[atnog] isbgpsafeyet.com

Klaus Darilion klaus.darilion at nic.at
Wed Apr 22 08:44:53 CEST 2020


Der Test von cloudflare ist auch ziemlich ungenau:
" Your ISP (nic.at, AS30971) implements BGP safely. It correctly drops invalid prefixes."

Ist total falsch. AS30971 droppet gar nix. Je nachdem welchen Upstream wir verwenden wird gedroppt oder nicht.

Ich finde es auch falsch, dass RPKI als Lösung gegen Hijacken angepriesen wird - stimmt ja nicht. Wenn ich den AS Pfad richtig manipuliere (source AS gleich lassen) funktioniert hijacken trotzdem noch. Es kann eine Hilfe gegen Route-Leaks sein (BGP-Optimierer), aber hält nicht das, was Cloudflare anpreist.

Außerdem gibt es natürlich ein anderes Problem: In dem Moment wo ich meine Netze signiere, muss ich drauf vertrauen dass alle ISPs der Welt die Validierung sauber implementieren. Da gibt es glaub ich viel Eigenbau Skripte mit Potential zu Bugs.

lg
Klaus


Von: atnog-bounces at atnog.at <atnog-bounces at atnog.at> Im Auftrag von Kaiser, Karl
Gesendet: Mittwoch, 22. April 2020 02:58
An: atnog at atnog.at
Betreff: Re: [atnog] isbgpsafeyet.com

Hallo Liste,

obwohl vielerorts aus vielen unterschiedlichen Gründen die Wellen hochschlagen gibt es eine kleine Anzahl an Leuten die im Netzwerkbereich einen kühlen Kopf bewahren und sich von Stress, Aufregung und Hysterie oder auch Dingen die ‚viral gehen‘ nicht anstecken lassen.
Nennen wir sie einfach: Netzwerker.
In deren Verantwortung liegt es nämlich den schmalen Grat zwischen Weiterentwicklung, Stabilität ,ökonomischen Interessen und noch einigen anderen Faktoren entlangzuwandern und die beste Lösung für alle Anforderungen der jeweiligen Zeit zu finden.

Obwohl ich persönlich die Idee und das Konzept von RKPI für gut befinde, so liegt es doch in der Befugnis und Verantwortung jedes einzelnen Netzwerkverantwortlichen selber zu entscheiden ob und wann er gewisse Änderungen in seinem Netzwerk vornimmt.
Somit halte ich auch den von Cloudflare veranstalteten Zirkus für zwar sehr medienwirksam, allerdings leider auch höchst unprofessionell.
Der Großteil der Personen die hier verunsichert werden, hat nicht mal ansatzweise eine Ahnung worum es bei dem Thema überhaupt geht.

Für nicht weniger fragwürdig halte ich es, Fremde ISPs ohne deren Zustimmung auf irgendwelchen Listen einzutragen.

Dies ist jetzt keine offizielle Stellungnahme meiner Firma sondern nur meine persönliche Meinung zu dem Thema.

LG Karl



Von: atnog-bounces at atnog.at<mailto:atnog-bounces at atnog.at> [mailto:atnog-bounces at atnog.at] Im Auftrag von Dominic Schallert
Gesendet: Dienstag, 21. April 2020 17:41
An: Christoph <cm at appliedprivacy.net<mailto:cm at appliedprivacy.net>>
Cc: atnog at atnog.at<mailto:atnog at atnog.at>
Betreff: Re: [atnog] isbgpsafeyet.com

Hier noch die Links zu den ROV-Measurements für Österreich:

https://atlas.ripe.net/measurements/24818123/
https://atlas.ripe.net/measurements/24818124/

Hab diese gerade nochmals als HTTPS-Tests neu erstellt, daher dauert es noch etwas bis die neuen Results da sind.

Die Tests werden einmal täglich mit allen verfügbaren RIPE Probes in Österreich (aktuell 227) ausgeführt.

Lg
Dominic


Am 21.04.2020 um 17:29 schrieb Dominic Schallert <ds at schallert.com<mailto:ds at schallert.com>>:

Signierter PGP-Teil
Hallo Christoph,

Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
invalids, wie kommst du zu deinen Ergebnissen?

Gerade auch gesehen und bereits korrigiert, sorry.

Mittels Abgleich von Traceroute-Measurements zu invalid.rpki.cloudflare.com<http://invalid.rpki.cloudflare.com/>
und valid.rpki.cloudflare.com<http://valid.rpki.cloudflare.com/> über RIPE Atlas Probes in den jeweiligen ASNs.


Lg
Dominic


Am 21.04.2020 um 17:20 schrieb Christoph <cm at appliedprivacy.net<mailto:cm at appliedprivacy.net>>:

Dominic Schallert (Rheintal IX):
Hallo Liste,

wie vermutlich einige von Euch bereits mitbekommen haben, geht
https://isbgpsafeyet.com<https://isbgpsafeyet.com/> <https://isbgpsafeyet.com/> von Cloudflare
ja gerade richtig viral. Ich habe mir deshalb erlaubt, auch unsere
heimischen Major-ISPs, Transits und NSPs über einen Pull Request in
die Liste aufnehmen zu lassen:

https://github.com/cloudflare/isbgpsafeyet.com/pull/172
<https://github.com/cloudflare/isbgpsafeyet.com/pull/172>

Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
invalids, wie kommst du zu deinen Ergebnissen?

Gruesse,
Christoph
_______________________________________________
atnog mailing list
atnog at atnog.at<mailto:atnog at atnog.at>
https://atnog.at/mailman/listinfo/atnog




___________________________________________________________________________________

Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.



Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem

Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie

bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und

veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.



Think before you print!



T-Mobile Austria GmbH

Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)



Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295

Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW



___________________________________________________________________________________

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20200422/317d3a59/attachment.html>


More information about the atnog mailing list