Názory k článku
Malý český ISP způsobil světový kolaps

Je to jen dalsi demonstrace faktu, jak zvraceny je fakt, ze novodobi "tranzitni" operatori od svych zakazniku akceptuji prakticky cokoliv (jakykoliv bordel) a filtry na vstupu maji jen minimalni. Technici a "designeri siti" si tam timto znacne usnadnuji svuj vlastni zivot, filtry na vstupu jsou jen jednoduche, pokud vubec nejake. Udrzba filtru je samozrejme (casove) narocnejsi a nikomu se do ni moc nechce. Zacina to bezne tim, ze se akceptuji zbytecne deagregovane prefixy a pousti dale do sveta, cimz umele zvetsuji uz tak velke globalni routovaci tabulky (a fakticky tim ovlivnuji delku konvergence), a konci podobnymi faux-paux (ktere samozrejme taky jde ufiltrovat)...
Programatorovi by za tohle nekdo urazil ruce za nedostatecnou input sanitization, vetsina "sitaru" vsak postizena nikdy neni.

A to vse se deje jen pro penize, ktere se utrzi...

Ale je to LEVNY. Navic je KRIZE a SETRIT se MUSI.

Nejlevnejsi je setrit na lidech.

Udrzba filtru je jedna vec, druha je udrzba zaznamu v RIR (protoze podle neceho se filtrovat musi). A obavam se, ze tady mame maslo na hlave skoro vsichni.

RIR databaze je obecnym nastrojem na predani informace o tom, co ma byt smerovano, ta informace samozrejme muse byt predana i jinou cestou (treba emailem). Systemovejsi je to samozrejme zanaset do databaze... nicmene filtry jde delat podle ledacehoz. Ale musi tu byt nejaka vule ty filtry na vstupu technicky aplikovat, tam je zakopany pes. Pritomnost / absence zaznamu v RIR DB typicky na filtrech nic nemeni (zvlaste v nasich koncinach)... a zatimco chybejici zaznam v RIR DB globalni katastrofy nepusobi, chybejici vstupni filtry na smerovacich ISP obcas ano (tento pripad, Pakistan/YT a dalsi).
V kontextu doby, kdy se stale vice hovori o bezpecnosti (nejen) na internetu a lide jsou na nem stale vice zavisli je pristup k elementarnimu zabezpeceni infrastruktury vice nez zvlastni... sitovi admini by proste meli zacit poradne delat svou praci :-)

Mno pokud se citis, ze nedelas jako sitovy admin svoji praci, tak to je smutne ;-)

Co ma v teto chvili smysl, je sirit znalosti a best current practices. V jedne organizaci, ktera se pro takovou vec extremne hodi, pracujes. A zaplatpanbuh letos zacala podobne aktivity vyvijet. Takze doufejme v lepsi zitrky.

Moje krabice zaplatpanbuh v pozici tranzitniho operatora nejsou :-)

To ovšem Michale neznamená, že podobný bordel nemůžou vygenerovat, že? ;-)

Prvotní problém je u zdroje, PAK teprve u prostředníka ve formě tranzitního ISP...

Urcite muzou obdobny bordel vygenerovat. To ostatne jakekoliv krabice :-) Nastesti vim, ze ten, kdo ten bordel vygeneroval, jsem bud ja a muzu si nadavat a nebo nekdo konkretni, koho mam "na dosah ruky". Nikoliv anonymni zakaznik, na ktereho muze nadavat maximalne obchodnik, ktery mu nadavat nebude, protoze ma z toho obchodu provizi.

Souhlasim, ze problem je u zdroje a pomuze mu pouze edukace potencialnich zdroju.

Problem je prece uplne vsude, jen nejaky nestastnik se upsal a tim ho odhalil. Problem je ve specifikaci BGP, ktera nema stanovene omezeni, problem je v implemetaci, ktera se chova jak se chova, problem je ve filtrech, ktere problem nezachytily a neomezily na nejakou izolovanou oblast.

Takova chyba se v zasade muze stat i nekomu, kdo ma dvacet ridicaku na BGP. Pouze je u nej mene pravdepodobna. Typicka chyba z neznalosti je propagace neceho z 10.0.0.0/8 do public Internetu, ale tohle zrova je chyba, ktera by se dala povazovat klidne za preklep.

Co nabizis jako reseni toho, ze problem je uplne vsude? :-)

Ja proboha nerikam nic o ridicaku na BGP. Je o vymenu informaci / best current practices.

Reseni nenabizim, stejne je kazdemu zucastnenemu jasne, udelat neco proto, aby prave muj system nepodlehl tak snadno. Kazda krize vede v konecnem dusledku ke zlepseni stavu.

Vymenu informaci by to jiste podporit chtelo. NI[XC] by treba mohl udelat nejake setkani BGP magu z velkych siti s temi zacinajicimi, kde by mohli povypravet na co si maji lide dat pozor a z jakych chyb se ucili.

V podstatě máte pravdu oba... ono je třeba i dost problém, že člověk minimálně na C platformě vlastně ani nevidí co posílá zrovna z hlediska metrik či as-path.

To si nejsem jistej. problém je u toho, kdo je placen za to, aby to fungovalo - což ten malý chudák z Moravy, který si za tranzitní konektivitu určitě tvrdě platí, zcela jistě není.

Prostě nějaká lama přesunula ikonku Internet na své ploše do opadkového koše, no. Nevím co se Zbyněk z Dialu tak diví... :-)

No ja se priznam, ze ze Zbynkovych reakci jsem nepochopil na co narazis :-)

Nechapu take, jak muzes na jedne strane napsat, ze se filtry neresi kvuliva ekonomickym duvodum, ale zaroven pomijis aspekt "setrime, pac je krize".

