[atnog] isbgpsafeyet.com

Wed Apr 22 12:31:07 CEST 2020

Hallo Klaus,

> Der Test von cloudflare ist auch ziemlich ungenau:
> " Your ISP (nic.at <http://nic.at/>, AS30971) implements BGP safely. It correctly drops invalid prefixes."
> 
> Ist total falsch. AS30971 droppet gar nix. Je nachdem welchen Upstream wir verwenden wird gedroppt oder nicht.

Als Alternative gibt es auch noch den RIPE labs Test unter: https://sg-pub.ripe.net/jasper/rpki-web-test/ <https://sg-pub.ripe.net/jasper/rpki-web-test/>
Cloudflare prüft zudem aktuell alle Github Submissions mittels RIPE Atlas Traceroute measurements manuell nach.

> Ich finde es auch falsch, dass RPKI als Lösung gegen Hijacken angepriesen wird - stimmt ja nicht. Wenn ich den AS Pfad richtig manipuliere (source AS gleich lassen) funktioniert hijacken trotzdem noch. Es kann eine Hilfe gegen Route-Leaks sein (BGP-Optimierer), aber hält nicht das, was Cloudflare anpreist.

Dem stimme ich absolut zu, allerdings ist RPKI die Grundlage für weitere Entwicklungen wie
z.B. ASPA - https://tools.ietf.org/html/draft-ietf-sidrops-aspa-verification-04 <https://tools.ietf.org/html/draft-ietf-sidrops-aspa-verification-04>

> Außerdem gibt es natürlich ein anderes Problem: In dem Moment wo ich meine Netze signiere, muss ich drauf vertrauen dass alle ISPs der Welt die Validierung sauber implementieren. Da gibt es glaub ich viel Eigenbau Skripte mit Potential zu Bugs.

RPKI, das RPKI-RTR-Protokoll sowie die Origin Validation sind standardisiert und sehr ausführlich dokumentiert (u.a. https://tools.ietf.org/html/rfc6480 <https://tools.ietf.org/html/rfc6480>,  https://tools.ietf.org/html/rfc8210 <https://tools.ietf.org/html/rfc8210>, https://tools.ietf.org/html/rfc6483 <https://tools.ietf.org/html/rfc6483>).

Natürlich ist Software nie ganz frei von Bugs, aber solange die Standards in den unterschiedlichen Hersteller-Implementierungen strikt eingehalten werden, sehe ich da eigentlich keine Probleme. Es sind schließlich auch lange nicht alle BGP4-Implementierungen am Markt zu 100% konform mit RFC4271 (BGP4-spec) oder RFC7606, obwohl sie es eigentlich sein sollten. Damit müssen wir nunmal leben.

