[grnog] RPKI

Wed Apr 25 15:36:52 CEST 2018

Καλησπέρα,

Στις 2018-04-25 13:51, Andreas Polyrakis έγραψε:
> On 25/04/18 13:25, Spyros Kakaroukas wrote:
> 
>> Σχετικά με το RPKI, αν και θα έλυνε
>> αρκετά θέματα, θεωρώ ότι απαιτεί
>> μεγάλο ποσοστό υλοποίησης για να
>> λειτουργήσει. Συνεπώς, μου φαντάζει
>> λίγο ουτοπικό.
>  Ανοίγω ξεχωριστό thread:
> 
> Για το RPKI υπάρχουν δύο (ανεξάρτητα)
> πράγματα που πρέπει να κάνεις:
> 
> ΒΗΜΑ 1: Να δημιουργήσεις τα ROA objects σου.
> Αυτό είναι πιο απλό και από τον να
> φτιάξεις route objects, κυριολεκτικά 5 λεπτά
> δουλειά. Έχοντας κάνει αυτό το βήμα, (α)
> παίρνεις alerts σε περίπτωση που γίνει
> hijack χώρος σου και (β) αν γίνει hijack χώρος
> σου, όποιος έχει υλοποιήσει rpki στο
> δίκτυό του (ΒΗΜΑ 2), έχει μια ελπίδα να
> δρομολογήσει σωστά κίνηση προς τον
> πελάτη σου. ΑΡΑ ΜΕ ΤΟ ΒΗΜΑ 1 ΕΧΕΙΣ 2
> ΣΗΜΑΝΤΙΚΑ ΟΦΕΛΗ ΜΕ 5 ΛΕΠΤΑ ΑΠΟ ΤΟΝ
> ΧΡΟΝΟ ΣΟΥ. Το γράφω με κεφαλαία γιατί
> μου είναι αδιανόητο ότι ο κόσμος ΔΕΝ
> το κάνει. Πραγματικά θα ήθελα να
> ακούσω γιατί (ναι, κάποια συγκεκριμένα
> ROA, πχ για ERX χώρο, ίσως να έχουν κάποιες
> δυσκολίες, αλλά τα περισσότερα είναι
> πολύ εύκολα. Έστω αυτά).
> 
+1
  (Είμαι από τους οπαδούς του RPKI θα συμφωνήσω)

Επιπλέον να προτείνω οτι όλοι οι .TLD name server θα πρέπει να έχουν
ένα /24 που να υπογράφουν το prefix του .TLD. Θα ήμουν ικανοποιημενος να 
έβλεπα
κάτι μέσα από την Ελλάδα.

Στα πλαίσια του μεγάλου consolidation (των Isps) που έχει γίνει στην 
Ελλάδα
θα περίμενα ολοι οι ελληνικοί ISP να μου στέλνουν το δίκτυο του 
authoritative name server τους
ξεχωριστό και "προστατευμένο" για να παίρνουμε χαμπάρι τι γίνεται  με τα 
hijacks.

> ΒΗΜΑ 2: Ενεργοποιείς RPKI στο δίκτυό σου.
> Χρειάζεται να στήσεις δύο validators (δυο
> για redundancy), οι οποίοι εκτελούν τις
> "βαριές" πράξεις της
> αποκρυπτογράφησης και μιλάνε με τους
> routers σου. Το στήσιμο των παραπάνω servers
> είναι εξαιρετικά απλό. Έπειτα
> συνδέεις τους routers σου με τους
> παραπάνω servers ώστε να παίρνουν τα valid
> prefixes. Τέλος, προσαρμόζεις την πολιτική
> σου ώστε να κάνουν drop τα Invalid (ή και τα
> unknown) ή έστω να τα χειρίζονται με
> χειρότερη προτεραιότητα. Επειδή ακόμα
> το RPKI έχει μικρό adoption, τα hard actions (drop)
> μάλλον δεν είναι καλή ιδέα, αλλά ο
> χειρισμός με χειρότερη προτεραιότητα
> είναι μια χαρά. Για παράδειγμα, αν η
> πολιτική σου ήταν:
> Upstreams - Local Pref 200
> IX - Local Pref 210
> Customers - Local Pref 220
> 
> Την προσαρμόζεις σε:
> 
> Upstreams && Valid - Local Pref 300
> IX && Valid - Local Pref 310
> Customers && Valid - Local Pref 320
> 
> Upstreams && Unknown - Local Pref 200
> IX && Unknown - Local Pref 210
> Customers && Unknown Local Pref 220
> 
> Upstreams && Invalid - Local Pref 100
> IX && Invalid - Local Pref 110
> Customers && Invalid Local Pref 120
> 
> Mε αυτό τον τρόπο, αν πχ κάποιο prefix που
> έχει ROA γίνει hijack (invalid) από κάποιο
> δίκτυο πίσω από κάποιο peer στο ΙΧ ή από
> πίσω από τον ένα εκ των δύο upstream, το valid
> prefix που θα πάρεις από τον άλλο upstream
> (valid) θα προτιμηθεί.
> 
> Είναι αρκετά απλό στην υλοποίηση.
> Περισσότερα εδώ
> https://www.grnog.gr/wp-content/uploads/sites/7/2015/12/2.%CE%91.%CE%A0%CE%BF%CE%BB%CF%85%CF%81%CE%AC%CE%BA%CE%B7%CF%82.pdf
> 

> Αν υπάρχει ενδιαφέρον μπορούμε να
> κάνουμε ένα μικρό hackαθλον
> ενεργοποίησης RPKI (έστω το βήμα 1).
> 
Συμφωνω..μπορω να προσφερθώ να έχουμε κάποιο setup σε vagrant.. (τύπου 
ποιάσε - βάλε)

Δημήτρης,

> Ανδρέας
> 
> --
> Andreas Polyrakis
> GR-IX Manager // GRNET NOC Technical Manager
> GRNET - Networking Research and Education
> 7, Kifisias Av., 115 23, Athens
> t: +30 210 7474249 | c: +30 697 2832 445 | f: +30 210 7474490
> 
> Follow us: www.grnet.gr [1]
> Twitter: @grnet_gr | Facebook: @grnet.gr
> LinkedIn: grnet | YouTube: GRNET EDET
> 
> 
> 
> Links:
> ------
> [1] http://www.grnet.gr

-- 
Χαιρετισμούς,

Δημήτρης Καλογεράς
Ερευνητής Β' ΕΠΙΣΕΥ

--
Dimitrios K. Kalogeras

Electrical Engineer Ph.D.
Network Engineer
NTUA/ICCS
  _____________________________________
  skype: aweboy
  voice: +30-210-772 1863
  fax: +30-210-772 1866