Neznam situaci u vsech ISP, nicmene u tech, kde situaci znam to neni tak, ze by tam jeden clovek (ci vice lidi) sedel nad hranicnim smerovacem a stroural se v nose. A obvykle jsou oblasti, ktere dotycne firme prinaseji vic penez nez filtrovani.

Muj nazor na aktivity dotycne organizace se myslim dost se Zbynkovym neshoduje, na druhou stranu si nedelejeme iluze, ze by jeho nazor v te organizaci byl vetsinovy a navic je tu jina organizace, ktera to ma vic v popisu prace nez ta, co ma neco spolecneho s domenami.

Co se tyce lidi, skutecne neverim tomu, ze bys byl tak omezen, ze bys myslel, ze odbornici na BGP jsou jen v CR. A ze by letenka z Londyna byla v rozpoctu i te mensi organizace nejaky problem, to se mi nezda. Priznam se, ze bych radeji videl speakery mluvici o vecnych problemech nez "top level execs" na valnych hromadach (i kdyz chapu, ze socializace je potreba - takze kdyz dorazi ti technici na odborny seminar, tak at klidne dorazi i ti exekove na valne hromady).

Na zaver doporucuju, ze jestli mas se Zbynkem osobni problem a hodlas "odhalovat jeho ledvi", tak je to Vas osobni spor a pokus se v diskusi se mnou ho neresit :-) Ver, ze ho se mnou nevyresis (at je jakykoliv).

U anglickeho speakera muze byt problem jazykova bariera. Jsou kolem lidi, kteri maji problem anglicky porozumet obecne (natoz pak nejak vic odbornemu projevu), to je proste praxi zjisteny fakt. A pritom prave tihle lidi jsou z one primarni cilove skupiny pro edukaci, guru pracujici deset let v oboru asi skolit netreba... Argument "at se dotycni nauci nejdriv anglicky" asi neni uplne spravny. Obecne anglicky psanych materialu jsou mraky, ale tech tech v cestine je jen poskrovnu...
Do diskuze o tom, ktera organizace je vhodnejsi bych se radeji nepoustel. Je tu cela rada "vhodnych" organizaci, at uz na narodni, tak i mezinarodni urovni. Pro jednu ostatne pracujes i ty, ta ma dokonce sireni vzdelanosti primo v oficialnim predmetu cinnosti ;-)

Ano, urcite je problem jazykova bariera, ale v takovem pripade to docela snadno vyresis simultannim prekladem. Neni to dokonale a kdyz nedokazes dostat ceskeho speakera na podium, je to jedina cesta sahnout po zahranicim.

Existuji mraky dalsich moznosti, napriklad preklad nejake publikace o BGPcku. A nejmenovana organizace uz vydani nekterych knih sponzorovala.

Co se tyce sireni vzdelanosti, v mem primarnim oboru sirim, az se ze mne kouri :-) Siris take?

To bys musel sirit vzdelanost k necemu realne pouzitelnemu... ;-)

Zatim si ucastnici nestezovali :-)

hele ale simultanni preklad prednasky o BGP by mohla byt docela sranda :)

Jiste, ty mas take delat svoji praci, spravovat uzel, ktery si ISP plati. Ten uzel tady neni od toho, aby rikal sitim, co maji delat - naopak, operatori si jej zalozili prave za tim ucelem, aby on slouzil jim. To je primarne vhodne si uvedomit, nez jim zacnes chtit rozkazovat, co maji delat.

Krome toho - do nikoho nekopu. Stalo se, co se stalo. Kdybych o tom nenapsal clanek ja, neudelal by to tu nikdo a udalost, ktera se ceskeho Internetu dotyka, by v zemi sveho puvodu zustala zcela nepovsimnuta (mimochodem, dukazem o tom, ze "jen nekopu" jsou dva me lednove clanky zde na Lupe). Vina za tuto chybu byla pochopitelne v konkretnich implementacich, filtrovani je pouze workaround, ktery ovsem omezuje zakaznikem ocekavanou flexibilitu (teprve od ni se odviji ty ekonomicke duvody, ne od toho, ze to zabira vice casu, to je skutecne marignalni).

A ano, autorovi jde zejmena o osobni a ekonomickou svobodu, jejiz soucasti je to, ze kdyz si chce koupit domenu, plati pouze domenu a ne tisic veci, ktere nepotrebuje, navic, kdyz si chce koupit datovy nosic, plati datovy nosic a ne mafii mizernych mistnich hudebniku atd. Takovymi detaily, ze se veci nazyvaji jinak (tedy poplatek za domenu je ve skutecnosti poplatek za domenu plus prispevek na publikacni cinnost pana Satrapy plus prispevek na ENUM plus prispevek na programatorskou soutez plus prispevek na par mezinarodnich organisaci atd.) a subvencuji se z nich ruzne, feedbackem zakaznika hlasujiciho svoji penezenkou nedisponujici zalezitosti, to zacina a Rathy, Paroubky a Gottwaldy to konci. Ano, autorovi jde presne o totez, o cem dnes (pardon, vlastne uz vcera) hovoril pan president v EP.

