[atnog] isbgpsafeyet.com
Dominic Schallert
ds at schallert.com
Thu Apr 23 01:38:10 CEST 2020
Danke Dir Theo für das Teilen Deiner Sichtweise auf die Dinge!
Aus aktuellem Anlass… https://radar.qrator.net/blog/as263444-hitting-newsline-again <https://radar.qrator.net/blog/as263444-hitting-newsline-again>
Wieder mal ein BGP-Incident, welcher mit vernünftigem Inbound-Filtering und RPKI/ROV hätte verhindert werden können…
Beste Grüße
Dominic
> Am 22.04.2020 um 17:36 schrieb Theo Voss <mail at theo-voss.de>:
>
> Hi zusammen,
>
> danke Klaus, in meiner Mail fehlte ein entscheidendes „nicht“.
>
> Meiner Meinung nach gibt es für einen fortschrittlichen ISP keinen Grund mehr, RPKI (ROA signing und invalid==reject) NICHT zu unterstützen.
>
> Beste Grüße,
> Theo Voss
>
> Von: <atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at>> im Auftrag von Theo Voss <mail at theo-voss.de <mailto:mail at theo-voss.de>>
> Datum: Mittwoch, 22. April 2020 um 17:31
> An: "atnog at atnog.at <mailto:atnog at atnog.at>" <atnog at atnog.at <mailto:atnog at atnog.at>>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
>
> Hallo zusammen,
>
> ich unterstütze die Vorgehensweise von Cloudflare und auch den Pull-Request von Dominic. Letzteres unabhängig davon, ob wir dabei gut oder schlecht weggekommen sind/wären. Ich sehe natürlich auch Karl’s Argumente v.a. im Hinblick auf größere ISPs, aber grade Telia und NTT haben gezeigt, dass vieles davon nur Ausreden sind. Ich glaube, dass es ist an der Zeit ist in einigen Bereichen, natürlich immer unter Berücksichtigung operativer Themen, deutlich stärker zu „pushen“, um das Internet (aus meiner Sicht) einen Stück besser zu machen. Und Öffentlichkeitsarbeit, wie es Cloudflare gemacht hat, hilft, auch wenn vielleicht der ein oder andere dabei unter die Räder kommt. Meiner Meinung nach gibt es für einen fortschrittlichen ISP keinen Grund mehr, RPKI (ROA signing und invalid==reject) zu unterstützen. Die Tools dafür stehen schon seit mehr als drei Jahren zur Verfügung. Natürlich ist RPKI kein Allheilmittel, aber 2020 aus meiner Sicht ein Muss. Unabhängig von den vielen anderen BGP Bestpractices, die in vielen Netzen fehlen.
>
> Beste Grüße,
> Theo Voss
>
> Von: <atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at>> im Auftrag von "Kaiser, Karl" <karl.kaiser at magenta.at <mailto:karl.kaiser at magenta.at>>
> Datum: Mittwoch, 22. April 2020 um 16:56
> Cc: "atnog at atnog.at <mailto:atnog at atnog.at>" <atnog at atnog.at <mailto:atnog at atnog.at>>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
>
> Hi,
>
> wie schon geschrieben halte ich RKPI für eine gute Sache. Es gibt nur ein paar mehr Faktoren die bei der Implementierung einer neuen Technologie mitspielen also die Tatsache das es ‚eine gute Idee‘ ist.
> Wenn man also ISP ein Netzwerk in solider Größe betreibt ist das Hauptaugenmerk auf einem Punkt: Stabilität.
> Jede Änderung im Netzwerk hat das Potential sich negativ auf diese auszuwirken; somit muss man auch bei jeder Änderung die Vorteile gegenüber den potentiellen Nachteilen abwiegen.
>
> Hat es in der Vergangenheit immer wieder Ausfälle und Hichups im Internet gegeben? Ja definitiv.
> Hätten wir uns ein paar dieser Ausfälle ersparen können? Ja auch definitiv.
> Hätten uns RKPI vor all den Problemen geschützt? Nein, definitiv nicht – es ist kein Allheilmittel.
