Хабрахабр

ENOG’15: «Почему Интернет до сих пор онлайн?»

Это — одновременно транскрипция и частичный перевод часовой сессии под названием «Почему Интернет до сих пор онлайн?» с пятнадцатой встречи «Евразийской группы сетевых операторов». Здравствуй, Хабр!

Леви, Cloudflare; Александра Азимова, Qrator Labs и модератора Алексея Учакина из команды подкаста LinkmeUp за разрешение опубликовать данный текст. Qrator Labs благодарит всех участников обсуждения: Алексея Семеняку, RIPE NCC; Игнаса Багдонаса, Equinix; Мартина Дж.

Видео в конце публикации. В данном обсуждении участвуют сетевые инженеры-исследователи, поэтому разговор идет в основном о междоменной маршрутизации. Приятного прочтения.

Алексей Учакин: Всем привет, меня зовут Алексей, команда LinkmeUp — первый подкаст для связистов. За меня, на самом деле, коллега из Qrator Labs очень много рассказал о том, как защищаться от спуфинга, но я хотел бы поговорить, на самом деле, более широко. Потому что интернет – это штука безусловно децентрализованная и создавалась, в том числе, для того, чтобы выжить после ядерного взрыва, но, как показывает практика, обладая дешевым оборудованием и не имея прав на настройку BGP, можно это все очень успешно поломать. Поэтому я хотел сегодня вместе с экспертами обсудить, как от этого защищаться, как это мониторить и что со всем этим делать.

Леви — Cloudflare. Сегодня участвуют: Александр Азимов — Qrator Labs, Алекс Семеняка — RIPE NCC, Игнас Багдонас — Equinix и Мартин Дж. Есть ли какая-нибудь оценка того, как сейчас с этим дело обстоит? Собственно, коллеги, первое, с чего хотелось бы начать, первый вопрос: насколько сейчас интернет защищен от того, что условно маленький региональный оператор начнет вдруг анонсировать префиксы условного Google, Яндекс или кого-либо.

К сожалению, крупные операторы, в том числе в России, имеют исключения, т.е. Александр Азимов: Ну, давайте тогда я начну эту грустную историю, потому что она реально грустная. Я не хочу тыкать пальцем в весь крупный операторский рынок России, но значимая часть тех, кого мы считаем Тier-1 операторами, имеет такие исключения. они иногда настраивают фильтры, а иногда — нет. Собственно, мы наблюдали, как в прошлом году протекала Корбина, как протекал Вымпелком. В результате те, для кого эти исключения реализованы, имеют возможность проанонсировать все, что угодно, и такое уже было. Есть те, кому гром еще не грянул, но потенциал есть.

Алексей Учакин: То есть сейчас все совсем плохо, да?

Ну, что значит плохо? Алексей Семеняка: Так, давайте не нагнетать градус саспенса — это, наверное, немножечко лишнее. Саша совершенно справедливо сказал: кто-то фильтрует, кто-то не фильтрует, т.е. Да, есть дырки. Все-таки здесь давайте начнем с того, что интернет строился на принципах, скажем так, взаимопонимания, и в достаточной степени он до сих пор на этих принципах существует. все на таком уровне. Когда в интернете появляется какая-то подобная вещь, все остальные как-то на все это дело реагируют, примерно так. Предполагается, что это не только техническая конструкция, но это еще и какие-то компании, в которых работают какие-то люди, которые совершают какие-то осознанные действия. Замечательная история о доверии — когда все доверяли Google, а он взял и оставил Японию… ну, короче, не очень с интернетом. Хотя, действительно, аварии случаются регулярно. Я бы предпочел говорить о технической стороне, а не о формулировках: все ли хорошо / все ли плохо. История опять-таки прошлого года, но это прекрасный пример. Ну, то есть это слишком как-то непрофессиональный подход.

Говоря про технику, сейчас в рамках IETF при посильном участии Qrator Labs, в том числе, но и не только, тема BGP security активно двигается. Александр Азимов: Хорошо, ладно, продолжая этот непрофессиональный подход, я бы задал вопрос — может ли сеть коллективного доверия не стать сетью коллективных проблем, когда объектов стало 55 000. Чтобы они имели меньше возможности убить себя и окружающих. Есть надежда, что ситуация станет лучше именно с технической точки зрения, что даст залатать значимую часть дыр в протоколе BGP и сделать его более безопасным, прежде всего для новичков.

Алексей Учакин: Выдавать права на настройку BGP все же нужно?

Алексей Семеняка: Я думаю, что Игнасу есть, что сказать.

Игнас Багдонас: У меня бы, я бы сказал, что есть 2 разные части проблемы или 2 группы проблем.

Жирные, толстые пальцы — что-то подобное. Одна – это те самые лики и прочие дела, которые появляются в результате ошибки, неумышленной ошибки. Если наши данные испорчены или некорректны, это будет то же самое, только намного эффективнее. С одной стороны мы движемся в сторону автоматизирования и это как бы, можно сказать, что это будет решение, но все системы автоматизирования работают на данных.

