VR
Да уж, недофильтровал видимо
Size: a a a
2020 July 22
VR
Тут сложный вопрос, как фильтровать в диагностическую сессию. Чтобы и честно было и мусор не мешался
VR
действия фильтрации совершаются согласно законодательству
Какому из? )
А
Какому из? )
Власть имеющих
VR
Власть имеющих
Это дискуссионный вопрос
А
Это дискуссионный вопрос
Дадим лицензию если вы так, но не дадим если так?
VR
Дадим лицензию если вы так, но не дадим если так?
У нас нет лицензий на нашу деятельность.
AL
Власть имеющих
имеющих… ha-ha! powers that be. похоже не у одного меня сегодня брэйн инвэлид
AS
Инжалид дежице, как известно...
А
имеющих… ha-ha! powers that be. похоже не у одного меня сегодня брэйн инвэлид
Не нужно стебаться
AZ
не ?
Не, это анонсы сравнить с подписями. Это косвенно отвечает на вопрос только. Т.е. если есть анонс и ты знаешь, что он верный и радар показал, что верный, то значит радар и подпись увидел. Но это немного не то, что спрашивалось вроде.
VR
Не, это анонсы сравнить с подписями. Это косвенно отвечает на вопрос только. Т.е. если есть анонс и ты знаешь, что он верный и радар показал, что верный, то значит радар и подпись увидел. Но это немного не то, что спрашивалось вроде.
Интересно детектить, если:
- подпись удалилась (из-за ручек, трансфера ресурсов, стафф ncc просрал, как было)
- мисконфиг подписи, например несовпадение величины префикса реальной с подписанной
- пара префикс/asn не совпадает с подписью.
Чтобы это можно было пригнать в свой мониторинг (заббикс, например), но источником данных была тулза из вне информационной системы (внешний инстанс routinator, ripe validator, в том числе публичный или иные публичные api, вот Радара, например).
У нас был кейс, когда не доходила почта от наших сервисов до иного сервиса. Стали копать. Выяснилось, что хипстеры подписали префиксы и забыли об этом. Потом они перенарезали префиксы и у них перестала совпадать длина префикса, а мы invalid вырезаем. Написали им, они поправили. И я почти уверен, что из тех, кто внедряет rpki одной кнопкой в lir portal вообще не мониторят это хозяйство. В общем, словить мисконфиг легко и болезненно, учитывая инерционность обновления графа подписей на иных инстансах.
- подпись удалилась (из-за ручек, трансфера ресурсов, стафф ncc просрал, как было)
- мисконфиг подписи, например несовпадение величины префикса реальной с подписанной
- пара префикс/asn не совпадает с подписью.
Чтобы это можно было пригнать в свой мониторинг (заббикс, например), но источником данных была тулза из вне информационной системы (внешний инстанс routinator, ripe validator, в том числе публичный или иные публичные api, вот Радара, например).
У нас был кейс, когда не доходила почта от наших сервисов до иного сервиса. Стали копать. Выяснилось, что хипстеры подписали префиксы и забыли об этом. Потом они перенарезали префиксы и у них перестала совпадать длина префикса, а мы invalid вырезаем. Написали им, они поправили. И я почти уверен, что из тех, кто внедряет rpki одной кнопкой в lir portal вообще не мониторят это хозяйство. В общем, словить мисконфиг легко и болезненно, учитывая инерционность обновления графа подписей на иных инстансах.
VR
Кстати, если кому интересно: Хурики реально сейчас фильтруют клиенткие префиксы по RPKI. Не знаю ещё кто из глобальных аплинков это делает. Конечно, HE не tier-1, но всё же почёт.
2020 July 23
ZL
Кстати, а кто-нибудь знает собирается ли МТС/Ростелеком енфорсить RPKI?
AS
Кстати, если кому интересно: Хурики реально сейчас фильтруют клиенткие префиксы по RPKI. Не знаю ещё кто из глобальных аплинков это делает. Конечно, HE не tier-1, но всё же почёт.
