[grnog] MANRS

[Andreas Polyrakis]

Τάσο καλημέρα,

πολύ εύστοχες οι παρατηρήσεις, σχολιάζω in-line.

On 08/06/18 10:37, Tassos Chatzithomaoglou wrote:
>
> Καλημέρα Ανδρέα,
>
> Το συγκεκριμένο το είχαμε ξανασυζητήσει το παρελθόν (σε συνάντηση του 
> GRIX νομίζω). Πολύ ωραία ιδέα, αλλά συγκρίνοντας με την 
> πραγματικότητα, νομίζω ότι περισσότερο αποτελεί διαφήμιση για κάποιους 
> και όχι ουσία. Όταν είχε πρωτοξεκινήσει, είχα "ελέγξει" κάποιους 
> μεγάλους παρόχους με τους οποίους έχουμε BGP peering και το συμπέρασμα 
> που είχα καταλήξει ήταν ότι η συμμετοχή τους στο MANRS δεν συμφωνούσε 
> με την πραγματικότητα στο internet.
>
To MANRS το ακούω 2-3 χρόνια τώρα. Και εγώ ήμουν αρκετά επιφυλακτικός. Η 
αίσθησή μου πλέον, από τα fora/λίστες που παρακολουθώ, είναι πως πλέον 
έχει αρχίσει να ωριμάζει. Στο RIPE76 υπήρχαν 3 σχετικές παρουσιάσεις από 
το ISOC, αν λέει κάτι αυτό, και κάμποσες αναφορές από τρίτους σε αυτό.

Παρόλα αυτά υπάρχουν όντως πράγματα να γίνουν. Για παράδειγμα αν 
περάσεις το audit αυτό δεν επαναλαμβάνεται, οπότε τίποτα δεν εξασφαλίζει 
ότι συνεχίζεις να είσαι MANRS compliant. Όμως είναι στις προθέσεις του 
ISOC να διορθωθεί αυτό.

Συμφωνώ επίσης με όσα λες περί διαφήμισης, το MANRS είναι τελικά ένα 
ταμπελάκι το οποίο το βάζεις στο δίκτυό σου και μετά προσπαθείς να το 
"πουλήσεις" σαν "ποιότητα της εταιρίας" σου στους πελάτες σου. Τίποτα 
κακό με αυτό, αρκεί το ταμπελάκι να έχει όντως αξία, φυσικά.

(Note: Κάποια exchanges δίνουν κίνητρα στα μέλη τους να κάνουν join το 
MANRS, το εξατάζουμε και εμείς (GR-IX) αυτό)

> Γενικότερα θα ήθελα να υπήρχαν και κάποια metrics (δημόσια διαθέσιμα) 
> που να αντικατοπτρίζουν όσον το δυνατόν περισσότερο την 
> πραγματικότητα, έτσι ώστε να μην καταντήσει "ότι δηλώσει είσαι". 
> Επίσης αναφέρεις ένα εξωτερικό audit, θα ήθελα να μάθω περισσότερα 
> περί αυτού.
>

Με κάθε επιφύλαξη για την ορθότητα των όσων γράφω: Στην αίτηση που 
κάνεις περιγράφεις συνοπτικά με ποιον τρόπο κάνεις filtering, 
antispoofing κλπ. Κάνουν review αυτών που γράφεις, ενώ παράλληλα κοιτάνε 
RIPE (abuse, inetnums, route objects, route sets κλπ). Κοιτάνε και 
δημόσιους route collectors για bgp leaks από το δίκτυό σου κλπ. Τέλος 
υπάρχει και ένα test που είναι εσωτερικό (η ΕΔΕΤ θα το περάσει σύντομα 
οπότε δεν ξέρω λεπτομέρειες ακόμα) με το οποίο στέλνουν spoofed κίνηση 
και τσεκάρουν πως αυτή κόβεται.

