AS
Господа! Хватит ругаться. Давайте уже начнём пиздицца!
Го, я создал? :)
Ну почему так
В Екатеринбурге екад
В Москве мкад
А в Санкт-Петербурге просто кад )8
Size: a a a
2021 March 24
VR
Ага, маршрут проложен в Питер, а смотрит всё равно на Финляндию ))
C-
Ага, маршрут проложен в Питер, а смотрит всё равно на Финляндию ))
Ну по ветру (8
MA
Странный вопрос о смысле RPKI. С одной стороны вы можете использовать RPKI для подтверждения того, что ваши сети анонсит тот, кому это положено, и что ваши ссети не приезжают неизвестно откуда. С другой стороны вы можете проверять, что вы берете сети только те, о которых их владельцы позаботились в плане RPKI. "Первая сторона" имеет смысл для всех владельцев сетей. "Вторая" только для тех, кто находится на "раутинговых путях", потому что если даже если вы получаете full view, но являетесь листочком, то смысла в этой проверке почти ноль. Т.е. если вы по сути получаете default, то проверять вам незачем – все равно все пакетики у вас уйдут в исходящую дырочку. Но защитить свои сети от левых анонсов даже в этом случае имеет смысл.
А что помешает анонсировать да хоть и с ROA сети, представившись моей же AS? Если есть цель нагадить - она будет достигнута.
b
Чё за кипиш я вррягаюсь
AS
А что помешает анонсировать да хоть и с ROA сети, представившись моей же AS? Если есть цель нагадить - она будет достигнута.
Никто. И AS PATH поправить никто не помешает. Но. Сейчас основная масса инцидентов - это человеческие ошибки, всякие fat fingers syndrom и тому подобное. И число маршрутных инцидентов в любой момент - несколько тысяч. Найти в этом бардаке какое-то осознанное действие - немного слишком сложно. Поэтому атаки на маршрутизацию выявляются очень-очень редко, и ещё реже атрибутируются. RPKI даже в нынешнем варианте эту ситуацию потихоньку исправляет.
Следующим шагом там к ROA добавится ASPA, которая закроет и основную часть инцидентов с AS PATH. После этого видеть проблемы и активные манипуляции с маршрутизацией станет много легче.
Следующим шагом там к ROA добавится ASPA, которая закроет и основную часть инцидентов с AS PATH. После этого видеть проблемы и активные манипуляции с маршрутизацией станет много легче.
AS
Но это, разумеется, не мгновенная история
MA
а фокус с as path это светлое будущее или это уже реально можно делать прямо сейчас?
AS
Пока это драфт, который основные вендоры вписали себе в roadmap. Ну и плюс операторы должны будут потихонечку подписать свои интерконнекты, чтобы ASPA было что проверять
2021 March 25
MA
Я не очень понимаю чем rpki кардинально отличается от route object и почему у кого-то бомбит от требований по его настройке. Создать ROA не сложнее чем route object. С проверкой по rpki, конечно, могут быть нюансы, но этого никто не требует.
AS
нх
C-
Я не очень понимаю чем rpki кардинально отличается от route object и почему у кого-то бомбит от требований по его настройке. Создать ROA не сложнее чем route object. С проверкой по rpki, конечно, могут быть нюансы, но этого никто не требует.
Бомбит не от этого
А от того, что люди не убирают анонсы сетей хотя roa уже invalid
А от того, что люди не убирают анонсы сетей хотя roa уже invalid
AS
Я не очень понимаю чем rpki кардинально отличается от route object и почему у кого-то бомбит от требований по его настройке. Создать ROA не сложнее чем route object. С проверкой по rpki, конечно, могут быть нюансы, но этого никто не требует.
Создать ROA проще, а от route object оно отличается, по большому счёту, только стандартизированной интеграцией с BGP - то есть, существуют стандартные решения, и не надо костыли из скриптов городить.
MA
Бомбит не от этого
А от того, что люди не убирают анонсы сетей хотя roa уже invalid
А от того, что люди не убирают анонсы сетей хотя roa уже invalid
Но получается что rpki не решает этот вопрос. Тогда зачем он вообще?
AS
Примерно потому что он не для того, чтобы убирали анонс, а чтобы этот анонс не работал.
C-
Но получается что rpki не решает этот вопрос. Тогда зачем он вообще?
Вот когда все начнут его использовать и будут хотя бы не пропускать invalid то уже будет польза
MA
Вот когда все начнут его использовать и будут хотя бы не пропускать invalid то уже будет польза
А! Это как с DKIM и SPF в почте? Они как-бы есть несколько десятков лет, их вроде как используют, но пока вообще все не будут их использовать толку от них мало