> Sind alle Implementierungen in der Software fehlerfrei und wird es zu keinerlei negativen Effekten kommen? Mit an Sicherheit grenzender Wahrscheinlichkeit: Nein – Irgendwo hat irgendwas noch immer nicht so funktioniert wie es soll.
>
> Es gibt in unseren Netzwerken hunderte Hersteller die Hardware produzieren welche BGP spricht – bei allen muss bevor man etwas Neues implementiert die Funktionalität und die Interoperabilität getestet werden. Wartungs- und Supportverträge müssen ggf. angepasst oder neue abgeschlossen werden, Bug-fixes eingespielt, Techniker benötigen eine Einschulung, …
> Dies Alles ohne dabei den Betrieb zu stören und möglichst ohne die Customer-Experience in irgendeiner Form zu trüben.
>
> Sollen wir daher unsere Netzwerke so lassen wie sie sind? Nein – aber jede Änderung braucht Zeit – und je größer das Netzwerk ist, umso genauer muss man sich jeden Umbau überlegen. Auch der Kostenfaktor ist hier nicht unerheblich.
>
> Zusammengefasst: das Internet ist ein sehr großes Netzwerk das sich langsam und gemächlich entwickelt. Immer wieder tauchen neue Ideen auf die sich teilweise durchsetzen wenn sie von der Mehrheit für nützlich empfunden wird; manche Dinge geraten einfach in Vergessenheit.
> (v6 ist übrigens in allen großen Netzwerken in Österreich seit vielen Jahren verfügbar – wurde aber vom Endkunden so gut wie gar nicht nachgefragt. Der im Internet verfügbare Content hinkte leider um Jahre hinterher (vor allem die großen Streaming-Dienste, die den Großteil des Traffics ausmachen))
>
> Einen Diensteanbieter jetzt als ‚unsafe‘ zu bezeichnen nur weil er nicht gleich auf den neuesten Zug aufgesprungen ist, automatische Tweets zu produzieren damit möglichst viele Unwissende ihre Unwissenheit mit anderen teilen können und der Versuch dadurch eine Massenhysterie anzukurbeln empfinde ich daher als populistische Propaganda (auch wenn man damit heutzutage ja in guter Gesellschaft ist).
>
> Man kann gerne in einem offenen Gespräch versuchen Andere von einer guten Idee zu überzeugen.
> Sobald man beginnt anderen seine Meinung aufzuzwingen sabotiert man nicht nur diese gute Idee, man gesellt sich auch gleich zu anderen weniger rühmlichen Figuren der Geschichte die das ebenso handhabten.
> Derartiges Verhalten oder eine Unterstützung desselben ist für mich daher indiskutabel.
>
> LG Karl
>
> Von: Dominic Schallert [mailto:ds at schallert.com <mailto:ds at schallert.com>]
> Gesendet: Mittwoch, 22. April 2020 13:32
> An: Kaiser, Karl <karl.kaiser at magenta.at <mailto:karl.kaiser at magenta.at>>
> Cc: atnog at atnog.at <mailto:atnog at atnog.at>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
>
> Hallo Karl,
>
> Hallo Liste,
>
> obwohl vielerorts aus vielen unterschiedlichen Gründen die Wellen hochschlagen gibt es eine kleine Anzahl an Leuten die im Netzwerkbereich einen kühlen Kopf bewahren und sich von Stress, Aufregung und Hysterie oder auch Dingen die ‚viral gehen‘ nicht anstecken lassen.
> Nennen wir sie einfach: Netzwerker.
> In deren Verantwortung liegt es nämlich den schmalen Grat zwischen Weiterentwicklung, Stabilität ,ökonomischen Interessen und noch einigen anderen Faktoren entlangzuwandern und die beste Lösung für alle Anforderungen der jeweiligen Zeit zu finden.
>
> Die beste Lösung ist also nichts zu tun und weiterhin auf ein Protokoll zu setzen, welches seit mehreren Jahrzehnten rein auf gegenseitiges Vertrauen ausgelegt ist und welches immer wieder für massive Internet-Hikups sorgt? Frei nach dem Motto: „… es läuft ja eh alles“. Ich denke die Links zu den ganzen BGP-Incidents - nur innert der letzten Monate und Jahre - kann ich mir an dieser Stelle ersparen.