Jako soukroma osoba si ve svem volnem (!!) case muzu delat co chci, a to vcetne prezentace vlastnich nazoru. Pokud ti jde o osobni svobodu, tak se laskave podivej na hodinky driv, nez se zacnes navazet do neci prace. A muj soukromy nazor je, ze rada lidi svym laxnim pristupem ke konfiguraci BGP smerovacu trvale ohrozuje bezpecnost a stabilitu internetu a pripravuje zivnou pudu pro budouci utoky. To je stejne, jako "nebezpecnost" Windows je dana tim, ze vetsina user-space aplikaci bezi ve vychozim stavu zbytecne s administratorskymi pravy. Prave kvuli "pohodlnosti" koncoveho uzivatele. Flexibilita a bezpecnost dohromady proste nejdou a pro me je bezpecnost prvorada otazka. Udalost samozrejme bez povsimnuti neprosla a diskutovala se na ruznych mistech. Sam jsem dotycnym psal uz v pondeli navecer upozorneni na mozny problem. Jenze zatimco Renesys se pustil do vecne analyzy, tady se objevuje vata o mlikarich, farmarich (mliko se mimochodem nerozvazi vecer, ale rano) a narazky na "zmatene obsluhy" od cloveka, co sam dokazal v nedavne minulosti ze svych smerovacu sirit vice prefixu nez by mel... Autor mozna nepotrebuje treba knihy od pana Satrapy, protoze vsude byl, vsechno vi a zna nejlepe (jen se divim, ze to neprednasi na univerzite, kdyz je tak "genialni"). My ostatni se pred praci pana Satrapy poklonime a vazime si ji, protoze je to snad jedina ceska publikace venovana IPv6 protokolu a jeste na velmi vysoke urovni (o jeho dalsi publikacni cinnosti nemluve). A ono vydat knihu neni az takova sranda - a jsou temata, ktera z regalu knihkupectvi nemizi rychlosti svetla (a do vydavani techto se malokdo hrne). Zverejni seznam drzenych domen, udelame sbirku Nx 5Kc (ono vic penez to v cene jedne domeny nebude), aby chudak autor psychicky netrpel tim, ze se podporuje a stimuluje odborna vzdelanost verejnosti...

1. Proti presentaci soukromych nazoru nikde neprotestuji. Proti tomu, aby se pouzivaly penize uzlu k necemu jinemu, nez jsou urceny, vcetne pokusu o to vysvetlovat ISP, jak maji delat svoji praci, ano. Je zvlastni, ze kdyz takove veci zvladas dle tveho nazoru vyrazne lepe nez oni, nezalozis si vlastniho ISP a ty stavajici lepsimi sluzbami neprevalcujes.

2. Ty davas prednost bezpecnosti, ja davam prednost flexibilite, zakaznici take - je tedy rozhodnuto. Se divim, ze nevolis KSCM, tak chce take bezpeci na ukor flexibility. Pod zaminkou bezpeci a poradku uz bylo nastoleno vice tyranii, nez je zdravo (vlastne vsechny) - a ty se snazis presne o totez (i kdyz uznavam, ze v jinem meritku).

3. Pokud se ti nelibil text clanku, pak nechapu, proc jsi to nenapsal hned. Takhle to vypada, ze to pouzivas pouze jako ucelove vytazene argumenty. Ostatne, v te knize o IPv6 je podobnych odlehceni tematu (dle tebe blabolu) take spousta, je tedy zvlastni, ze si na ne nestezujes. Inu, to by se ti zrovna argumentacne nehodilo, ze.

4. Ano, donedavna jsem ti posilal na tvoji vlastni zadost vice prefixu, nez jsem mel. Vidim, ze to podle tebe byla chyba, tak jsem se take postaral o to, aby byla napravena.

5. Knih o IPv6 vyslo v anglictine vice nez dost. Vydavani takovych publikaci v cestine pripomina aktivity obrozencu z 19. stoleti, kteri meli potrebu vyrovnat cesky narod v kazdem ohledu nemeckemu, at to stoji, co to stoji. Pokud je ta kniha tak dobra, jak tvrdis, tak by prece musela byt i komercne uspesna... ;-)

Vskutku kuriozni misto na oznamovani zmen ve smerovaci politice. Dal to uz komentovat radsi nebudu...

Inu, uvadim pouze na pravou miru to, s cim jsi zde zacal ty sam. Informace, ktere zde vytahujes na svetlo, maji uzkou vazbu na informacni zdroje, ktere rozhodne nejsou verejne. Muj clanek z jinych nez verejnych zdroju cerpat nemusel (z neverejnych jsem si ty verejne pouze overoval). Cili kdyz na nekoho zautocis s pouzitim informaci, ktere by v zasade mely zustat neverejne a pak se takhle rozcilujes, tak jednas nefer, protoze protistrane odpiras pravo na verejnou obhajobu (tedy se ji snazis dostat do argumentacne napadne nevyhodne situace).

A nekomentovat je velmi dobry zpusob, jak se v diskusi vyhnout argumentacni porazce.

Dekuji vam za tento prispevek. Vzhledem k mire jeho drzosti a vlezlosti (nevahate se ani vmesovat do hospodareni soukromeho subjektu) je mi uz nyni naprosto jasne, s kym mam tu cest. Muzete se klidne podepsat, uz mi tim zadnou novou informaci neposkytnete :-)

Dale, v mem clanku ohledne domen nebylo zmineno nic, co by nebylo verejne (a take jste tam nic nenalezl, protoze byste se na te dane konkretni veci uz davno vozil).

Kazdopadne jestli si myslite, ze ucast na konferencich je prijemne stravena dovolena, pak jsem z hlediska konkurencnich vyhod jen rad, ze mame na trhu i subjekty, ktere takto uvazuji...

Nic Vam nebrani s tim onoho soukromeho majitele jit seznamit. Mnoho uspechu preji.

Musim rici, ze je s Vami cim dal vetsi legrace... Muzete kontaktovat s takovym podezrenim statutarni organy a myslim, ze byste to opravdu mel udelat.

Chapu to spravne, ze obvinujete i statutarni organy z cehosi jako je spatne hospodareni se sverenymi prostredky? ;-)

Tady se nabizi otazka, co vsechno filtrovat. Takze nejprve prefixy, aby si nebylo mozne pujcit nejake cizi. Pak AS-path, idealne se vsemi moznymi variantami prependu. Delky konfiguraci dale narustaji a narustaji... Zakaznik je nastvany na providera A, ktery filtruje tohle vsechno a je potreba mu explicitne sdelit, ze bude oznamovat nejaky dalsi prefix, kdezto u providera B to potreba neni a tak dale...

