[atnog] isbgpsafeyet.com

Kaiser, Karl karl.kaiser at magenta.at
Wed Apr 22 16:56:14 CEST 2020


Hi,

wie schon geschrieben halte ich RKPI für eine gute Sache. Es gibt nur ein paar mehr Faktoren die bei der Implementierung einer neuen Technologie mitspielen also die Tatsache das es ‚eine gute Idee‘ ist.
Wenn man also ISP ein Netzwerk in solider Größe betreibt ist das Hauptaugenmerk auf einem Punkt: Stabilität.
Jede Änderung im Netzwerk hat das Potential sich negativ auf diese auszuwirken; somit muss man auch bei jeder Änderung die Vorteile gegenüber den potentiellen Nachteilen abwiegen.

Hat es in der Vergangenheit immer wieder Ausfälle und Hichups im Internet gegeben? Ja definitiv.
Hätten wir uns ein paar dieser Ausfälle ersparen können? Ja auch definitiv.
Hätten uns RKPI vor all den Problemen geschützt? Nein, definitiv nicht  – es ist kein Allheilmittel.
Sind alle Implementierungen in der Software fehlerfrei und wird es zu keinerlei negativen Effekten kommen? Mit an Sicherheit grenzender Wahrscheinlichkeit: Nein – Irgendwo hat irgendwas noch immer nicht so funktioniert wie es soll.

Es gibt in unseren Netzwerken hunderte Hersteller die Hardware produzieren welche BGP spricht – bei allen muss bevor man etwas Neues implementiert die Funktionalität und die Interoperabilität getestet werden. Wartungs- und Supportverträge müssen ggf. angepasst oder neue abgeschlossen werden, Bug-fixes eingespielt, Techniker benötigen eine Einschulung, …
Dies Alles ohne dabei den Betrieb zu stören und möglichst ohne die Customer-Experience in irgendeiner Form zu trüben.

Sollen wir daher unsere Netzwerke so lassen wie sie sind? Nein – aber jede Änderung braucht Zeit – und je größer das Netzwerk ist, umso genauer muss man sich jeden Umbau überlegen. Auch  der Kostenfaktor ist hier nicht unerheblich.

Zusammengefasst: das Internet ist ein sehr großes Netzwerk das sich langsam und gemächlich entwickelt. Immer wieder tauchen neue Ideen auf die sich teilweise durchsetzen wenn sie von der Mehrheit für nützlich empfunden wird; manche Dinge geraten einfach in Vergessenheit.
(v6 ist übrigens in allen großen Netzwerken in Österreich seit vielen Jahren verfügbar – wurde aber vom Endkunden so gut wie gar nicht nachgefragt. Der im Internet verfügbare Content hinkte leider um Jahre hinterher (vor allem die großen Streaming-Dienste, die den Großteil des Traffics ausmachen))

Einen Diensteanbieter jetzt als ‚unsafe‘ zu bezeichnen nur weil er nicht gleich auf den neuesten Zug aufgesprungen ist, automatische Tweets zu produzieren damit möglichst viele Unwissende ihre Unwissenheit mit anderen teilen können und der Versuch dadurch eine Massenhysterie anzukurbeln empfinde ich daher als populistische Propaganda (auch wenn man damit heutzutage ja in guter Gesellschaft ist).

Man kann gerne in einem offenen Gespräch versuchen Andere von einer guten Idee zu überzeugen.
Sobald man beginnt anderen seine Meinung aufzuzwingen sabotiert man nicht nur diese gute Idee, man gesellt sich auch gleich zu anderen weniger rühmlichen Figuren der Geschichte die das ebenso handhabten.
Derartiges Verhalten oder eine Unterstützung desselben ist für mich daher indiskutabel.

LG Karl

Von: Dominic Schallert [mailto:ds at schallert.com]
Gesendet: Mittwoch, 22. April 2020 13:32
An: Kaiser, Karl <karl.kaiser at magenta.at>
Cc: atnog at atnog.at
Betreff: Re: [atnog] isbgpsafeyet.com

Hallo Karl,

Hallo Liste,

obwohl vielerorts aus vielen unterschiedlichen Gründen die Wellen hochschlagen gibt es eine kleine Anzahl an Leuten die im Netzwerkbereich einen kühlen Kopf bewahren und sich von Stress, Aufregung und Hysterie oder auch Dingen die ‚viral gehen‘ nicht anstecken lassen.
Nennen wir sie einfach: Netzwerker.
In deren Verantwortung liegt es nämlich den schmalen Grat zwischen Weiterentwicklung, Stabilität ,ökonomischen Interessen und noch einigen anderen Faktoren entlangzuwandern und die beste Lösung für alle Anforderungen der jeweiligen Zeit zu finden.

Die beste Lösung ist also nichts zu tun und weiterhin auf ein Protokoll zu setzen, welches seit mehreren Jahrzehnten rein auf gegenseitiges Vertrauen ausgelegt ist und welches immer wieder für massive Internet-Hikups sorgt? Frei nach dem Motto: „… es läuft ja eh alles“. Ich denke die Links zu den ganzen BGP-Incidents - nur innert der letzten Monate und Jahre - kann ich mir an dieser Stelle ersparen.

Wenn Du hier auch schon über ökonomische Interessen sprichst, so ist meiner Meinung nach die Realität wohl eher die, dass in Security-Maßnahmen schlicht nicht gerne bzw. nur das absolut nötigste investiert wird, da es eben keinen direkten ROI für Security-Investments (u.a. auch in Routing Security) gibt.



