[grnog] Black-List της ΕΕΠΠ κ εφαρμογή στο GR-ix

Alexandros Kosiaris akosiaris at gmail.com
Mon Jul 9 08:09:46 CEST 2018 

2018-07-09 2:30 GMT+03:00 Andreas Polyrakis <apolyr at noc.grnet.gr>:
> Τεχνικά μιλώντας, το μπλοκαρίσμα web sites μέσω DNS blackholing είναι
> εξαιρετικά αναποτελεσματικό. IMHO, το μόνο που έχει μειώσει την χρήση των
> site στοιχημάτων είναι περιορισμοί στην χρήση πιστωτικών καρτών. Κατά τα
> άλλα εκτιμώ πως κάποιος που θα ήθελε σοβαρά να έχει πρόσβαση στα site αυτά
> δεν θα είχε ιδιαίτερη δυσκολία στο να παρακάμψει τους μηχανισμούς αυτούς.
>
> Παρεπιμπτόντως, η μη ορθές τεχνικές λύσης όχι μόνο παρακάπτονται, αλλά
> εντείνουν και το πρόβλημα. Διόχνωντας τους Έλληνες χρήστες από τους
> Ελληνικούς DNS χάνουμε και οποιαδήποτε πιθανότητα ελέγχου στο μέλλον, ενω
> ταυτόχρονα χαλάμε και την ποιότητα της υπηρεσίας των χρηστών μας και χάνουμε
> και το όποιο insight μπορούσε να έχει ένας πάροχος από την ανάλυση του DNS.

Αυτό πιστεύω θέλει περαιτέρω δικαιολόγηση καθώς πχ η cloudflare έχει
τουλάχιστον αντίστοιχο latency με τους τοπικούς παρόχους. Σε βάθος
χρόνου φαντάζομαι θα έχουμε και αξιόπιστα availability metrics και δεν
θα παραξενευόμουν εάν ήταν εξαιρετικά καλά.

> Η λύση του blackholing με IPs (είτε μιλάμε για το κλασικό bgp blackholing, ή
> για flowspec, ή για λίστα που εφαρμόζεται με acls) είναι πολύ πιο μοντέρνα
> και αποτελεσματική. Ναι, θα πάρει μαζί όλα τα sites που φιλοξενούνται στην
> ίδια IP, αλλά συνδιασμένο με μια καλά σχεδιασμένη προσέγγιση προειδοποίησης
> του ιδιοκτήτη του χώρου (πχ προθεσμία 72 ωρών) θα μπορούσε να δουλέψει
> καλύτερα.

Αμφιβάλλω. Το μόνο που έχει να κάνει ο ιδιοκτήτης είναι να αλλάξει IP
ή να κρυφτεί πίσω από πχ την Cloudflare (καλή τύχη μετά να πείσεις
τους χρήστες σου ότι κάνεις καλό κόβωντας την πρόσβαση σε χιλιάδες
domains).  Μάλιστα το εν λόγω έχει ήδη συμβεί στο παρελθόν, με τον
παραβάτη να έχει αλλάξει IP πριν καλά καλά αποφανθεί δικαστήριο.
Δεδομένου δε ότι πλέον πολλοί providers έχουν APIs που επιτρέπουν την
αλλαγή IP εντός δευτερολέπτων, κατόπιν αναλαμβάνουν τα DNS TTLs. Με
TTL 5λεπτών, ένας παραβάτης μπορεί να αλλάξει IP 288 φορές την ημέρα
χωρίς πρόβλημα για τους χρήστες του.

>
> Δυστυχώς οι νόμοι στην Ελλάδα γράφονται συνήθως στο πόδι.
>
> Πάντως πιστεύω πως αν η ΕΕΠΠ ενδιαφερόταν να συζητήσουμε ρεαλιστικότερους
> τρόπους αντιμετώπισης του προβλήματος, η ομάδα μας θα μπορούσε να
> συνεισφέρει με σημαντικό input. Υπάρχουν ήδη μέλη του GRNOG που εργάζονται
> στην ΕΕΠΠ, ίσως να μπορούσαν να συνεισφέρουν στην διασύνδεση των δύο κόσμων.
>
> Χαιρετισμούς,
>
>
> On 07/08/2018 08:37 PM, Antonis Chariton wrote:
>
> Θεωρητικά όσον αφορά τους resolvers, θα μπορούσε κανείς να εφαρμόσει το
> καλύτερο και πιο χρήσιμο πράγμα ποτέ στην ιστορία των δικτύων, το NAT :P
> Με ένα Destination NAT θα μπορούσαν να στέλνουν αυτά στους δικούς τους
> resolvers…
> Αυτό θα δημιουργούσε μικρότερα προβλήματα, αλλά και πάλι θα υπήρχαν. Στο
> εξωτερικό μερικοί providers κάνουν redirect όλη την πόρτα 53, και ελπίζουν
> επειδή είναι “residential” οι πελάτες, να μην δημιουργηθεί θέμα.
>
>
> On 8 Jul 2018, at 20:18, Michalis Bersimis <michael.bersimis at gmail.com>
> wrote:
>
> Ακριβώς blocking σε επίπεδο IPv4 δεν ειναι η πιο βέλτιστη λύση γιατι πλεον
> υπάρχουν πολλά domain δεμένα σε μια IPv4.
>
> Εαν δοθεί εντολή να κοπέι η πρόσβαση στις IPs των well famous resolvers
> (google,cloud flare) :
> 1ον) δεν πρόκειται να το κάνει κανείς λόγω οτι θα δημιουργήσει μεγαλύτερο
> πρόβλημα βλέπε αύξηση των κλήσεων στα call center, ο κόσμος θα βγει στον
> κόσμο να ζητά το 8.8.8.8…. :)
> 2ον) παρόμοια φάση πηγε να κάνει και η Τουρκία εαν θυμάμαι καλά και έφαγε
> μεγάλη κατακραυγή από τον κόσμο.
>
> Ακόμα πιο γελοίο  ειναι να δοθεί εντολή να μπει κάποιο “κουτί” να τα
> κόβει….αλλά ποιος θα αναλάβει το κόστος ? η κυβέρνηση ? χμ…..δεν νομίζω
>
>> Μιχάλης
>
> On 8 Ιουλ 2018, at 19:48, Antonis Chariton <a.chariton at enartia.com> wrote:
>
> Νομίζω είχε ζητηθεί κάτι τέτοιο στο παρελθόν, και ζητούσαν IPs της
> Cloudflare, γιατί τα websites χρησιμοποιούσαν την υπηρεσία τους.
>
> Ειδικά στο IPv4 νομίζω πως πλέον θα υπάρχει πολύ collateral damage με IP
> black list. Το Cloudflare έχει > 7 εκ. domains, και πολύ λιγότερες IPv4s..
>
>
> --
> -----------------------------------------------------------------------
> Andreas Polyrakis - apolyr at noc.grnet.gr
> GRNET NOC Technical Manager
> Greek Research & Technology Network - http://www.grnet.gr
> 7, Kifisias Av., Ampelokipi, 11523 Athens, Greece
> Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
> -----------------------------------------------------------------------

More information about the grnog-members mailing list