Это операционная гигиена, которая дает результат только, когда все участники, или большинство участников в этом участвуют и делают это более или менее корректно. Другая группа – это специфические умышленные атаки, и с моей точки зрения большинство этих атак осуществляется, и они являются успешными, только из-за того, что во всей сети есть довольно большой уровень, скажем прямо — бардака. Вы здесь, в этой комнате, вы знаете, что такое фильтрование, знаете, как это работает, но вы ведь представляете малую часть тех людей, которые занимаются технической работой и поддержкой, и нельзя из этого делать вывод, что у всех уровень понимания такой же. Это вопрос образования. Они это делают и получают счастье, только в процессе этого, они делают урон другим, не нарочно и не понимая это. Конечно, есть такие ситуации, где кто-то прочитал в документации у какого-то вендора, что вот набейте команду и будет вам счастье. Я вижу, что это двигается в хорошую сторону, но это не быстрый процесс. Вопрос обучения — он действительно важен в этой ситуации.

Есть такой наглядный пример, который касается нашей организации RIPE NCC, мы ведем, как вы понимаете и хорошо знаете, базу данных RIPE DB. Алексей Семеняка: Небольшое замечание по поводу образования — образование действительно совершенно критическая вещь здесь и ровно так же, как в части тех проблем, которые мы обсуждали после Сашиного доклада, только что. Сейчас это категорически не так — есть организации, которые на свой страх и риск это делают, но достаточно многие жалуются на то, что если просто верить тому, что написано в RIPE DB, то получается отстреливание ноги себе. У нас там есть раутинговые объекты, я хорошо помню время, это было недавно – 20 лет назад – когда правилом хорошего тона было строить фильтры по RIPE DB. нету прав, это вы нам не дали таких прав, вы нам не сказали: «пожалуйста, следите, чтобы там было написано что-то корректное». Мы только ведем, мы технические операторы RIPE DB, мы не можем заставить писать вас правду, т.е. Да, это проблема масштабирования и проблема образования, наложенные друг на друга. И вы, собственно, уважаемые участники, туда пишете всякую чушь регулярно. Нет, это просто, действительно, бардак. Не потому, что вы глупые или не потому, что у вас не хватает образования в части протокола BGP. Это действительно проблема образования, но не в том смысле проблема образования, что кто-то мог сделать и не сделать, это действительно не понятно, как делать в контексте растущего интернета, растущего числа участников и т.д. У вас не доходят руки до этого, у вас нет времени с этим разобраться, вы не понимаете, зачем это нужно, и образовывать сильно растущее число участников, это действительно очень большой вызов, который, на самом деле, эффективно на нынешний момент, на мой взгляд, не решается. Это более или менее системная проблема. и т.д. Мартин?

У меня уже седые волосы, видите? Мартин Леви: Вы немного сбили меня с изначальной темы — я сначала вернусь назад. И в качестве основы всего интернета у нас есть протоколы, которые были созданы задолго до того как он приобрёл свои современные масштабы. Это потому что я занимаюсь сетями уже очень долго. Неважно кто это был, важно сколько людей это знает и важно, что вы знаете. Кто из присутствующих знает, кто первым стал предлагать подключение к интернету в России? А кто из присутствующих управляет ASN и не знает меня или не знает других людей, поднявших руки? И если вам нужно было поднять телефон и позвонить куда-то — вы знали, кому звонить. И все, о чем мы говорили и на предыдущих ENOG’ах, и 10 минут назад или на других конференциях — об одном. Протокол просто не поспевает за таким темпом роста. Потому что одна из наиболее удивительных вещей, касающаяся интернета и протоколов — это то, что они выходят из процесса происходящего не на 100%, но в основном внутри IETF. О том, как же догнать темп роста.

Созданы они были тем типом людей, что находится сегодня здесь — и эти вещи работают. Существует такая фраза, как «permissionless innovation» (инновации без разрешения) — существующие протоколы «не спрашивали разрешения» у операторов связи или интернет-провайдеров. Вещи философского порядка, а я бы хотел оставаться приземленным. Многое из того, что вы здесь говорили — о том как догнать прогресс, или чего не хватает, или на чем нам всем необходимо согласиться. Я объясню: единственный способ, которым работает современный интернет — это поддержка этих баз данных маршрутов, которые мы лениво, я повторю еще раз — лениво используем для того, чтобы кто-то не мог помешать нормальной связности другого. И в этот момент я вынужден сказать, что вы неправы. И хотя раут лик и продолжался всего 30 или 40 секунд — в твиттере и остальных социальных сетях он продолжался в течение нескольких дней. Сегодня во время обеда мы обсуждали: я владелец сети, которой кто-то пытался манипулировать не далее, чем 5 дней назад. Так дайте я объясню, где по моему мнению вы были неправы и почему я так среагировал. Так что я испытываю самый настоящий ангажированный интерес в том, чтобы убедить вас и всех остальных, присутствующих, в том, что это очень важная тема. Потому что конкретно в этом окружении «без разрешения» не очень работает. Кто-то в определенный момент должен быть ответственен за то, чтобы быть владельцем именно таких данных, которые позволят утверждать о легитимном или нелегитимном анонсе. Кто-то должен встать и сказать: «Хватит. И так как вы являетесь RIR-участником данного обсуждения, я откатываюсь назад к вам и спрашиваю: «Вам сложно поддерживать IRR в чистом и корректном состоянии?» Всем сложно. Вторая часть моего ответа заключается в том, что кому-то из присутствующих придется начать этот процесс и сейчас я выберу вас, как RIR’а, для этой задачи. Я найду способы починить это и сделать лучше». Давайте посмотрим, куда дальше пойдет данное обсуждение.