Obwohl ich persönlich die Idee und das Konzept von RKPI für gut befinde, so liegt es doch in der Befugnis und Verantwortung jedes einzelnen Netzwerkverantwortlichen selber zu entscheiden ob und wann er gewisse Änderungen in seinem Netzwerk vornimmt.
Somit halte ich auch den von Cloudflare veranstalteten Zirkus für zwar sehr medienwirksam, allerdings leider auch höchst unprofessionell.
Der Großteil der Personen die hier verunsichert werden, hat nicht mal ansatzweise eine Ahnung worum es bei dem Thema überhaupt geht.

Und genau hier liegt das Problem: Einerseits stimme ich Dir zu 100% zu, dass jeder Network Operator frei entscheiden können muss (und auch soll), welche Standards er in seinem Netz umsetzt - andererseits haben wir genau dadurch aber auch das Problem, dass „neue" Standards und Innovationen (nicht nur RPKI sondern z.B. auch IPv6-Deployment zu den Endkunden) schlicht jahrelang nicht flächendeckend umgesetzt werden. Wenn wir grad auch schon bei IPv6 sind, so sind die Zahlen für Österreich im Vergleich zu unseren Nachbarländern mittlerweile echt ein Armutszeugnis.

Ich halte es daher nicht für ganz verkehrt, wenn endlich mal wer (in diesem Fall eben Cloudflare) den ganzen ISPs die Pistole ansetzt. Über das Timing (Covid19) und die Ausführung der Aktion - aber auch darüber, dass mit der Kampagne primär eine Zielgruppe verunsichert wird, welche nicht mal weiß was BGP und RPKI eigentlich ist, darüber kann man sich definitiv streiten.



Für nicht weniger fragwürdig halte ich es, Fremde ISPs ohne deren Zustimmung auf irgendwelchen Listen einzutragen.

Dabei sehe ich ehrlich gesagt nicht wirklich ein Problem, da es sich um rein öffentliche Infos handelt.


Lg
Dominic



Dies ist jetzt keine offizielle Stellungnahme meiner Firma sondern nur meine persönliche Meinung zu dem Thema.

LG Karl



Von: atnog-bounces at atnog.at<mailto:atnog-bounces at atnog.at> [mailto:atnog-bounces at atnog.at] Im Auftrag von Dominic Schallert
Gesendet: Dienstag, 21. April 2020 17:41
An: Christoph <cm at appliedprivacy.net<mailto:cm at appliedprivacy.net>>
Cc: atnog at atnog.at<mailto:atnog at atnog.at>
Betreff: Re: [atnog] isbgpsafeyet.com<http://isbgpsafeyet.com>

Hier noch die Links zu den ROV-Measurements für Österreich:

https://atlas.ripe.net/measurements/24818123/
https://atlas.ripe.net/measurements/24818124/

Hab diese gerade nochmals als HTTPS-Tests neu erstellt, daher dauert es noch etwas bis die neuen Results da sind.

Die Tests werden einmal täglich mit allen verfügbaren RIPE Probes in Österreich (aktuell 227) ausgeführt.

Lg
Dominic




Am 21.04.2020 um 17:29 schrieb Dominic Schallert <ds at schallert.com<mailto:ds at schallert.com>>:

Signierter PGP-Teil
Hallo Christoph,

Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
invalids, wie kommst du zu deinen Ergebnissen?

Gerade auch gesehen und bereits korrigiert, sorry.



Mittels Abgleich von Traceroute-Measurements zu invalid.rpki.cloudflare.com<http://invalid.rpki.cloudflare.com/>
und valid.rpki.cloudflare.com<http://valid.rpki.cloudflare.com/> über RIPE Atlas Probes in den jeweiligen ASNs.




Lg
Dominic






Am 21.04.2020 um 17:20 schrieb Christoph <cm at appliedprivacy.net<mailto:cm at appliedprivacy.net>>:

Dominic Schallert (Rheintal IX):


Hallo Liste,

wie vermutlich einige von Euch bereits mitbekommen haben, geht
https://isbgpsafeyet.com<https://isbgpsafeyet.com/> <https://isbgpsafeyet.com/> von Cloudflare
ja gerade richtig viral. Ich habe mir deshalb erlaubt, auch unsere
heimischen Major-ISPs, Transits und NSPs über einen Pull Request in
die Liste aufnehmen zu lassen:

https://github.com/cloudflare/isbgpsafeyet.com/pull/172
<https://github.com/cloudflare/isbgpsafeyet.com/pull/172>

Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
invalids, wie kommst du zu deinen Ergebnissen?

Gruesse,
Christoph
_______________________________________________
atnog mailing list
atnog at atnog.at<mailto:atnog at atnog.at>
https://atnog.at/mailman/listinfo/atnog






___________________________________________________________________________________

Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.



Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem

Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie

bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und

veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.



Think before you print!



T-Mobile Austria GmbH

Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)



Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295

Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW



___________________________________________________________________________________

_______________________________________________
atnog mailing list
atnog at atnog.at<mailto:atnog at atnog.at>
https://atnog.at/mailman/listinfo/atnog


___________________________________________________________________________________
Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.

Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem
Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie
bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und
veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.

Think before you print!

T-Mobile Austria GmbH
Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)

Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295
Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW

___________________________________________________________________________________
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20200422/52f9520c/attachment-0001.html>


More information about the atnog mailing list