω στο αρχικό thread

Θα θεωρούσα πιο εύκολη τη λύση του prefix filtering προς πελάτες από τους λίγους μεγάλους παρόχους.
Είναι πρακτικά αδύνατο οι tier1 να κάνουν αυστηρό filtering. Υπάρχουν πολλά θέματα εκεί: μέγεθος prefix lists, συχνότητα ανανέωσης, μη ύπαρξη route objects, registry στο οποίο είναι καταγεγραμμένα τα route objects*, κακής ποιότητας route objects*, Αυτό πρέπει να γίνεται κοντά στον τελικό πελάτη, από τους μικρότερους ISPs/carriers (tier2, tier3 κλπ).

* Μην σκέφτεστε μόνο με όρους RIPE region, Στην ARIN δεν υπάρχουν route objects και γι αυτό έχει προκύψει ως defacto η radb!!! Όμως εκεί, ως μη επίσημα πιστοποιημένο registry, υπάρχει σημαντικό θέμα με το integrity των δεδομένων και έχει μπόλικα σκουπίδια. Γι αυτό στην Αμερική, από όσο αντιλαμβάνομαι, το αυστηρό filtering βάση των whois registries δεν είναι τόσο διαδεδομένο....

Αντίστοιχα εύκολη θεωρώ και τη χρήση του Peer Locking.
Τι εννοείς με αυτό τον όρο;

Ανδρέας

Δυστυχώς όμως, όσο αυτό δεν προκαλεί ζημιά προς τους ίδιους τους παρόχους, φοβάμαι ότι δε θα αλλάξει κάτι. Από την άλλη, αν φτάσουμε στο σημείο να υπάρχει σχετική ρύθμιση από τρίτους και ευθύνη των παρόχων για τέτοιες πράξεις, πιθανώς να σώσουμε μερικά δέντρα και να χάσουμε το δάσος.

Φιλικά,

--

Andreas Polyrakis

GR-IX Manager // GRNET NOC Technical Manager

GRNET - Networking Research and Education

7, Kifisias Av., 115 23, Athens

t: +30 210 7474249 | c: +30 697 2832 445 | f: +30 210 7474490

Follow us: www.grnet.gr<http://www.grnet.gr>

Twitter: @grnet_gr | Facebook: @grnet.gr

LinkedIn: grnet | YouTube: GRNET EDET
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180425/9191a755/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 8071 bytes
Desc: image001.png
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180425/9191a755/attachment.png>