Я не говорил, что наши данные – абсолютная чушь, я говорил про то, что достаточно много случаев, когда там написана чушь. Алексей Семеняка: Во-первых, я не могу согласиться с несогласием потому, что это никоим образом не противоречит тому, что я говорил. Раутинговая часть базы данных — достаточно важная часть, все-таки как-то она работает. К счастью, далеко не всегда. Или практически всегда это работает — эти записи, актуальные для точек обмена трафика, потому что точки обмена трафика очень внимательно следят за тем, что написано в их базе данных. Особенно там, где есть enforcement — особенно прекрасно работает поддержание актуальности этих данных, особенно прекрасно, если речь идет об ответственном операторе, который работает со своими даунлинками. Бардак там есть — бардак, к сожалению, не точечный, он более или менее распределен, но, к счастью, это проблема, а не катастрофа. Скажем так, в массе своей. Я абсолютно согласен, что надо бы заняться этим делом. Мартин, я прошу прощения, скажем так, это украденное продолжение разговора. Но я все-таки договорю. Вот Саша как раз хочет забрать у меня микрофон и сказать, что он именно тот человек, который этим займется, я правильно понял? Все верно, но в интернет сообществе, как мы понимаем давление со стороны RIR не работает. Другой Саша из зала подсказывает, что есть еще кое-кто. Работает обсуждение, работает кристаллизация проблемы, работает создание, собственно говоря, осознания. Если RIR начинает просто давить на участников и говорить: «Так, а ну-ка быстро все построились и пошли строем» — ничего не произойдет. У нас действительно есть система, которая позволяет следить за тем, как чего происходит — и мы готовы продвигать эту проблему, но мы не можем заменить сообщество. Это та же самая часть образования, в каком-то смысле, и когда она пройдена, появляются те самые люди, с которыми можно работать и которым мы, как RIR, будем всячески содействовать. Мы можем работать с сообществом — это мы можем, будем и готовы, но мы не можем заменить сообщество — мы не можем создать тех, кто будет это делать.

Обычно, когда вы добавляете номер автономной системы в свой SET, если вы транзит, вы это делаете с какой целью? Александр Азимов: Давайте чуть-чуть вернемся назад — нужно же найти все-таки корень зла, и попробуем доказать, что это RIR. Не для того, чтобы их защитить завтра или чтобы у них все хорошо работало, а чтобы вышестоящие тоже добавили их префикс в SET, и чтобы дальше все работало. Для того, чтобы оказывать им сервис. Поднимите, пожалуйста, руку те, кто этого не делает, или делает редко? А как часто вы удаляете из своего SET то, что туда было добавлено ранее? (вопрос из зала: «Совсем редко?») Да, от случая к случаю. (поднимает руку) Я буду здесь честен. Этот механизм разрабатывался для другой цели. По сути, возлагая на AS-SET’ы защиту от ликов, хайджеков, мы все перепутали, на самом деле. В данном случае, по сути происходит делегирование безопасности, поскольку ваш номер вообще может добавить кто-угодно, другим игрокам. Они связаны, но юзкейс у него другой. И больше ни от кого. И структурно исправить протокол BGP можно собственно только если, отвечая на то, что говорил Мартин, это только в том случае, если ваша безопасность будет зависеть только от ваших действий. Собственно, на мой взгляд, именно в эту сторону должен развиваться протокол и его изменение.

Если помойка внутри, то помойка и снаружи. Мартин Леви: Протокол – он зависит только от данных. Дрянь внутрь, дрянь наружу, это все.

Проблема в том, что мусор всегда можно создать, но я хочу жить в ситуации, когда мусор для своих сетей могу создать только я сам. Александр Азимов: Я запутался. Ситуация, когда мусор для моей сети создают другие игроки – она тупиковая. Я буду ответственен за создание мусора. И, обратно, я хочу быть ответственен за безопасность моей сети.