Вот насчёт “не Tier-1” хурриканам сейчас обидно было 🙂
Telia (https://blog.teliacarrier.com/2020/05/06/routing-security-rpki-update-q2-20/) и NTT фильтруют (https://www.gin.ntt.net/ntt-improves-security-of-the-internet-with-rpki-origin-validation-deployment/)
Telia (https://blog.teliacarrier.com/2020/05/06/routing-security-rpki-update-q2-20/) и NTT фильтруют (https://www.gin.ntt.net/ntt-improves-security-of-the-internet-with-rpki-origin-validation-deployment/)
AS
Zaqu Ling
Кстати, а кто-нибудь знает собирается ли МТС/Ростелеком енфорсить RPKI?
Сомнительно
VR
Вот насчёт “не Tier-1” хурриканам сейчас обидно было 🙂
Telia (https://blog.teliacarrier.com/2020/05/06/routing-security-rpki-update-q2-20/) и NTT фильтруют (https://www.gin.ntt.net/ntt-improves-security-of-the-internet-with-rpki-origin-validation-deployment/)
Telia (https://blog.teliacarrier.com/2020/05/06/routing-security-rpki-update-q2-20/) и NTT фильтруют (https://www.gin.ntt.net/ntt-improves-security-of-the-internet-with-rpki-origin-validation-deployment/)
Моя локальная эстонская Телиа только тупить умеет ))
Вообще, радует, что потихоньку внедряется крупняками, я пока не сталкивался. В РФ как-то в плане rpki отставание. Зато проект требований к эксплуатации сетей связи с каким-то адом внутри.
Вообще, радует, что потихоньку внедряется крупняками, я пока не сталкивался. В РФ как-то в плане rpki отставание. Зато проект требований к эксплуатации сетей связи с каким-то адом внутри.
AS
Comnewsовская конференция по спутниковой связи про Covid-19: “уже в 2022 году широкополосные услуги на воздушных суднах выйдут на довоенный уровень”
MG
Интересно детектить, если:
- подпись удалилась (из-за ручек, трансфера ресурсов, стафф ncc просрал, как было)
- мисконфиг подписи, например несовпадение величины префикса реальной с подписанной
- пара префикс/asn не совпадает с подписью.
Чтобы это можно было пригнать в свой мониторинг (заббикс, например), но источником данных была тулза из вне информационной системы (внешний инстанс routinator, ripe validator, в том числе публичный или иные публичные api, вот Радара, например).
У нас был кейс, когда не доходила почта от наших сервисов до иного сервиса. Стали копать. Выяснилось, что хипстеры подписали префиксы и забыли об этом. Потом они перенарезали префиксы и у них перестала совпадать длина префикса, а мы invalid вырезаем. Написали им, они поправили. И я почти уверен, что из тех, кто внедряет rpki одной кнопкой в lir portal вообще не мониторят это хозяйство. В общем, словить мисконфиг легко и болезненно, учитывая инерционность обновления графа подписей на иных инстансах.
- подпись удалилась (из-за ручек, трансфера ресурсов, стафф ncc просрал, как было)
- мисконфиг подписи, например несовпадение величины префикса реальной с подписанной
- пара префикс/asn не совпадает с подписью.
Чтобы это можно было пригнать в свой мониторинг (заббикс, например), но источником данных была тулза из вне информационной системы (внешний инстанс routinator, ripe validator, в том числе публичный или иные публичные api, вот Радара, например).
У нас был кейс, когда не доходила почта от наших сервисов до иного сервиса. Стали копать. Выяснилось, что хипстеры подписали префиксы и забыли об этом. Потом они перенарезали префиксы и у них перестала совпадать длина префикса, а мы invalid вырезаем. Написали им, они поправили. И я почти уверен, что из тех, кто внедряет rpki одной кнопкой в lir portal вообще не мониторят это хозяйство. В общем, словить мисконфиг легко и болезненно, учитывая инерционность обновления графа подписей на иных инстансах.
мы информируем клиентов про их собственные Invalid, а также про инвалиды "клиентов их клиентов", исходя из редуцированного as-path (препенды очистить и т.п).
Но это не так что-бы онлайн, денька три подождем если сами не очухались то робот бахает. Все вроде довольны
Но это не так что-бы онлайн, денька три подождем если сами не очухались то робот бахает. Все вроде довольны