Na obezne draze se srazila ruska a americka druzice a EU uz tam chce zavadet nejake dopravni predpisy (pricemz kazdy vi, ze ani existence dopravnich predpisu nedokaze zabranit tomu, ze nekdo udela chybu a take kazdy vi, ze se temer nikdo cilene nesnazi zpusobit nehodu, nehlede na to, zda nejake predpisy existuji ci nikoli a te male skupine, co se o nehodu snazi, v ni ty predpisy take nezabrani). Logika cele veci je uplne stejna. Hlavne, ze si tu Danny stezuje na ceske NSP, aniz by resil to, ze velci svetovi hraci vuci nim uplatnuji velmi podobnou filtrovaci politiku, jako ti cesti NSP vuci svym zakaznikum.

Receno s Dannym, ridici operatori druzic v SSSR (teda pardon v Rusku) a USA musej poradne delat svoji praci :-)

Jinak Zbynku, chapu Tvoji snahu o hyperkorektnost, ale pro bezneho ctenare LUPY (BFRoL) je to asi obtizne rozkodovatelne.

Ja si to samozrejme uvedomuji, bylo to samozrejme kompromisni (a tedy z definice problematicke) reseni z kategorie tech "nejmene spatnych".

Spousta svetovych hracu (pusobicich na ceskem trhu) ale uplatnuje pomerne striktni filtrovaci politiku na vstupu a ZP to moc dobre vi. Samozrejme si ucelove vypichne ty, co to nedela, aby tim "obhajil" skutecnost, ze on to taky nedela...
Argumentace "kasleme na zabezpeceni, protoze jini na to kaslou taky a jen to obtezuje" je skutecne zvracena. BGP a jeho implementace poskytuje celou radu nastroju a moznosti, jak se potencialnim problemum branit - skutecny problem je, ze neni vule je vyuzivat. Primarnim duvodem je obycejna lenost a pohodlnost nekterych lidi zodpovednych za konfigurace systemu. Muzeme mit sebelepsi implementace BGP, sebelepsi moznosti zabezpeceni, ale pokud neni ochota je v praxi nasadit, pak k podobnym problemum dochazet bohuzel bude - a nikoliv jen omylem mene zkuseneho administratora, ale naopak cilene od lidi, co se vyznaji velmi dobre.

Filtr na as-path s vyuzitim regularnim vyrazu jde napsat i v jednom radku (alespon ten zakladni), staci to umet. Kdyz si budu chtit hodne zjednodusit zivot, tak ten jediny radek budu mit univerzalne aplikovatelny na vsechny zakazniky. Ale porad tam bude aspon nejake zakladni omezeni - ktere je vzdy lepsi, nez vubec zadne omezeni (tak jak je beznou praxi)...

Kdyz jsme u tech primeru - byt si taky kazdy zamykame, byt jsme si obvykle vedomi faktu, ze kazde zabezpeceni jde ne az tak tezce prekonat. Ale presto malokdo necha byt dobrovolne odemceny s dvermi dokoran...

Nezlob se na mne, ale v danem pripade problem postihl pouze site, ktere pouzivaly implementaci BGP, ktera obsahovala chyby. A ti tim take byli postizeni, v tomto ohledu to bylo pomerne spravedlive a ucinne filtrovani (nikdy nebude, vzdy se najde nekdo, kdo ho nebude aplikovat) by jen umoznilo zachovat stavajici stav s tim, ze priste by jej mohl cilene vyuzit nejaky utocnik.

Velmi se mi ostatne libil jeden z komentaru na Renesys, tak jej zde odcituji:

---
Jim, pull your head out.
The fact of the matter is that the administrators of the largest backbones identified this problem within 15-20 minutes of it happening, and, using the appropriate WHOIS records, contacted the responsible parties who got it corrected within 2 hours, maximum.

I challenge anyone to find a global ANYTHING even half the size of the Internet, that identifies and corrects problems this rapidly.

Contrast this story to the Salmonella contamination in the US Peanut products industry. That is a FOOD distribution network, not unlike the Internet in structure, and we are still finding contaminated products. And it's just in the US only - not global - it's VASTLY smaller.

If the food industry responded as quickly as the Internet's administrators do, after the first Salmonella death, there wouldn't have been any other ones. Talk about drivers licenses and incompetence!!!!!!!!
---

Problemu slo vhodnym nastavenim predejit, to je pointou sdeleni.
Reakce byla pomerne rychla, nejspis ale take i diky tomu, ze problem nastal v podvecer, kdy jsou vsichni jeste vzhuru. Ve ctyry rano by ty dopady byly mozna i horsi a reakcni doby podstatne delsi... ale to je jen spekulace.

Komentare jsou tam jine, treba i takovyto:
This situation falls right into the same category as bogon filtering. If everyone followed bogon principles and filtered invalid sources and destinations at their border, there would be no source or destination address-spoofing anywhere on the Internet. Likewise, if everyone filtered AS path advertisements down to a "reasonable" number, this excessive path problem would never have occured and would never occur in the future. Maybe it's time for a new RFC that not enough people will read and think "hey, that really IS a good idea"...

Zapominas, ze kdyz je v Evrope podvecer, je v Cine hluboka noc, na vychodnim pobrezi USA dopoledne a na zapadnim se take jeste spi...

Kazdemu problemu lze nejakym "vhodnym nastavenim" predejit, i tem umrtim po poziti zkazenych burskych orisku, druha vec je, kolik novych problemu to zpusobi.

Problem vznikl.. vyzadoval reakci a byl odstranen v CR, poznamka o Cinanech je dost mimo...