>
> Wenn Du hier auch schon über ökonomische Interessen sprichst, so ist meiner Meinung nach die Realität wohl eher die, dass in Security-Maßnahmen schlicht nicht gerne bzw. nur das absolut nötigste investiert wird, da es eben keinen direkten ROI für Security-Investments (u.a. auch in Routing Security) gibt.
>
>
>
>
>
> Obwohl ich persönlich die Idee und das Konzept von RKPI für gut befinde, so liegt es doch in der Befugnis und Verantwortung jedes einzelnen Netzwerkverantwortlichen selber zu entscheiden ob und wann er gewisse Änderungen in seinem Netzwerk vornimmt.
> Somit halte ich auch den von Cloudflare veranstalteten Zirkus für zwar sehr medienwirksam, allerdings leider auch höchst unprofessionell.
> Der Großteil der Personen die hier verunsichert werden, hat nicht mal ansatzweise eine Ahnung worum es bei dem Thema überhaupt geht.
>
> Und genau hier liegt das Problem: Einerseits stimme ich Dir zu 100% zu, dass jeder Network Operator frei entscheiden können muss (und auch soll), welche Standards er in seinem Netz umsetzt - andererseits haben wir genau dadurch aber auch das Problem, dass „neue" Standards und Innovationen (nicht nur RPKI sondern z.B. auch IPv6-Deployment zu den Endkunden) schlicht jahrelang nicht flächendeckend umgesetzt werden. Wenn wir grad auch schon bei IPv6 sind, so sind die Zahlen für Österreich im Vergleich zu unseren Nachbarländern mittlerweile echt ein Armutszeugnis.
>
> Ich halte es daher nicht für ganz verkehrt, wenn endlich mal wer (in diesem Fall eben Cloudflare) den ganzen ISPs die Pistole ansetzt. Über das Timing (Covid19) und die Ausführung der Aktion - aber auch darüber, dass mit der Kampagne primär eine Zielgruppe verunsichert wird, welche nicht mal weiß was BGP und RPKI eigentlich ist, darüber kann man sich definitiv streiten.
>
>
>
>
>
> Für nicht weniger fragwürdig halte ich es, Fremde ISPs ohne deren Zustimmung auf irgendwelchen Listen einzutragen.
>
> Dabei sehe ich ehrlich gesagt nicht wirklich ein Problem, da es sich um rein öffentliche Infos handelt.
>
>
> Lg
> Dominic
>
>
>
>
>
> Dies ist jetzt keine offizielle Stellungnahme meiner Firma sondern nur meine persönliche Meinung zu dem Thema.
>
> LG Karl
>
>
>
> Von: atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at> [mailto:atnog-bounces at atnog.at <mailto:atnog-bounces at atnog.at>] Im Auftrag von Dominic Schallert
> Gesendet: Dienstag, 21. April 2020 17:41
> An: Christoph <cm at appliedprivacy.net <mailto:cm at appliedprivacy.net>>
> Cc: atnog at atnog.at <mailto:atnog at atnog.at>
> Betreff: Re: [atnog] isbgpsafeyet.com <http://isbgpsafeyet.com/>
>
> Hier noch die Links zu den ROV-Measurements für Österreich:
>
> https://atlas.ripe.net/measurements/24818123/ <https://atlas.ripe.net/measurements/24818123/>
> https://atlas.ripe.net/measurements/24818124/ <https://atlas.ripe.net/measurements/24818124/>
>
> Hab diese gerade nochmals als HTTPS-Tests neu erstellt, daher dauert es noch etwas bis die neuen Results da sind.
>
> Die Tests werden einmal täglich mit allen verfügbaren RIPE Probes in Österreich (aktuell 227) ausgeführt.
>
> Lg
> Dominic
>
>
>
>
>
>
> Am 21.04.2020 um 17:29 schrieb Dominic Schallert <ds at schallert.com <mailto:ds at schallert.com>>:
>
> Signierter PGP-Teil
> Hallo Christoph,
>
> Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
> invalids, wie kommst du zu deinen Ergebnissen?
