[atnog] VIX Outage

[Otmar Lendl]

Hallo allerseits,

ich bin schon länger aus dem Netzwerkmanagement draußen, aber drei
Sachen muss ich loswerden:

On 21.12.2020 10:22, Thomas Fritz wrote:
> 
> Ich finde die Tatsache, dass diese Störung solche Auswirkungen bei
> zahlreichen Kunden der national tätigen Access-Providern hatte, viel
> bedenklicher. Es wäre den Internetkunden in Österreich zu wünschen,
> dass dieser Zwischenfall die entsprechenden Verantwortlichen zu einem
> Überdenken ihrer Peering Policy anregt.

Was wir hier hatten, war eben kein **Ausfall**, sondern eine
**Störung**. Also nicht "Funktioniert perfekt" oder "Ist weg", sondern
irgendwas dazwischen.

Und das war schon immer nahe am worst-case für das Routing: Probleme auf
einem Link, aber das Routing-Protokoll merkt das nicht und schickt
weiter Pakete drüber. Ob die das in einem Peering Fabric, im LAN oder
auf einem Backbone Link passiert, ist egal.

Da helfen dir Redundanzen, eine andere Peering Policy und auch ein
zweiter Exchange Point in Österreich rein gar nichts. Weil wenn das
Routing-Protokoll die Störung nicht mitbekommt, warum sollte es die
Alternativen nutzen?

(Deswegen brachte ja Rene BFD auf: das soll genau diese Fälle adressieren.)

Es wäre echt ein interessantes Experiment, den VIX mal bewusst für eine
Stunde (sauber) abzudrehen um sich anzuschauen, wie sich die
Verkehrsströme umorientieren. Was davon geht über Upstreams, wie viel
wechselt zu Peerings in FRA oder AMS? Oder läuft eh schon so viel über
private Peerings, dass der Impact minimal ist? Tauchen wo Engpässe auf,
mit denen keiner gerechnet hat?

Also das Äquivalent zu einem Umschalttest auf USV oder das 2.
Rechenzentrum. Das sollte man ja auch immer wieder testen.

> Ein zweiter Aspekt drängt sich mir auch noch auf: Wenn der VIX im
> Zuge der Netz- und Informationssystemsicherheits-Verordnung vom Büro
> für ebendiese Sicherheit des Bundeskanzleramts richtigerweise als
> "wesentlicher Dienst" eingestuft wird, wieso wird dann dort nicht
> gesehen, dass es doch auch nach einer Redundanz für einen solchen
> wesentlichen Dienst verlangt?

Das ist im NIS Kontext nicht vorgesehen und in vielen Bereichen auch gar
nicht machbar. Beispiele:

* Stromnetz: von der APG als Backbone bis hin zu den regionalen
Verteilnetzbereibern. Wir werden sicher hier keine parallelen
Infrastrukturen aufbauen.

* Trinkwasser: detto

* Erdgas: detto

* Börse: Brauchen wir in AT wirklich eine zweite?

* Unter das NISG fällen auch Behörden: brauchen wir ein zweites
Außenministerium? Gesundheitsministerium? Einen zweiten Kanzler?

* ...

Das Argument kann maximal andersherum funktionieren: Wenn es zu einem
Dienst eines Anbieters viele Alternativen gibt, dann ist er nicht so
wesentlich.

otmar
-- 
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://atnog.at/pipermail/atnog/attachments/20210112/a26b6a83/attachment.sig>