[grnog] Black-List της ΕΕΠΠ κ εφαρμογή στο GR-ix

Mon Jul 9 08:13:40 CEST 2018

Καλημέρα,

    με μεγάλο κίνδυνο να με κακοχαρακτηρίσετε/παρεξηγήσετε θα να κάνω το
παρακάτω σχόλιο, γιατί η κουβέντα είναι άκρως ενδιαφέρουσα αλλά νομίζω
μένουμε μονάχα στο τεχνικό κομμάτι της:

   νομίζω πως κάπως περιγράφονται οι χώρες όπου η κυβέρνηση αποφασίσει
σε ποια sites οι "ελεύθεροι" πολίτες της θα έχουν πρόσβαση κ με ποιο
τρόπο τινά, αλλά δεν θυμάμαι αυτή την στιγμή ...  

    Ας επιστρέψουμε όμως στην κανονική ροή του συγκεκριμένου thread: εάν
και σε ΟΛΑ τα forum/social media etc η πρόταση είναι οι παίχτες
στοιχηματικών sites να βάζουν public DNS (like google/ibm/etc),  το
de-facto αυτή την στιγμή είναι μέσω DNS σε αρκετές ευρωπαϊκές χώρες.

    Η πρότασή μου στο GRNOG7 ήταν ακριβώς αυτή, η ΕΕΕΠ να είχε έναν
AuthNS με RPZ πίσω από μια ACL όπου θα δημοσιεύει την λίστα κ οι
υποχρεωμένοι πάροχοι με IXFR θα μπορούν να τραβούν αυτή τη λίστα άμεσα,
χωρίς κάποιο έξτρα operational cost.

    H λύση bgp blackholing μπορεί, ίσως να οδηγήσει σε άλλα
θέματα/προβλήματα, ειδικά εάν θέλουμε να μιλήσουμε κ για net neutrality,
όπως κ το UDP hijack των public DNS services.  Παρόλο που η ευρωπαϊκή
ένωση έχει δώσει κι εδώ ένα "παραθυράκι" όπου αναφέρει πως εξαιρούνται
τα domains που για κάποιο λόγο η τοπική κυβέρνηση έχει ορίσει πως πρέπει
να μπλοκάρονται.

