[grnog] Cloudflare + RPKI

Antonis Chariton a.chariton at enartia.com
Fri Sep 21 11:44:04 CEST 2018 

Ενδιαφέρον αυτό το νούμερο, δεν είχα δει κάτι αντίστοιχο δημοσιευμένο.

Επίσης όσον αφορά το RPKI, να έχετε κατά νου πως το default route ουσιαστικά το “ακυρώνει”, μιας και reject να γίνουν τα prefixes, θα πάει στο default, που κατά πάσα πιθανότητα θα γίνει εν τέλη route, και εκεί βασίζεστε στον upstream (λογικά).. Δυστυχώς έχω δει το παραπάνω να ξεχνιέται αρκετά συχνά..

Αντώνης

> On 21 Sep 2018, at 10:51, Tassos Chatzithomaoglou <achatz at forthnet.gr> wrote:
> 
> Εμείς έχουμε αρχίσει να μετράμε την κίνηση των invalid ROAs στο δίκτυό μας, με σκοπό όταν πέσει κάτω από ένα ποσοστό να αρχίσουμε να τα κάνουμε reject.
> 
> Για την ώρα η συγκεκριμένη κίνηση φαίνεται να αποτελεί περίπου το 0,1% της συνολικής κίνησης (που είναι εκατοντάδες Gbps), οπότε είμαστε ακόμα επιφυλακτικοί.
> 
> 
> 
> 
>> Spyros Kakaroukas wrote on 20/9/2018 12:11 μμ:
>> 
>> Μέχρι τώρα, το μεγαλύτερο annoyance που έχουμε παρατηρήσει σε εσωτερικές δοκιμές είναι ότι ο δικτυακός εξοπλισμός μας δε μας δίνει τη δυνατότητα να επιλέξουμε συγκεκριμένη source ip για την επικοινωνία με τον RPKI validator, κάτι που είχε αναφερθεί και στο meeting αν θυμάμαι καλά.
> Κυνηγήστε το και εσείς με τον vendor μήπως και το διορθώσουν κάποια στιγμή.
> 
> 
> 
> --
> Τάσος
> 
> Antonis Chariton wrote on 21/9/2018 9:07 πμ:
>> Σίγουρα η δημοσίευση των ROAs είναι κάτι αρκετά πιο απλό, ειδικά στο RIPE. Όπως είπε και ο Job της NTT σε μια ομιλία του, το Top 20 των ASNs να κάνει μόνο validation λύνει το πρόβλημα για αρκετούς. Με μια τόσο απλή κίνηση βοηθάς αυτούς να το κάνουν αρκετά πιο αποτελεσματικά..
>> 
>> Γενικά το RPKI θα γίνει νομίζω όπως το TLS:
>> Τώρα αν το έχεις είναι καλό, αν το έχεις λάθος δεν δουλεύει (invalids / warning στον browser του user), ενώ αν δεν το έχεις καθόλου όλα δουλεύουν καλά, απλά δεν είσαι ασφαλής. Φυσικά έχουμε την προέκταση πως εδώ δεν κάνουν και όλοι validate, αλλά πολύ παλιά και κάποιοι browsers δεν το υποστήριζαν το SSL, όποτε ας πούμε πως είναι το ίδιο.
>> Κάποια στιγμή όμως, το TLS έγινε «απαραίτητο».. Η Google άρχισε τα Not Secure, και στους επόμενους μήνες θα αυξηθεί γενικά η αντιμετώπιση απέναντι στα HTTP websites. Βέβαια αυτό στο TLS πήρε 20 χρόνια (literally), ελπίζω εδώ να γίνει πιο γρήγορα.. Επίσης όσον αφορά και το browser/router support, ελπίζω να έρθει και αυτό πιο γρήγορα, να δουλεύει πιο σωστά, με αποτέλεσμα αρκετοί να το ενεργοποιήσουν γρήγορα, και να μην περιμένουν πότε η «Google» θα δείξει «Not Secure»..
>> 
>> On 20 Sep 2018, at 12:11, Spyros Kakaroukas <s.kakaroukas at connecticore.com <mailto:s.kakaroukas at connecticore.com>> wrote:
>> 
>>> Ενδιαφέρον!
>>>  
>>> Η αλήθεια είναι ότι μετά το τελευταίο meeting και τη σχετική συζήτηση, σχεδιάζουμε κι εμείς κάτι προς αυτή την κατεύθυνση για το άμεσο μέλλον, έστω με προσωρινό acceptτων invalids σαν έσχατη λύση, αν παρατηρήσουμε προβλήματα που αδυνατούμε να λύσουμε ( non-responsive δίκτυα με λάθος ROAs/κτλ ). Μέχρι τώρα, το μεγαλύτεροannoyance που έχουμε παρατηρήσει σε εσωτερικές δοκιμές είναι ότι ο δικτυακός εξοπλισμός μας δε μας δίνει τη δυνατότητα να επιλέξουμε συγκεκριμένη source ip για την επικοινωνία με τον RPKI validator, κάτι που είχε αναφερθεί και στο meeting αν θυμάμαι καλά.
>>>  
>>> Θαρρώ ότι η κίνηση της cloudflare σίγουρα θα αναγκάσει μερικούς που έχουν μη επικαιροποιημένα ή λανθασμένα ROAs είτε να τα φτιάξουν, ή να τα σβήσουν. Ελπίζω για το πρώτο.
>>>  
>>> My thoughts and words are my own.
>>>  
>>> Spyros
>>>  
>>> From: <grnog-request at lists.grnog.gr <mailto:grnog-request at lists.grnog.gr>> on behalf of Antonis Chariton <a.chariton at enartia.com <mailto:a.chariton at enartia.com>>
>>> Reply-To: "grnog at lists.grnog.gr <mailto:grnog at lists.grnog.gr>" <grnog at lists.grnog.gr <mailto:grnog at lists.grnog.gr>>
>>> Date: Wednesday, 19 September 2018 at 20:09
>>> To: "grnog at lists.grnog.gr <mailto:grnog at lists.grnog.gr>" <grnog at lists.grnog.gr <mailto:grnog at lists.grnog.gr>>
>>> Subject: [grnog] Cloudflare + RPKI
>>>  
>>> Η Cloudflare έχει μια καλή σελίδα για το RPKI: 
>>>  
>>> https://blog.cloudflare.com/rpki-details/ <https://blog.cloudflare.com/rpki-details/>
>>>  
>>> Όπου έχουν πληροφορίες και για το GoRTR (  https://github.com/cloudflare/gortr <https://github.com/cloudflare/gortr> ), και τα σχέδια τους για έναν Public RTR server.
>>>  
>>> Τέλος, στο παρακάτω tweet του Jerome από το CF σε μια ερώτηση, φαίνεται να προσπαθούν να κάνουν reject τα invalids μέχρι το τέλος του χρόνου στο δίκτυο τους, το οποίο θα έχει κάποια επιρροή σε αρκετά ASes..
>>>  
>>> https://twitter.com/Jerome_UZ/status/1042433414371205120 <https://twitter.com/Jerome_UZ/status/1042433414371205120>
> 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180921/ad111c3e/attachment.html>

More information about the grnog-members mailing list