> Παρόλα αυτά, συμφωνώ με την γενικότερη ιδέα και προτείνω σε όλους αν 
> όχι να δηλώσουν συμμετοχή, τουλάχιστον να μελετήσουν τις προτάσεις που 
> περιγράφονται και να προσπαθήσουν να εφαρμόσουν όσον το δυνατόν 
> περισσότερες, πάντα προσαρμοσμένες στις ιδιαίτερες ανάγκες του 
> εκάστοτε δικτύου που διαχειρίζονται.
>
> Όπως και με το http://www.worldipv6launch.org/, είναι ένας έξυπνος 
> τρόπος να προωθήσουμε κάποιες τεχνολογίες και διαδικασίες που στην 
> τελική θα μας βοηθήσουν όλους.
>

Ακριβώς!

Ακόμα και για κάποιον που δεν θέλει να κάνει join, το να κινηθεί κάποιος 
στην κατεύθυνση αυτή είναι σημαντικό κέρδος. Στο site τους έχουν 
πληροφορίες και tutorials που αξίζει να δούμε όλοι.

Ανδρέας

> --
> Τάσος
>
> Andreas Polyrakis wrote on 8/6/2018 1:01 πμ:
>> Αγαπητοί,
>>
>> Ίσως να έχει πέσει στην αντίληψή σας το  MANRS (Mutually Agreed Norms 
>> for Routing Security).
>>
>> Διαβάζεται MANNERS, όπως λέμε (καλοί) τρόποι, γιατί περιγράφει τους 
>> τρόπους που πρέπει να συμπεριφερόμαστε σαν καλοί network operators.
>>
>> https://www.manrs.org/manrs/
>>
>> Πρόκειται μια πρωτοβουλία του ISOC για routing security, Όπως προείπα 
>> περιγράφει πράγματα που πρέπει να κάνει ο κάθε ένας από εμάς για να 
>> μειωθούν περιπτώσεις spoofing, hijack, DDoS, ή το αποτέλεσμα αυτών. 
>> Αυτά που λέει είναι πράγματα απλά, που οι περισσότεροι κάνουμε ήδη, ή 
>> είναι εύκολο να υιοθετήσουμε: BGP filtering με βάση το ripe και αλλα 
>> registries, antispoofing, well maintained RIPE objects (πχ abuse 
>> contacts, maintainers, ... ) κλπ,
>>
>> Οι operators που συμμετέχουν εμφανίζονται εδώ 
>> https://www.manrs.org/participants/
>> και τα IXPs εδώ https://www.manrs.org/participants/ixps/
>>
>> Σαν ΕΔΕΤ είμαστε στην διαδικασία συμμετοχής στο MANRS. Εφόσον 
>> πληρείτε τα κριτήρια (δεν είναι υποχρεωτικά όλα), η διαδικασία είναι 
>> απλούστατη, συμπληρώνετε μια απλή φόρμα, γίνεται ένα εξωτερικό audit 
>> που απαιτεί σχεδόν μηδενική συμμετοχή σας και είστε έτοιμοι.
>>
>> Επίσης έχει ήδη κάνει join το GR-IX σαν IXP (σύντομα θα υπάρξει και 
>> κάποια ανακοίνωση). Πιθανότατα θα προωθηθεί και από εκεί.
>>
>> Με το παρόν θα ήθελα να σας προτρέψω να ρίξετε μια ματιά, και ειδικά 
>> οι μεγαλύτεροι ISPs που ήδη πληρείτε τις προυποθέσεις, να κάνετε join.
>>
>> Σημειώνω πως στο επόμενο GRNOG θα υπάρξει σχετική παρουσίαση από το 
>> ISOC και θα μοιραστεί υλικό. Αν ομως κάποιος ενδιαφέρεται να 
>> προχωρήσει νωρίτερα και χρειάζεται περισσότερες πληροφορίες, μπορεί 
>> να επικοινωνήσει (και) μαζί μου.
>>
>> Φιλικά,
>> Ανδρέας
>>
>>
>>
>>
>

-- 
Andreas Polyrakis
GR-IX Manager // GRNET NOC Technical Manager
GRNET - Networking Research and Education
7, Kifisias Av., 115 23, Athens
t: +30 210 7474249 | c: +30 697 2832 445 | f: +30 210 7474490

Follow us: www.grnet.gr
Twitter: @grnet_gr | Facebook: @grnet.gr
LinkedIn: grnet | YouTube: GRNET EDET

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180608/4320ca6b/attachment.html>