>
> Gerade auch gesehen und bereits korrigiert, sorry.
>
>
>
>
>
> Mittels Abgleich von Traceroute-Measurements zu invalid.rpki.cloudflare.com <http://invalid.rpki.cloudflare.com/>
> und valid.rpki.cloudflare.com <http://valid.rpki.cloudflare.com/> über RIPE Atlas Probes in den jeweiligen ASNs.
>
>
>
>
>
>
> Lg
> Dominic
>
>
>
>
>
>
>
>
>
>
> Am 21.04.2020 um 17:20 schrieb Christoph <cm at appliedprivacy.net <mailto:cm at appliedprivacy.net>>:
>
> Dominic Schallert (Rheintal IX):
>
>
>
>
> Hallo Liste,
>
> wie vermutlich einige von Euch bereits mitbekommen haben, geht
> https://isbgpsafeyet.com <https://isbgpsafeyet.com/> <https://isbgpsafeyet.com/ <https://isbgpsafeyet.com/>> von Cloudflare
> ja gerade richtig viral. Ich habe mir deshalb erlaubt, auch unsere
> heimischen Major-ISPs, Transits und NSPs über einen Pull Request in
> die Liste aufnehmen zu lassen:
>
> https://github.com/cloudflare/isbgpsafeyet.com/pull/172 <https://github.com/cloudflare/isbgpsafeyet.com/pull/172>
> <https://github.com/cloudflare/isbgpsafeyet.com/pull/172 <https://github.com/cloudflare/isbgpsafeyet.com/pull/172>>
>
> Wie in der letzten Diskussion im Februar erwaehnt filtert AS1764
> invalids, wie kommst du zu deinen Ergebnissen?
>
> Gruesse,
> Christoph
> _______________________________________________
> atnog mailing list
> atnog at atnog.at <mailto:atnog at atnog.at>
> https://atnog.at/mailman/listinfo/atnog <https://atnog.at/mailman/listinfo/atnog>
>
>
>
>
>
>
>
> ___________________________________________________________________________________
> Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.
>
> Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem
> Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie
> bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und
> veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.
>
> Think before you print!
>
> T-Mobile Austria GmbH
> Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)
>
> Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295
> Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW
>
> ___________________________________________________________________________________
> _______________________________________________
> atnog mailing list
> atnog at atnog.at <mailto:atnog at atnog.at>
> https://atnog.at/mailman/listinfo/atnog <https://atnog.at/mailman/listinfo/atnog>
>
> ___________________________________________________________________________________
> Notice: This e-mail and any attachments are confidential and may be privileged. If you are not the intended recipient, notify the sender immediately, destroy all copies from your system and do not disclose or use the information for any purpose.
>
> Diese E-Mail inklusive aller Anhaenge ist vertraulich und koennte bevorrechtigtem
> Schutz unterliegen. Wenn Sie nicht der beabsichtigte Adressat sind, informieren Sie
> bitte den Absender unverzueglich, loeschen Sie alle Kopien von Ihrem System und
> veroeffentlichen Sie oder nutzen Sie die Information keinesfalls, gleich zu welchem Zweck.
>
> Think before you print!
>
> T-Mobile Austria GmbH
> Geschaeftsfuehrung: Dr. Andreas Bierwirth (Vorsitzender), Aufsichtsrat: Eva Somorjai-Tamassy (Vorsitzende)
>
> Firmenbuch: Handelsgericht Wien, Sitz Wien, FN 171112k, UID ATU 45011703, DVR 0898295
> Konto: UniCredit Bank Austria AG IBAN: AT93 1200 0528 4407 2301, BIC: BKAUATWW
>
> ___________________________________________________________________________________
>
> _______________________________________________
> atnog mailing list
> atnog at atnog.at <mailto:atnog at atnog.at>
> https://atnog.at/mailman/listinfo/atnog <https://atnog.at/mailman/listinfo/atnog>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20200423/f4641ebb/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <http://atnog.at/pipermail/atnog/attachments/20200423/f4641ebb/attachment-0001.sig>
More information about the atnog
mailing list