On 07/09/2018 09:09 AM, Alexandros Kosiaris wrote:
> 2018-07-09 2:30 GMT+03:00 Andreas Polyrakis <apolyr at noc.grnet.gr>:
>> Τεχνικά μιλώντας, το μπλοκαρίσμα web sites μέσω DNS blackholing είναι
>> εξαιρετικά αναποτελεσματικό. IMHO, το μόνο που έχει μειώσει την χρήση των
>> site στοιχημάτων είναι περιορισμοί στην χρήση πιστωτικών καρτών. Κατά τα
>> άλλα εκτιμώ πως κάποιος που θα ήθελε σοβαρά να έχει πρόσβαση στα site αυτά
>> δεν θα είχε ιδιαίτερη δυσκολία στο να παρακάμψει τους μηχανισμούς αυτούς.
>>
>> Παρεπιμπτόντως, η μη ορθές τεχνικές λύσης όχι μόνο παρακάπτονται, αλλά
>> εντείνουν και το πρόβλημα. Διόχνωντας τους Έλληνες χρήστες από τους
>> Ελληνικούς DNS χάνουμε και οποιαδήποτε πιθανότητα ελέγχου στο μέλλον, ενω
>> ταυτόχρονα χαλάμε και την ποιότητα της υπηρεσίας των χρηστών μας και χάνουμε
>> και το όποιο insight μπορούσε να έχει ένας πάροχος από την ανάλυση του DNS.
> Αυτό πιστεύω θέλει περαιτέρω δικαιολόγηση καθώς πχ η cloudflare έχει
> τουλάχιστον αντίστοιχο latency με τους τοπικούς παρόχους. Σε βάθος
> χρόνου φαντάζομαι θα έχουμε και αξιόπιστα availability metrics και δεν
> θα παραξενευόμουν εάν ήταν εξαιρετικά καλά.
>
>> Η λύση του blackholing με IPs (είτε μιλάμε για το κλασικό bgp blackholing, ή
>> για flowspec, ή για λίστα που εφαρμόζεται με acls) είναι πολύ πιο μοντέρνα
>> και αποτελεσματική. Ναι, θα πάρει μαζί όλα τα sites που φιλοξενούνται στην
>> ίδια IP, αλλά συνδιασμένο με μια καλά σχεδιασμένη προσέγγιση προειδοποίησης
>> του ιδιοκτήτη του χώρου (πχ προθεσμία 72 ωρών) θα μπορούσε να δουλέψει
>> καλύτερα.
> Αμφιβάλλω. Το μόνο που έχει να κάνει ο ιδιοκτήτης είναι να αλλάξει IP
> ή να κρυφτεί πίσω από πχ την Cloudflare (καλή τύχη μετά να πείσεις
> τους χρήστες σου ότι κάνεις καλό κόβωντας την πρόσβαση σε χιλιάδες
> domains).  Μάλιστα το εν λόγω έχει ήδη συμβεί στο παρελθόν, με τον
> παραβάτη να έχει αλλάξει IP πριν καλά καλά αποφανθεί δικαστήριο.
> Δεδομένου δε ότι πλέον πολλοί providers έχουν APIs που επιτρέπουν την
> αλλαγή IP εντός δευτερολέπτων, κατόπιν αναλαμβάνουν τα DNS TTLs. Με
> TTL 5λεπτών, ένας παραβάτης μπορεί να αλλάξει IP 288 φορές την ημέρα
> χωρίς πρόβλημα για τους χρήστες του.
>
>> Δυστυχώς οι νόμοι στην Ελλάδα γράφονται συνήθως στο πόδι.
>>
>> Πάντως πιστεύω πως αν η ΕΕΠΠ ενδιαφερόταν να συζητήσουμε ρεαλιστικότερους
>> τρόπους αντιμετώπισης του προβλήματος, η ομάδα μας θα μπορούσε να
>> συνεισφέρει με σημαντικό input. Υπάρχουν ήδη μέλη του GRNOG που εργάζονται
>> στην ΕΕΠΠ, ίσως να μπορούσαν να συνεισφέρουν στην διασύνδεση των δύο κόσμων.
>>
>> Χαιρετισμούς,
>>
>>
>> On 07/08/2018 08:37 PM, Antonis Chariton wrote:
>>
>> Θεωρητικά όσον αφορά τους resolvers, θα μπορούσε κανείς να εφαρμόσει το
>> καλύτερο και πιο χρήσιμο πράγμα ποτέ στην ιστορία των δικτύων, το NAT :P
>> Με ένα Destination NAT θα μπορούσαν να στέλνουν αυτά στους δικούς τους
>> resolvers…
>> Αυτό θα δημιουργούσε μικρότερα προβλήματα, αλλά και πάλι θα υπήρχαν. Στο
>> εξωτερικό μερικοί providers κάνουν redirect όλη την πόρτα 53, και ελπίζουν
>> επειδή είναι “residential” οι πελάτες, να μην δημιουργηθεί θέμα.
>>
>>
>> On 8 Jul 2018, at 20:18, Michalis Bersimis <michael.bersimis at gmail.com>
>> wrote:
>>
>> Ακριβώς blocking σε επίπεδο IPv4 δεν ειναι η πιο βέλτιστη λύση γιατι πλεον
>> υπάρχουν πολλά domain δεμένα σε μια IPv4.
>>
>> Εαν δοθεί εντολή να κοπέι η πρόσβαση στις IPs των well famous resolvers
>> (google,cloud flare) :
>> 1ον) δεν πρόκειται να το κάνει κανείς λόγω οτι θα δημιουργήσει μεγαλύτερο
>> πρόβλημα βλέπε αύξηση των κλήσεων στα call center, ο κόσμος θα βγει στον
>> κόσμο να ζητά το 8.8.8.8…. :)
>> 2ον) παρόμοια φάση πηγε να κάνει και η Τουρκία εαν θυμάμαι καλά και έφαγε
>> μεγάλη κατακραυγή από τον κόσμο.
>>
>> Ακόμα πιο γελοίο  ειναι να δοθεί εντολή να μπει κάποιο “κουτί” να τα
>> κόβει….αλλά ποιος θα αναλάβει το κόστος ? η κυβέρνηση ? χμ…..δεν νομίζω
>>
>> —
>> Μιχάλης
>>
>> On 8 Ιουλ 2018, at 19:48, Antonis Chariton <a.chariton at enartia.com> wrote:
>>
>> Νομίζω είχε ζητηθεί κάτι τέτοιο στο παρελθόν, και ζητούσαν IPs της
>> Cloudflare, γιατί τα websites χρησιμοποιούσαν την υπηρεσία τους.
>>
>> Ειδικά στο IPv4 νομίζω πως πλέον θα υπάρχει πολύ collateral damage με IP
>> black list. Το Cloudflare έχει > 7 εκ. domains, και πολύ λιγότερες IPv4s..
>>
>>
>> --
>> -----------------------------------------------------------------------
>> Andreas Polyrakis - apolyr at noc.grnet.gr
>> GRNET NOC Technical Manager
>> Greek Research & Technology Network - http://www.grnet.gr
>> 7, Kifisias Av., Ampelokipi, 11523 Athens, Greece
>> Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
>> -----------------------------------------------------------------------

-- 
Evaggelos Balaskas
https://www.linkedin.com/in/evaggelosbalaskas