Pane, vy trpíte nějakým Paroubkovským syndromem ublíženosti. Nic se vám nelíbí a pravdu máte jedině vy. Místo toho aby jste se radoval že díky šťastné shodě okolností se podařilo odhalit bezpečnostní mezeru dřív než toho masivně využili hackeři, tak prudíte o filtrování. Vy by jste člověče vyhodil Fleminga, že mu zplesnivěla kultura, ještě dřív než by něco mohl zjistit!

Ne, pan Pospichal tvrdi, ze zabezpecen ma byt kazdy konkretni smerovac, protoze duverovat celemu svetu zkratka nelze (rozhodne si nebudete filtrovat routy z upstreamu). Paradoxne dokonce ono mnou propagovane zabezpeceni toho smerovace komfort zakaznika, narozdil od onoho filtrovani, neomezuje.

"Ma byt". Zijeme v realnem svete. To ma byt mi pripomina utopicke tvrzeni, ze kdyby nikdo nemel zbrane, tak by se vsem zilo mnohem lepe. Jenze ve svete zbrane (a nefiltrujici site) zkratka jsou a nenadelate s tim vubec nic.

Mne tenhle konkretni problem prijde spis jako problem specifikace. BGP evidentne neomezuje delku cesty - coz je spatne, to se neda na realnem pocitaci naprogramovat ;-) Kdyby standard specifikoval, ze maximalni delka cesty je 255, vsichni musi tuto delku korektne zpracovat, ale session ktera posle delsi cestu MUSI byt zahozena (nebo zahozena jen ona cesta / ...), problem by nevznikl.

Implementace (ty novejsi) toto omezuji. Pravda, nikoliv na zaklade nejakych RFC, ale na zaklade nejakych real-life experiences... takze ty "nove" implementace maji jako default limit 75 AS hopu, konfiguracne zvednutelny az na 2000 (!)...

Je treba si uvedomit, ze tyto specifikace jsou pomerne stare. Tyka se to uz samotneho IP protokolu - samozrejme v dobe vzniku specifikaci nikdo nepredpokladal tak masove nasazeni a bezpecnost byla otazkou spise okrajovou...

Problem by zarucene nevznikl i pri dnesni specifikaci - staci adekvatne vyuzit nabizenych moznosti, ale jak tato diskuze nazorne prezentuje - nekde neni ochota...

Šálí mě zrak, nebo si se poprvé v životě zastal programátorů na úkor adminů ? :-)

Nesali te zrak. Existuji dobri a spatni admini, stejne tak jako existuji dobri a spatni programatori.

no... to je tak eklektický názor, že s ním opravdu nelze polemizovat :-) Mám pokušení tvrdit, že musí určitě existovat i nějaká "třetí cesta", ale radši nebudu provokovat :-))

A co se vlastně stalo? Nějaké srozumitelné vysvětlení?

Kdybych si nepřečetl článek na renesys.com, tak bych z vašeho článku nepochopil, jaký kolaps vlastně nastal.

Omluva, nějak to nezaškrtlo "jako registrovaný uživatel", takže tady jen "podpis".

Spis mam dojem, ze Zbynek prevypravel ten renesysi clanek - coz je podle me zcela v poradku. Zaroven se ovsem pokusil neotrit o nici jmeno a priblizit to beznemu ctenari LUPY (BFRoL) :-)

Vysledek je takovy, jaky je.

Pokud si podobnou nevdecnou praci nechcete vzit na sebe, musite vzit zavdek tim, ze Zbynek potrebuje vypsat ruku. A to chvili trva.

Zase na druhou stranu je nutno uznat, ze uz natrva na tom, aby telco spolecnosti poskytovaly konektivitu zadarmo, kdyz se jim zaplati polozeni "dratu" (viz davny clanek na - tusim - reboot.cz)

Prominte, opravdu netusim, co mate porad s nejakym Vendelinem a druhak je celkem smutne, ze netusite, na co je to vlastne narazka (a ono by vas vlastne ani nenapadlo o tom psat, kdyby to pred Vami nezminil Dan, ktery to take zjevne netusi, ze).

Dobre, takze pokud si neco suskaji vrabci na strechach, tak to nezbytne musi byt pravda, ze.

Ale mate v tom takovy logicky oxymoron, protoze kdybych psal clanky za ucelem sveho zviditelneni, jak zde racite tvrdit, asi bych je nepsal pod pseudonymem, ne? ;-)

A mimochodem, vy se nestydite pod sve nazory podepsat?

Ale jo, pekna spekulace, vsechna cest, jde Vam to. Mohl byste take zkusit spekulaci o tom jsem zabil prezidenta Kennedyho? Urcite to take bude hezke pocteni... ;-)

Ano, to, co pisete v teto reakci, skutecne fakta jsou. Ten zbytek nikoli. Kdyz ja reknu uplne stejne, ze jste ten text napsal Vy a pouzil jste pseudonym, protoze se bojite, pak to bude uplne stejna spekulace jako ta Vase a bude mit uplne stejnou vypovidaci schopnost. Ted uz muze jednomu z onech tvrzeni dat za pravdu jedine nejaky jednoznacny dukaz. Mate ho?

Nota bene, zaujalo mne, proc hovorite o kopani. Ten clanek jsem si ted precetl a prislo mi ze je celkem objektivni...

Nikdo z nas neni neomylny, lec ta zalezitost z 19. ledna se odehrala ponekud jinak, nez jak si patrne (dle toho, co pisete) predstavujete.

Kazdopadne zaridte si nejaky anonymni e-mail a muzeme se o tom bavit, nemam problem se bavit s kymkoli o cemkoli, kazdopadne do diskuse o tomto clanku to nepatri.