Давайте тогда попробуем что-то новое и с другой стороны подойдем к этому вопросу. Мартин Леви: Я согласен с этим, понимаю, хорошо. А оно туда приходит — то, чего я не просил, то, что прошло через многих игроков и не имеет для меня никакой ценности. Куда я могу послать счет или запрос на предоплату, когда что-то приходит в мою сеть? Это в какой-то степени риторический вопрос, потому что мы знаем, что это не может существовать. Я могу сам послать очень много запросов на оплату, как я обработаю весь этот объем? Мы все в одной лодке сейчас именно из-за ограниченного количества и качества фильтров. Но в то же время, это отличный аргумент против этого. Мы можем также можем обсуждать это не с точки зрения данных, но и управления (имеется в виду data plane/control plane) или с точки зрения качества BGP маршрутизации и поговорить о чрезмерной деагрегации — но это другой разговор. И это достаточно большое количество трафика, который мог бы и не существовать.

Но у нас есть RIPE DB, у нас есть база данных других LIR’ов и мы даем честное пионерское, что мы будем себя хорошо вести и будем писать туда правильные данные. Алексей Учакин: Хорошо, это другой вопрос. Может ли нам в этом как-то помочь BGPSec c RPKI или что-то такое? А как защищаться от спуфинга — от того, что мы можем заанонсить чужой номер автономки и с теми же адресами, валидными для этой автономки, но для каких-то своих целей.

Александр Азимов: BGPSec нам помочь ничем не может, извините.

Алексей Учакин: То есть будет, как с DNSSec, что идея хорошая, но никто не применяет?

Вот, кто у нас отвечает за будущее, мы то про настоящее. Алексей Семеняка: Я думаю, что про BGPSec мы должны спрашивать у представителя будущего, то есть у Игнаса. Я не говорю про железо — пока что ни один вендор в roadmap не добавил. BGPSec’а сейчас нет в планах по поддержке ни у одного вендора. В идеальном мире, представим себе, что у нас есть RPKI, есть абсолютно точная база данных, и все валидируют всё — все проверяют RPKI, и все проверяют соответствие того, что приходит тому, что они видят в базе данных. Мы, люди, которые более или менее к настоящему имеют отношение BGPSec, наверное, затруднимся обсуждать. Я сомневаюсь, что это был вопрос — но согласен, что в идеальном мире все будет работать. Тогда все будет работать.

Алексей Учакин: А если не в идеальном?

Алексей Семеняка: А если в реальности, то не будет.

Алексей Учакин: А зачем тогда вообще RPKI?

Но до тех пор пока этот момент не наступит будет много темноты, бардака и прочих других дел. Игнас Багдонас: Я, как смотрящий на будущее, отвечу коротко: «Будущее будет светлое». Совсем ничего плохого, говоря об академической общественности, BGPSec, по большей части – это академический эксперимент. BGPSec и прочие связанные с ним дела? Очень простой аспект: если, допустим, были сделаны тесты производительности, простого performance, как быстро работает валидирование. Да, он выглядит как бы полно, теоретически может работать и теоретически может решать те проблемы, которые на него накладывались, но если мы смотрим с практической стороны, то все выглядит немного иначе. У меня займет намного больше времени, пока я завалидирую все, и за это время половина всего уже поменяется несколько раз. Если я могу валидировать 50 префикс-апдейтов в секунду, я получаю full feed. Нужен ли он нам? Да, это почти идеальный все разрешающий механизм. С другой стороны, если бы у нас был механизм, который бы решал хотя бы 80% всего, ну хорошо, 85%, ну хоть 85,5% проблем тех, которые у нас есть практических, но не работал в некоторых сложных и исключительных случаях. Наверное. Если говорить со стороны вендоров, то у них ответ очень простым: «А вы готовы платить столько, сколько это будет стоить, когда мы это сделаем, как продукт?» И ответ из тех же самых операторов очень неочевиден. Я думаю, что такой механизм и подход был бы намного более практичным, и вендоры это все бы реализовали и это все бы использовалось. «Даже и не думайте об этом — это ваша проблема, вы и реализуйте это, мы будем покупать вашу платформу, а то, что она делает — зачем же нам платить что-то? Я слышал, кто-то сказал «да» в зале, но многие говорят «конечно нет». Получается замкнутый круг. Мы просто думаем, что это это должно быть и все». У нас есть базы данных — в них мусор. Да, у нас есть все протоколы, вся механика и прочие другие дела. И даже если это может работать, с теми данными, которые есть в системе, опять никакого позитивного результата не будет. Если мы все это складываем, то решение оно как бы и есть, но оно не может работать чисто технически, когда все компоненты связаны вместе. Да, IETF и другие организации больше десятилетия работали над BGPSec и получается так, что много людей отдали много времени и сил, а получился какой-то полуфабрикат, если можно так сказать, который как бы работает, но его нельзя использовать. Это вот такой цикл и не очень очевидно, как из этого выйти. Пробовать довести BGPSec до ума, практического ума или просто сказать, что да, это была ошибка/победа, зависит от вашей точки зрения, все это выбросить и сделать все заново. Что делать сейчас?