Lg
Dominic

> 
> lg
> Klaus
> 
> 
> Von: atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at> <atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at>> Im Auftrag von Kaiser, Karl
> Gesendet: Mittwoch, 22. April 2020 02:58
> An: atnog at atnog.at <mailto:atnog at atnog.at>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
> 
> Hallo Liste,
> 
> obwohl vielerorts aus vielen unterschiedlichen Gründen die Wellen hochschlagen gibt es eine kleine Anzahl an Leuten die im Netzwerkbereich einen kühlen Kopf bewahren und sich von Stress, Aufregung und Hysterie oder auch Dingen die ‚viral gehen‘ nicht anstecken lassen.
> Nennen wir sie einfach: Netzwerker.
> In deren Verantwortung liegt es nämlich den schmalen Grat zwischen Weiterentwicklung, Stabilität ,ökonomischen Interessen und noch einigen anderen Faktoren entlangzuwandern und die beste Lösung für alle Anforderungen der jeweiligen Zeit zu finden.
> 
> Obwohl ich persönlich die Idee und das Konzept von RKPI für gut befinde, so liegt es doch in der Befugnis und Verantwortung jedes einzelnen Netzwerkverantwortlichen selber zu entscheiden ob und wann er gewisse Änderungen in seinem Netzwerk vornimmt.
> Somit halte ich auch den von Cloudflare veranstalteten Zirkus für zwar sehr medienwirksam, allerdings leider auch höchst unprofessionell.
> Der Großteil der Personen die hier verunsichert werden, hat nicht mal ansatzweise eine Ahnung worum es bei dem Thema überhaupt geht.
> 
> Für nicht weniger fragwürdig halte ich es, Fremde ISPs ohne deren Zustimmung auf irgendwelchen Listen einzutragen.
> 
> Dies ist jetzt keine offizielle Stellungnahme meiner Firma sondern nur meine persönliche Meinung zu dem Thema.
> 
> LG Karl
> 
> 
> 
> Von: atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at> [mailto:atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at>] Im Auftrag von Dominic Schallert
> Gesendet: Dienstag, 21. April 2020 17:41
> An: Christoph <cm at appliedprivacy.net <mailto:cm at appliedprivacy.net>>
> Cc: atnog at atnog.at <mailto:atnog at atnog.at>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
> 
> Hier noch die Links zu den ROV-Measurements für Österreich:
> 
> https://atlas.ripe.net/measurements/24818123/ <https://atlas.ripe.net/measurements/24818123/>
> https://atlas.ripe.net/measurements/24818124/ <https://atlas.ripe.net/measurements/24818124/>
> 
> Hab diese gerade nochmals als HTTPS-Tests neu erstellt, daher dauert es noch etwas bis die neuen Results da sind.
> 
> Die Tests werden einmal täglich mit allen verfügbaren RIPE Probes in Österreich (aktuell 227) ausgeführt.
> 
> Lg
> Dominic
> 
> 
> 
> Am 21.04.2020 um 17:29 schrieb Dominic Schallert <ds at schallert.com <mailto:ds at schallert.com>>:
> 
> Signierter PGP-Teil
> Hallo Christoph,
> 
> Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
> invalids, wie kommst du zu deinen Ergebnissen?
> 
> Gerade auch gesehen und bereits korrigiert, sorry.
> 
> 
> Mittels Abgleich von Traceroute-Measurements zu invalid.rpki.cloudflare.com <http://invalid.rpki.cloudflare.com/>
> und valid.rpki.cloudflare.com <http://valid.rpki.cloudflare.com/> über RIPE Atlas Probes in den jeweiligen ASNs.
> 
> 
> 
> Lg
> Dominic
> 
> 
> 
> 
> Am 21.04.2020 um 17:20 schrieb Christoph <cm at appliedprivacy.net <mailto:cm at appliedprivacy.net>>:
> 
> Dominic Schallert (Rheintal IX):
> 
> Hallo Liste,
> 
> wie vermutlich einige von Euch bereits mitbekommen haben, geht
> https://isbgpsafeyet.com <https://isbgpsafeyet.com/> <https://isbgpsafeyet.com/ <https://isbgpsafeyet.com/>> von Cloudflare
> ja gerade richtig viral. Ich habe mir deshalb erlaubt, auch unsere
> heimischen Major-ISPs, Transits und NSPs über einen Pull Request in
> die Liste aufnehmen zu lassen:
> 
> https://github.com/cloudflare/isbgpsafeyet.com/pull/172 <https://github.com/cloudflare/isbgpsafeyet.com/pull/172>
> <https://github.com/cloudflare/isbgpsafeyet.com/pull/172 <https://github.com/cloudflare/isbgpsafeyet.com/pull/172>>
> 
> Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
> invalids, wie kommst du zu deinen Ergebnissen?
> 
> Gruesse,
> Christoph
> _______________________________________________
> atnog mailing list
> atnog at atnog.at <mailto:atnog at atnog.at>
> https://atnog.at/mailman/listinfo/atnog <https://atnog.at/mailman/listinfo/atnog>
> 
> 
> 
> 
> ___________________________________________________________________________________
> Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.
> 
> Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem
> Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie
> bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und
> veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.
> 
> Think before you print!
> 
> T-Mobile Austria GmbH
> Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)
> 
> Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295
> Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW
> 
> ___________________________________________________________________________________
> 
> _______________________________________________
> atnog mailing list
> atnog at atnog.at <mailto:atnog at atnog.at>
> https://atnog.at/mailman/listinfo/atnog <https://atnog.at/mailman/listinfo/atnog>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20200422/f33f1fe7/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <http://atnog.at/pipermail/atnog/attachments/20200422/f33f1fe7/attachment-0001.sig>