Žádný anonymní mail! Všechno sem! Co se stalo 19. ledna?

Nesmíte zapomínat na ostatní čtenáře, kteří se sem chodí pobavit!

Podivejte se, nabidl jsem Vam, ze Vam danou zalezitost vysvetlim. Zatim mi od Vas nic neprislo, tedy o informace opravdu viditelne nemate zajem, Vas zajem je zcela zjevne jediny - lecit si nejaky vlastni problem tim, ze na mne budete hazet spinu. A toho se opravdu dale ucastnit nemusim.

Slovo "zmateny" je u Vas nepekne? Pak si asi zamerne vybirate nejaky jeho nepekny vyznam.

Přesně tahle otázka mě taky napadla, když jsem to začínal číst... :-)))

Jo, Supronet, to je síla. Nechci být škodolibý, ale tuhle ostudu na celé kolo jim přeju!
Pamatuju si mimo jiné dobu, kdy se mě sám majitel firmy snažil přesvědčit, že když mám ping na jeho GW ve vesnici pod 10 ms a pingy na seznam mají 50%ní ztrátovost, že to bude problém u mě ))))

Mili diskutujici,

vetsina z Vas, zde diskutujicich, me zna osobne a vi, ze se k podobnym clankum nevyjadruji, ale nyni musim.
A musim dat castecne za pravdu i Michalovi, ktery zde psal, ze je to o edukaci.

Sam jsem ucil, ucim a snad i budu ucit ci skolit nove vznikle LIR. Vsem rikam jak pracovat s databazemi (napr.RIPE) a jak nastavit na routerech BGP. Ale prvni co vsem zduraznuju jsou prave BGP filtry. Filtry dovedou penize setrit, ale take rozhazovat. BGP bez filtru je casovana bomba, rikal jsem to vzdycky a rikat to budu dal. Na svych skolenich sice ucim a prezentuji jen 5% z celkove funkcnosti BGP, ale je to 95% toho, co by melo na routeru byt nastaveno. Vetsina z toho jsou fitry.
Mam zkusenosti s tim, ze cim slozitejsi konfigurace BGP je, tim vice chyb se v tom dela.

A proto nezbyva nez se ucit, ucit a ucit. A kdo nepochopi BGP, tak at to nekonfiguruje.

RadekM

V CZFree jsou filtry nastavene na rozmezi /15 - /20, a to i na ASBR v siti, ktere poskytujes konektivitu. Na pochopeni, jak to funguje, je dobre si krome obslehnuti od sousedu i precist dokumentaci...

To je principialne fuk, zda /16, nebo /n-/m...
Jedna vec je v czf pomerne specificka, typicky je to konfigurovane jako otevreny transit ke vsem peerum, tedy zadne filtry se neaplikuji. Vesmes proto, ze provozovatel daneho AS ty filtry ani nedokaze nastavit v ramci cele site tak, aby to fungovalo...

Mysklím, že nám trochu křivdíš.. my chceme být otevřený tranzit. Ale třeba nepouštímě do routovací tabulky veřejné rozsahy a tak, tzn. - filtry.

Dobre, dobre, zjednodusil jsem to malinko. Ten univerzalni jednoradkovy a vsude aplikovany prefix filtr jsem nepocital... :-) Ale na tom, ze tam obvykle neni neco sofistikovanejsiho se snad shodneme.

Ano, shodneme. Ale zásadně nesouhlasím s názorem, že je to proto, že bychom byli v CZF tak neschopní - je to proto, že síť je relativně malá a pravidla hry jsou u nás oproti velkému komerčnímu Internetu zatím strašně jednoduchá.

Pokud víš o nějakém jiném srovnatelně velkém experimentu s privátními BGP ASN, který by současně kladl důraz na vlastní, nikoliv jen pronajatou architekturu, tak se o tom rozepiš. Osobně si myslím, že CZF je fakt zajímavé "hřiště", protože řada sítí tam má více než jeden hraniční BGP router a vznikají tam celkem zajímavé topologie. Samozřejmě si v podstatě jen hrajeme - ale zase bych nepodceňoval vliv, který CZF bude mít na množství subjektů, které budou schopné se chovat v budoucnu jako plnohodnotný ISP i ve veřejném prostoru.

Prostě některé firmy daly přednost tomu posílat peníze někam do ciziny, aby byly LIR a měly vlastní adresy a vlastní AS a mohly se do té hry s tranzitem a peeringem zapojit, i když to třeba neumí, jako na té Moravě. My naproti tomu tohle odložili, a řekli si, že zatím si budeme spíš hrát lokálně, a budeme se snažit vybudovat si dostatečně neotřesitelnou pozici na poli poslední míle... to ale neznamená, že až přijde ten správný den, že pak nebudeme umět to BGP nastavit, že jo..

Kdyz to tady tak ctu, tak vlastn CZF je takovy Internet na zacatku.
Popremejslejte o tom, ze by jste to trochu rozjeli i do zahranici, neco jako druhy Internet?

To by bylo neco! Konkurence soucasnemu Internetu :-)

Pak by to mohlo vypadat treba tak, ze by si clovek mohl vybrat jestli k nejke firme k nejake siti vyuzije tranzit "internet" nebo "CZF" :-)

Potom by jste samozrejme mohli vytvaret i vlastni RFC, vlastni protokoli, ... fantazii se meze nekladou.

Ale to je zatim jen scify :-) Ale uznejte nebylo by to krasny. A CZF ma uz docela rozjetou sit.

Vlastni RFC samozrejme vytvareji a pokud vim, tak kdysi bezela nejaka (hlavne kecaci od xChaose) snaha nahradit TCP/IP. Nepodcenuj kreativitu :-)

Bohuzel k moznosti vyuziti te site jako tranzitu ta sit musi jeste "snast par knedliku". Nektere casti jsou OK, jine ...