Мартин Леви: Если брать в расчет 50 секунд, которые вы назвали, то получится порядка 4-5 часов для валидации полной таблицы, что просто неприемлемо, если вы оператор.

Это данные, которые были получены на IETF — там проводились тесты производительности BGPSec на современном оборудовании. Игнас Багдонас: Да-да.

Был вопрос, который не получил ответа. Алексей Семеняка: Современном оборудовании! Абсолютно согласен с тем, что сказал Игнас про то, что если можно отфильтровать большое количество каких-то простых случаев – это очень полезно сделать. Я коротко скажу. Работают практические подходы. Искать серебряную пулю – это не метод в индустрии, так не работает. Это история отфильтровать случаи, которые вызваны синдромом толстых пальцев. История про RPKI – это ровно эта история. Но в подавляющем большинстве случаев и слева, и справа от меня сидят люди, которые это меряют, которые знают цифры. Конечно, обойти защиту RPKI злоумышленнику не стоит, приблизительно, ничего. Количество тех инцидентов, которое мы видим в протоколе BGP и которое вызвано синдромом «толстых пальцев» — оно огромно. Я сейчас передам Саше Азимову микрофон, Мартин, я думаю, тоже прокомментирует это. Собственно говоря, именно такой подход лежал в основе RPKI — это не серебряная пуля и не попытка защитить целостность от злоумышленника, т.е. Если возможно его уменьшить, то это нужно делать. Но, в любом случае, если у вас для поиска чего-то, какой-то улики, нужно разгрести целый мусорный контейнер или небольшую коробочку, то второй случай намного проще. человека, который пытается что-то специально сделать. Атрибуция каких-то раутинговых атак началась совсем недавно. Это, в том числе, может помочь и в выявлении тех случаев, когда что-то делается умышленно, если, все-таки, количество неумышленных случаев у нас будет уменьшаться, потому что в нынешней куче их очень сложно увидеть. Когда было понятно, что да, это была раутинговая атака, которая была проведена действительно злоумышленниками и они получили то-то и то-то. Я уверен, что они были раньше, но каких-то доказанных случаев атрибуции, они достаточно новые. За последние годы таких случаев уже n-ое количество, а раньше это было только на уровне подозрений, по большей части.

В последнее время меня стали обвинять, что у меня очень депрессивный взгляд на BGP. Александр Азимов: Я сейчас продолжу то, что говорил Алексей и Мартин. Однако, в этом году произошло событие, которое, на мой взгляд, для индустрии будет весьма и весьма значимым. Отчасти, наверное, это правда. Почему это важно? На протяжение многих лет шли попытки запустить ROA validation, то, что мы называем RPKI, массово. Это решает проблему той самой утечки статики, что происходит постоянно. Потому что это не может решить проблему ликов, не может решить проблему malicious activity — это решает всего лишь проблему accidental hijacks. А это способ борьбы. То, что было в России не так давно, то, что сейчас зацепило Cloudflare с их DNS service, к счастью, ненадолго. Проблема не только в том, что возникает аномалия, а в том, что она распространяется. И хорошая новость не в том, что сам RPKI выпустился уже достаточно давно. И, собственно, наконец хорошая новость – крупные европейские IX’ы, такие как MSK-IX, включая DEC-IX, включая AMS-IX в ближайшее время собираются начать дропать инвалидные маршруты, согласно ROA. Если аномалия распространяться не будет, уровень беды снизится драматически. Это значит, что если вы подпишете свое адресное пространство, то есть подумаете о собственной безопасности, вы увеличите шансы, что в следующий раз, когда где-то произойдет аномалия, она не утащит весь или значимый процент вашего трафика, а возможно будет локализована. Что это значит? Сегодня с Алексеем Семенякой после этой секции мы будем делать work shop и постараемся помочь тем, у кого возникают технические вопросы, как это сделать. Поэтому я настоятельно рекомендую вам подписать свое адресное пространство — это не сложно. На самом деле, RIPE проделал шикарную работу и сделать это очень-очень просто, у меня это заняло 10 минут. Да, мы здесь будем работать исключительно для региона RIPE. Думаю, что вы справитесь быстрее.

Если у вас нет доступа в ваш LIR-портал — сожалею. Алексей Семеняка: В любом случае, workshop для тех, кто может зайти в LIR-портал. Для тех, у кого есть доступ в LIR-портал — это возможность сделать это прямо сегодня, сейчас, здесь. Вы тоже можете прийти, но тогда вам придется только понаблюдать из-за плеча, к сожалению.

