[grnog] Black-List της ΕΕΠΠ κ εφαρμογή στο GR-ix

Mon Jul 9 01:30:03 CEST 2018

Τεχνικά μιλώντας, το μπλοκαρίσμα web sites μέσω DNS blackholing είναι 
εξαιρετικά αναποτελεσματικό. IMHO, το μόνο που έχει μειώσει την χρήση 
των site στοιχημάτων είναι περιορισμοί στην χρήση πιστωτικών καρτών. 
Κατά τα άλλα εκτιμώ πως κάποιος που θα ήθελε σοβαρά να έχει πρόσβαση στα 
site αυτά δεν θα είχε ιδιαίτερη δυσκολία στο να παρακάμψει τους 
μηχανισμούς αυτούς.

Παρεπιμπτόντως, η μη ορθές τεχνικές λύσης όχι μόνο παρακάπτονται, αλλά 
εντείνουν και το πρόβλημα. Διόχνωντας τους Έλληνες χρήστες από τους 
Ελληνικούς DNS χάνουμε και οποιαδήποτε πιθανότητα ελέγχου στο μέλλον, 
ενω ταυτόχρονα χαλάμε και την ποιότητα της υπηρεσίας των χρηστών μας και 
χάνουμε και το όποιο insight μπορούσε να έχει ένας πάροχος από την 
ανάλυση του DNS.

Η λύση του blackholing με IPs (είτε μιλάμε για το κλασικό bgp 
blackholing, ή για flowspec, ή για λίστα που εφαρμόζεται με acls) είναι 
πολύ πιο μοντέρνα και αποτελεσματική. Ναι, θα πάρει μαζί όλα τα sites 
που φιλοξενούνται στην ίδια IP, αλλά συνδιασμένο με μια καλά σχεδιασμένη 
προσέγγιση προειδοποίησης του ιδιοκτήτη του χώρου (πχ προθεσμία 72 ωρών) 
θα μπορούσε να δουλέψει καλύτερα.

Δυστυχώς οι νόμοι στην Ελλάδα γράφονται συνήθως στο πόδι.

Πάντως πιστεύω πως αν η ΕΕΠΠ ενδιαφερόταν να συζητήσουμε 
ρεαλιστικότερους τρόπους αντιμετώπισης του προβλήματος, η ομάδα μας θα 
μπορούσε να συνεισφέρει με σημαντικό input. Υπάρχουν ήδη μέλη του GRNOG 
που εργάζονται στην ΕΕΠΠ, ίσως να μπορούσαν να συνεισφέρουν στην 
διασύνδεση των δύο κόσμων.

Χαιρετισμούς,

On 07/08/2018 08:37 PM, Antonis Chariton wrote:
> Θεωρητικά όσον αφορά τους resolvers, θα μπορούσε κανείς να εφαρμόσει 
> το καλύτερο και πιο χρήσιμο πράγμα ποτέ στην ιστορία των δικτύων, το 
> NAT :P
> Με ένα Destination NAT θα μπορούσαν να στέλνουν αυτά στους δικούς τους 
> resolvers…
> Αυτό θα δημιουργούσε μικρότερα προβλήματα, αλλά και πάλι θα υπήρχαν. 
> Στο εξωτερικό μερικοί providers κάνουν redirect όλη την πόρτα 53, και 
> ελπίζουν επειδή είναι “residential” οι πελάτες, να μην δημιουργηθεί θέμα.
>
>
>> On 8 Jul 2018, at 20:18, Michalis Bersimis 
>> <michael.bersimis at gmail.com <mailto:michael.bersimis at gmail.com>> wrote:
>>
>> Ακριβώς blocking σε επίπεδο IPv4 δεν ειναι η πιο βέλτιστη λύση γιατι 
>> πλεον υπάρχουν πολλά domain δεμένα σε μια IPv4.
>>
>> Εαν δοθεί εντολή να κοπέι η πρόσβαση στις IPs των well famous 
>> resolvers (google,cloud flare) :
>> 1ον) δεν πρόκειται να το κάνει κανείς λόγω οτι θα δημιουργήσει 
>> μεγαλύτερο πρόβλημα βλέπε αύξηση των κλήσεων στα call center, ο 
>> κόσμος θα βγει στον κόσμο να ζητά το 8.8.8.8…. :)
>> 2ον) παρόμοια φάση πηγε να κάνει και η Τουρκία εαν θυμάμαι καλά και 
>> έφαγε μεγάλη κατακραυγή από τον κόσμο.
>>
>> Ακόμα πιο γελοίο  ειναι να δοθεί εντολή να μπει κάποιο “κουτί” να τα 
>> κόβει….αλλά ποιος θα αναλάβει το κόστος ? η κυβέρνηση ? χμ…..δεν νομίζω
>>
>> —
>> Μιχάλης
>>
>>> On 8 Ιουλ 2018, at 19:48, Antonis Chariton <a.chariton at enartia.com 
>>> <mailto:a.chariton at enartia.com>> wrote:
>>>
>>> Νομίζω είχε ζητηθεί κάτι τέτοιο στο παρελθόν, και ζητούσαν IPs της 
>>> Cloudflare, γιατί τα websites χρησιμοποιούσαν την υπηρεσία τους.
>>>
>>> Ειδικά στο IPv4 νομίζω πως πλέον θα υπάρχει πολύ collateral damage 
>>> με IP black list. Το Cloudflare έχει > 7 εκ. domains, και πολύ 
>>> λιγότερες IPv4s..

-- 
-----------------------------------------------------------------------
Andreas Polyrakis - apolyr at noc.grnet.gr
GRNET NOC Technical Manager
Greek Research & Technology Network - http://www.grnet.gr
7, Kifisias Av., Ampelokipi, 11523 Athens, Greece
Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
-----------------------------------------------------------------------

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180709/25c53990/attachment.html>