No, CZF je daleko dál, než "internet na začátku". Např. lokální regilonálníá sítě jsou většinou dynamicky routované pomocí OSPF, a meziregionální provoz je směrovaný pomocí BGP. Internet na začátku byl podle mě směrovaný buď ručně, nebo tak maximálně RIPem.. nevím jak staré je BGP, ale určitě to není protokol č.1, který by předcházel všemu ostatnímu :-)

O zahraničí se neuvažuje, vždyť je to _CZ_ - freenet. Čistě regionální provoz v čistě regionální síti na regionálních privátních adresách bude podléhat čistě lokálnímu/regionálnímu byrokraticky-zákonodárnému bordelu - a nehrozí nám tedy, že by se nám do toho cpala nějaká evropská či americká legislativa (podle mého skromného názoru, teda - IANAL, nebo I am Not A Lawyer...)

Ano, některé sítě (např. ta naše v Břevnově a Střešovicích), měly od začátku zájem i o připojování lidí, kteří od nás vůbec nechtějí odebírat internet (samozřejmě, přístup do CZF je pak bez jakýchkoliv záruk). A i jiné sítě pokud vím stále razí tento přístup (námatkou Dejvice, které ani nemají vlastní internetovou bránu, a lidé si tam kupují Internet tak, že ho buď směrují do sousedních větších sítí a nebo platí některému z místních přeprodejců). Nicméně toto je dnes spíše menšinový přístup - převažující část CZF-kompatibilních sítí v ČR volí neziskový přístup, v rámci kterého je CZF tranzit i přístup do internetu většinou tvrdě bundlován.

Nicméně základní myšlenka CZF skutečně byla "kašleme na vás - propojíme se mezi sebou bez ohledu na Internet a jeho pravidla" - ano. Nechci to dramatizovat, ale pokud v CZF používáme BGP trochu jednodušším způsobem (i když jak v čem, že ... viz internal BGP peery našich hraničních routerů, které se v pražských CZF cloudech na rozdíl od většiny českých ISP nachází v geogragficky odlehlých lokalitách...), tak jediným důvodem proč to děláme jednoduše je to, že jde o malé množství relativně podobně velkých sítí. V zásadě řada kluků kteří se motají kolem CZF (a od kterých jsem se ledacos přiučil i já) toho ví o routingu zhruba stejně, jako profi admini s padesátitisícovými platy (a pokud ne, tak jsou schopni se to během dvou měsíců doučit, že ano...)

eh, do háje, samozřejmě jsem si to po sobě nepřečetl a zdá se že Lupa neumí editovat jednou vložený článek.

vlastní "infrastrukturu", ne "architekturu"... samozřejmě.

Ze by prakticky navod na zajimavy druh utoku?

Zjevne je to jediny zpusob, jak donutit nektere zlenivele administratory delat svou praci poradne ;-)

Siti se zlenivelymi administratory bude po svete asi dost. A zlenively administrator asi bude dost liny se venovat i bezpecnosti svych masin. Stacilo (tady to rikam, jako kdybych to delal denne - samozrejme vim, ze to neni zas tak trivialni) by je napadnout a v mnoha sitich ruzne menit routovani tak, aby to co nejvice komplikovalo jak zivot na Siti, tak odhaleni utoku (a odstrizeni dane site od zbytku). Hadam, ze par dni by mel svet uplne jine starosti nez globalni oteplovani.

ze OpenBSD ma nasledkom toho RELIABILITY fix #10. Bug na bgpd :).

Blbost je otcem pokroku. Matkou je lenost.

http://technet.idnes.cz/poskytovatel-z-ceska-odrovnal-cast-svetoveho-internetu-pkb-/sw_internet.asp?c=A090220_154038_sw_internet_vse

Rad bych podekoval za clanek. Nekteri zde polemizuji o kvalite a "originale" na renesys. K tomu snad jen ze ne vsichni umi anglicky. V mem pripade jsem si nejprve precetl tuto ceskou verzi a nasledne presel na renesys. Autor alespon uvedl link. Ti co kritizuji zpravidla nikdy nic nenapsaly (krom flame pod clankem). Toto poradi nebylo dano neznalosti AJ (ziji mimo CR), ale neznalosti serveru Renesys (a jeho sluzeb). Osobne chvalim kazdy prinos do komunity, at je lepsi ci horsi. Aspon ze je. Je uz jen na ctenari, do jake miry se proklika dal. Mnohem lepsi nez sahodlouze polemizovat o kvalite/nekvalite clanku by bylo polemizovat o moznych technickych resenich, o tom jak skolit, o tom kam posunout internet. A flame bych prenechal tem, co tomu nerorzumi. Jeste jednou diky za clanek, pro me velmi prinosny.

A jeste jedna otazka nakonec. Kde lze ziskat traceroute, ktery zobrazuje ASN? (viz. listing na renesys: Defending against BGP M-I-M attack.PDF)

Na *nixech lze pouzit upravenou verzi traceroute, ktera toto umi. V rade distribuci schovan v balicku traceroute-nanog, pouziva se s parametrem -A.

"Ti co kritizuji zpravidla nikdy nic nenapsaly"

To by ses divil. Ostatne, nepotrebuji pect chleba, abych zjistil, ze je nepozivatelny.