Обновление для вас — AMS-IX теперь на 100% фильтрует анонсы по данным RPKI, две недели как. Мартин Леви: Мне не остается ничего, кроме как поддержать — это правильное направление. Можно сделать это по примеру AMS-IX — сначала софтово собрать и проанализировать данные, а после уже воплотить фильтрацию в железе на данных RPKI и RIR. Об этом также должны узнать все IX-операторы, те кто поддерживает базу маршрутов в своей IX.

Одно дело говорить, что они только будут, а другое, когда это уже началось. Александр Азимов: Это просто замечательная новость! Соответственно вслед за IX’ами, после того, как будут совершены первые ошибки, начнут подтягиваться транзиты — очень хочется в это верить. Здесь еще существенный момент, что вместе с началом активного использования, появляется опыт операционного использования ROA validation.

Вы пригласили людей на обучение и сказали, что это легко. Мартин Леви: И это ключевой пункт. Для каждой сети в этом регионе, которая использует транзитных провайдеров, которые каким-то способом имеют пиринг в других городах в Европе, таких как Амстердам, Франкфурт или Лондон… я буду говорить сейчас об Амстердаме, потому что считаю, что любая крупная сеть соединяется с Амстердамом в какой-то точке. Давайте я покажу и другую сторону. Именно поэтому вы не получите оптимальный путь трафика. Если такая сеть не имеет валидной IRR-записи или, что может быть еще важнее — RPKI-записи, то маршрут не пройдёт через route-сервер. Кто-то здесь в аудитории может, наверное, сказать «когда». Сегодня вы можете пойти через Франкфурт, но это скоро изменится. Даже если у нас появляется только одна дополнительная точка, мы можем уже сказать, что это тренд. Может быть трафик пойдет через Лондон, Варшаву — это уже тренд. Надеюсь, что в будущем это продолжится, однако мотивация сказать: «Эй, это просто, приходите и мы покажем» – это одно. И, таким образом, получить точные данные по маршрутам в интересах такой сети гораздо больше сейчас, чем это было 2 недели назад. На мой взгляд, будет лучше если вы скажете: «Если вы не придете на мастер-класс, ваша сеть не будет работать достаточно эффективно».

Боюсь, Мартин эту шутку не поймет, но когда у нас морковка и спереди, и сзади. Александр Азимов: И вообще, всегда хорошо, когда у нас есть мотивация. В нашем регионе это работает особенно хорошо.

BGP-протокол, он же изначально trust-based и, изначально, он так быстро вырос, собственно, в том числе потому, что протокол основан на доверии друг другу, что члены сообщества друг другу доверяют. Алексей Учакин: Хорошо, тогда такой вопрос: я правильно понимаю, что в основном тот же RPKI и ROA validation и все прочее – это уже такая неотвратимая штука? Не будет ли это тормозом в развитие интернета вообще или это прям необходимость-необходимость, которую уже давно пора? И сейчас мы говорим о вещах, которые в общем то ограничивают свободу, можно так сказать.

Алексей Семеняка: Ну скажи, а дверные замки сильно ограничивают людей от того, чтобы ходить друг к другу в гости?

Алексей Учакин: Не, ну я понимаю.

Про механизмы, которые никак не мешают людям, которые ведут нормальную активность, строить сети. Алексей Семеняка: Ну вот это вот ровно то, о чем мы говорим. BGPSec и то, что говорил Игнас — в будущем, а для настоящего это слишком тяжелая технология. То, что мы обсуждаем – это достаточно дешевые технологии. Да, чтобы пойти в гости нам нужно, во-первых, вот здесь выйти, то есть открыть замок, закрыть замок, прийти, позвонить в замок — там нам откроют, потом за нами закроют. То, что мы сейчас обсуждаем – это дешевые технологии, которые аналогичны дверному замку. Насчет неотвратимости – хотелось бы верить. Это дешево по сравнению со всей историей похода, да? У него, как у представителя DE-CIX хотелось бы узнать, есть какие-нибудь планы? Прошу прощения, Арно Днипер, он сейчас в аудитории, или он отлучился? Ну, MSK-IX, они здесь точно есть. Нет? MSK-IX скажите, у вас есть планы ввести валидацию?

Мы хотим сделать инструментарий, который сразу же с ними проводил бы разъяснительную работу, как сейчас у нас ведется по любым ошибкам, которые мы встречаем в route-объектах. Александр Ильин, технический Директор MSK-IX: Мы эксперименты эти ведем уже с прошлого года, просто у нас задача все это корректно отработать не только с точки зрения валидации, но и что делать с теми, кто либо неправильно подписал, либо не подписал вообще. В частности, на днях мы даже обнаружили петлю в описание AS-SET у участников, то есть такие вещи достаточно важные. Если сейчас какое-то несоответствие, то сразу автоматически высылается письмо с просьбой это дело исправить. Это, на мой взгляд, не менее важно, чем валидировать — еще и вести разъяснительную работу с теми, кто не делает, или делает неправильно.

Спасибо большое. Алексей Семеняка: Как раз вопрос о точности информации в RIPE DB. За счет, в частности, вот этих механизмов, которые есть локально — они сильно помогают точности раутинговых частей баз данных RIR. Вот мы наблюдаем историю, когда есть кому контролировать, там, где контролируется — там точность как-то обеспечивается. На мой взгляд, по поводу «насколько это неизбежно» — я думаю, что проникновение будет увеличиваться, но ожидать, что в ближайшие 1-3 года у нас эта технология получит проникновение близкое к 100%, это очень наивно. Да, подход здесь, конечно, должен быть системнее, на мой взгляд.

Могу сказать только хорошее по поводу MSK-IX. Мартин Леви: Да, близко к 100% — маловероятно, не нужно даже нацеливаться. В реальности, возвращаясь к очень ранним частям разговора, что когда-то было очень легко сети присоединиться к глобальному сообществу, сейчас стало гораздо сложнее. Это трудное путешествие — вы знаете, и я знаю, но если вы не начнете, никогда не увидите, чем этот путь завершится и куда он ведет. когда вы сначала настраивали BGP — это было так легко и, в большинстве случаев, просто проанонсировали и работает, а сейчас мы выросли и вот этот «наивный ребенок» должен вырасти и начать строить уже гораздо более сложные системы. В конце 1990 гг. Если вы, например, как участник IX’а, вы получаете письмо, где вам говорят: «У вас раутинг тут не очень правильный, база путей или настройки RPKI». Биржи обмена трафиком, большими его порциями, являются важными порталами в сеть и одновременно испытанием. Вы видите ошибки или вы видите успех. Очень легко сегодня так сделать. На больших точках обмена трафика это также важно, как и на маленьких — иногда на маленьких, просто вследствие масштаба, куда проще обратиться ко всем участникам обмена. У вас вообще в этом случае неплохие шансы на эффективную коммуникацию с аудиторией. У меня пока не было шанса сказать, что я думаю по поводу BGPSec, но Игнас выразился достаточно полно. Но давайте откатимся чуть-чуть назад и поговорим о технологиях. Поэтому сейчас нам, как сообществу, необходимо прийти к пониманию того, что же станет следующей вещью, которой мы займемся в IETF. Это отличный академический протокол, но как оператор сети, я никогда не стану его использовать — он слишком сложный и построен не для реальных операторов, а как академическое упражнение. RPKI уже десять лет, если считать от первых черновиков — в конце этого года будет 10. Проблема у нас только одна — нехватка времени. Я чуть ранее это уже говорил, возможно в ироничном тоне, сейчас я повторю это уже всерьез: «Это всем нам чего-то стоит», такой подход. Сейчас у нас нет десяти лет для того, чтобы заниматься улучшениями — нам нужно сегодня как-то справляться с проблемами, используя то, что имеется. Это абсолютно реальные убытки, в любой валюте, в любой точке мира — это деньги. Есть стандартные методики подсчета для ecommerce, допустим вы какой-то банк или платежный оператор, вы выходите онлайн и на 5 минут оказываетесь недоступны. Сейчас в ней находятся почти все люди по всему миру, почти все компании в мире. Отсюда и растет наша необходимость, как сообщества сетевых инженеров, к осознанию того, что сегодня интернет это уже не та безобидная игровая площадка, какой она была 30 с небольшим лет назад. А мы, получается, этого делать не хотим. Мы уже не можем вести себя в ней игриво — нужно становится серьезнее, объясняя потребителям, почему что-то отключилось на 5 минут.

Нужно ли это и не является ли это злом? Игнас Багдонас: По поводу 100% и стремлению к 100%. А не получится ли у нас то же самое, что у нас уже есть, еще и аналогично функционирующее? Допустим, мы пробуем решить проблему с BGPSec или сделать новый BGPSec, который решает 100% проблем, которые на него накладываются. Если бы был механизм, который решает большую часть, хорошо 80%, фундаментальных проблем, а то, что остается решается как-то. Совсем не очевидно. А атаки, они были бы более локализованы потенциально с меньшей угрозой, с меньшим вредом и прочим делами. Но, если во всей глобальной сети было бы так, давайте назовем это «критической массой», что большинство игроков в сети делает валидацию, делает фильтрацию — в общем, делают ту операционную гигиену, которую нужно соблюдать — это бы очень сильно снизило шанс возникновения проблем и у тех, кто этим не занимается. Да, 30 лет назад можно было бы заменить BGP на что-то другое, что решает все проблемы. Другой комментарий по поводу изменений в BGP протоколах, архитектурах и прочих делах: теперешний интернет, он слишком большой, чтобы можно было что-то изменить без того, чтобы не сломать все остальное. Во-вторых, сейчас заменить BGP на что-то другое, мне персонально не кажется выполнимым из-за того, что мы слишком сильно полагаемся на BGP. Во-первых, в то время мы не знали, даже не предвидели всех этих проблем.