Moc do diskusi nepisu, taky k cemu, ale tohle fakt ne. Podle tohoto prispevku jste ten suverenni IT-blb Vy. A hned za Vami nasleduje vynalezce ankety u tohoto clanku. Zase jsou vsichni okolo dokonali! Ja nevim, ale kdo nedokaze pochopit preklep je idiot. Cely tento problem byla nestastna shoda nahod. At uz v softwaru MikroTiku, tak ve filtrech peera, tak v IOSech. Btw. jaky ma do haje smysl tato anketa? To cekate, ze procentualni podil "Ne, neudelal jsem omyl s mezinarodnim dopadem" muze byt jiny, nez nejvetsi? Mno, jestli na Lupu chodi vetsinova cast lidi s moznosti vubec se dostat k potencionalni sanci takovy pruser udelat, tak asi jo (ja bych rekl, ze ne). Pripadnou reakci si nechte pod svym polstarem, nezajima mne. Sbohem.

Copak smerovace, ale SERVERY bysme si meli hlidat :-) Pujdu obejit tech par serveru, jestli mi nepropagujou neco do BGPcka. Kdyz to rikaj v novinach ... musi to byt pravda.

http://domaci.ihned.cz/c1-34738130-ceska-firma-odpojila-petinu-internetu

Jeste vetsi blabol mi vkladaji do ust na novinkach. Ach jo, Milos Zeman mel pravdu.

Základní problém bych viděl v Mikrotiku jako takovém. Nejsem zastáncem toho či onoho na síti u nás se používá to co je pro dané věci nejlepší a to v různých vyzkoušených kombinacích.
Problém Mikrotiku vidím v jeho dostupnosti pro opravdu každého. Vzhledem k tomu, že se jedná čistě o klikací program tak bohužel nemusíte již tolik uvažovat nad tím co klikáte a věřte, že jdou občas naklikat opravdové hrůzy. Na bránu bych volil jakýkoliv sofistikovaný routr k tomu určený at Cisco nebo 3com nebo i levný Ovislink či jinou značku je to trochu o diskuzi každopádně jsem-li malý a chudý ISP použiju tedy cokoliv z rodiny Linuxu poslouží to občas lépe než značky které jsem uvedl. Pokud chcete Linux používat musíte však už znát trochu souvislostí chtít se opravdu něco naučit a pochopit. Malý příklad pro neznalé Mikrotik Vám vše pokud to zadáte trochu správně dopíše například Adresní prostor stačí zadat 192.168.10.0/24 důležité je to /24 Mikrotik dopočítá masku bránu, network, broadcast atd. u Linuxu musíte vše umět spočítat a pamatovat si čili 192.168.10.0/24 je maska 255.255.255.0 brána 192.168.10.1 network 192.168.10.0 broadcast 192.168.10.255 Pokud do tohoto začnete konfigurovat další hodnoty jako dynamické routování, DHCP servr a ostatní musíte se u Linuxu už dost orientovat a přemýšlet nad souvislostmi Mikrotik Vám to max označí za špatně. Pokud pracujete s Linuxem i s Mikrotikem je to optimální kombinace. Neříkám, že to zachrání, ale dáte si Větší pozor na chyby a to co se naučíte v Linuxu zhodnotíte v mikrotiku. Osobně Mikrotik na bránu bych si nedal ani omylem tedy ne na tu Internetovou na propojení s kolegy v rámci nějakého lokálního BGPčka možná ano, ale na Inet Bránu rozhodně ne.
Chyba Mikrotiku v jeho dostupnosti je z mé zkušenosti u jednoho klienta i ta, že zákazník který má trochu zájem tak se Vám s ním naučí. Po nějaké době Vám začne z svého 3 / 3 mbit za 400,- Kč připojení prodávat Inet sousedům, vyžaduje 24 hodinovou dostupnost nejlépe stále za oněch 400,- Kč i podporou a zásahem 24/24 kde při těchto parametrech se bavíme o ceně okolo 2000,- kč za oněch 3/3 mbit garantovaných po celých 24 hodin. A právě ona požadovaná podpora je onen průšvih zákazník již v uvozovkách po Vás požaduje právě ony bránové konfigurace od veejných adres, až po nastavení FW a pod. navíc nemá přehled co mu tam tropí klienti a posléze Vás obviní, že vy děláte to či ono nedodáváte mu rychlost jak máte atd. Posléze přejde k dalšímu ISP kterého jak zde někdo psal lapne čistě jen kvůli obratu a o to co má či nemá se nestará. Zde již není daleko k onomu co se stalo.
Začínal jsem obdobně a mohu říci, že jsem rád že jsem prošel školou Linuxu který mne svým způsobem připravil na Mikrotik. Nemám nic ani proti jednomu a s úspěchem využívám obojí každé má své něco co druhý systém nemá nebo má jeden něco lepší a druhý systém zase ne. K.

Domovska zeme Mikrotik je Litva a ne Lotyssko jak uvadi autor. Jinak docela pekny pruser :).

A jste si tim jisty? Puvodni nazev zeme puvodu Mikoritku je Latvia s hlavnim mestem Riga, kde mimo jine spolecnost Mikrotik s.i.a sidli.Tato zeme je u nas znama jako Lotysko. Zeme, u nas znama jako Litva ma puvodni jmeno Lietuva.

Priste nez placnete nejakou perlu, podivejte se do atlasu sveta;-)

Děkuji autorovi za velmi zajímavý článek a ještě zajímavější následnou diskuzi, kterou s noblesou ustál. V drtivé většině autorových názorů souhlasím.
Možná příliš mnoho emocí a urážlivých injektiv od některých nicků, ale tak už to někdy chodí. Každý si může udělat svůj vlastní názor. if

Taky to tak vidím. A onen neznámý, identitu skrývající v obavě před takzvanou "světoznámou" pomstou autorovou, má evidentně nějaký problém. Tipl bych to na to, že autor randí s holkou, která se tajuplnému neznámému líbí. Odpovídalo by to frenetické frekvenci házení špíny a obsesivnímu vypichování autorových "chyb". A ta kreativita ve vynalézání argumentáčních obchvatů - jo jo, za tím stojí žena...:D:D:D

Ale pobavil jsem se hezky:)