Мой аплинк работает в Европе, но у него нет никаких объектов в RIPE DB — он не использует ее как альтернативную базу данных. Алексей Учакин: Что делать с теми, у кого нет объектов в RIPE? Что делать с теми, кто RIPE DB по разным причинам не использует?

«Назови и устыди». Мартин Леви: Как по-русски «Name and Shame»? Мы должны использовать сообщество, убедить сообщество, в необходимости улучшений. Потому что это самый простой ответ на это. Возможно это единственный правильный способ движения вперед — озвучить, у кого плохо, а у кого хорошо, и как соответствовать. Это коллективный интернет — ткни пальцем, чтобы кому-то стало стыдно.

Александр Азимов: Встречный вопрос: а ваш вышестоящий оператор, он из европейского региона?

Алексей Учакин: Ну, формально да, но он работает и в Европе, и в Америке.

Или у него нет объектов в RIPE DB? Александр Азимов: Нет, у него нет вообще объектов?

Алексей Учакин: У него есть объект в AS, но нет route objects в RIPE DB.

Александр Азимов: В других базах у него есть объекты?

Алексей Учакин: В RADB.

Александр Азимов: Ну тогда это, на самом деле, не такая драматичная ситуация, как показалось на первый взгляд.

Алексей Учакин: Нет, он просто не использует именно RIPE DB.

Она имеет авторизацию только для участников. Александр Азимов: RIPE DB замечательна тем, что имеет авторизацию. Получается, по сути, та же самая надпись на заборе — создавай объекты какие-угодно, кто-угодно и так далее. Ни для каких внешних сетей авторизации нет. Договорились маркировать их по крайней мере отдельно, чтобы было сразу понятно, что этим объекты, не стоит им так же доверять, как остальным. И это обсуждение идет на встречах RIPE в рамках групп по базам данных: «А что нам делать с foreign объектами?», — продолжается сейчас. И наличие там объектов – ну, хорошо, пусть там будут объекты. А RADB… в ситуации, когда в разных регионах разные регистраторы имеют разные правила того, что есть и чего нет, а есть такой большой и быстрорастущий регион, как LACNIC, где вообще нет route-объектов, RADB — это благо. Уж точно лучше, чем ничего.

Сначала сообщество вырвало микрофон и сказало: «Да вы что, сдурели вообще»? Алексей Семеняка: Вопрос сначала был ко мне, то мне очень приятно видеть ровно то, что является идеальным примером взаимодействия сообщества и RIR. Вообще неплохо было бы задать вопрос, по какой причине те объекты, которые относятся к региону RIPE — почему их нет в RIPE DB. А потом уже я, как RIR, могу взять микрофон и сказать, что: «Да, я совершенно согласен». Это религиозная причина, или из-за чего?

Алексей Учакин: Это как раз из их опыта, что в RIPE DB написано очень много мусора, и они ему просто не доверяют.

они себе не доверяют? Алексей Семеняка: Подождите, т.е.

Алексей Учакин: Нет, они RIPE DB не доверяют.

Алексей Семеняка: Смотрите, позиция «я не пишу ничего в свой объект, потому что не доверяю RIPE DB» — это звучит шизофренически, честное слово.

Алексей Учакин: Не хочу сейчас говорить за другого, но как есть.

Это предмет для дискуссии, но не для всего зала. Алексей Семеняка: Давайте сейчас отложим эту дискуссию, но вообще неплохо было бы сесть, возможно нас позвать, и обсудить всем вместе, как так получается.

Radar, еще кому либо? Алексей Учакин: Еще второй момент: должен ли RIR следить за перехватами, и за правильным использованием объектов в своем регионе, или это задавать нотку BGPMon, Qrator.

Ровно то, что я говорил, мы должны делать то, что нам, собственно говоря, доверили наши члены. Алексей Семеняка: Ну, смотрите. Мы, как RIR, видим, что эта проблема горячая, и мы готовы расширять наши активности в эту сторону. Грубо говоря, то, что мы делаем стоит каких-то денег, эти деньги как-то учитываются членством — мы несем какую-то ответственность. Мы – ваши члены – согласны, что вы будете тратить на это деньги. Здесь требуется, скажем так, прогрев сообщества и какая-то его реакция, со стороны наших рабочих групп, со стороны нашего членства, которые скажут: «Да, ребята, это важный вопрос — давайте вы здесь будете работать больше. И мы готовы. Мы – рабочая группа – готовы создавать под это соответствующие политики». Так не будет работать. Но здесь это не может быть гласом вопиющего в пустыне, не может быть организация RIR, организация 150 человек, RIPE NCC, которая зарегистрирована в нидерландском праве, которая вдруг начинает все делать и у нее получается.

Алексей Учакин: Окей, тогда, в целом, у меня темы закончились, может у кого-то из зала есть вопросы?

Русский язык

Английский язык

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть