[grnog] RPKI (was: Re: BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...)

Wed Apr 25 12:51:09 CEST 2018

On 25/04/18 13:25, Spyros Kakaroukas wrote:
>
> Σχετικά με το RPKI, αν και θα έλυνε αρκετά θέματα, θεωρώ ότι απαιτεί 
> μεγάλο ποσοστό υλοποίησης για να λειτουργήσει. Συνεπώς, μου φαντάζει 
> λίγο ουτοπικό.
>
Ανοίγω ξεχωριστό thread:

Για το RPKI υπάρχουν δύο (ανεξάρτητα) πράγματα που πρέπει να κάνεις:

ΒΗΜΑ 1: Να δημιουργήσεις τα ROA objects σου. Αυτό είναι πιο απλό και από 
τον να φτιάξεις route objects, κυριολεκτικά 5 λεπτά δουλειά. Έχοντας 
κάνει αυτό το βήμα, (α) παίρνεις alerts σε περίπτωση που γίνει hijack 
χώρος σου και (β) αν γίνει hijack χώρος σου, όποιος έχει υλοποιήσει rpki 
στο δίκτυό του (ΒΗΜΑ 2), έχει μια ελπίδα να δρομολογήσει σωστά κίνηση 
προς τον πελάτη σου. ΑΡΑ ΜΕ ΤΟ ΒΗΜΑ 1 ΕΧΕΙΣ 2 ΣΗΜΑΝΤΙΚΑ ΟΦΕΛΗ ΜΕ 5 ΛΕΠΤΑ 
ΑΠΟ ΤΟΝ ΧΡΟΝΟ ΣΟΥ. Το γράφω με κεφαλαία γιατί μου είναι αδιανόητο ότι ο 
κόσμος ΔΕΝ το κάνει. Πραγματικά θα ήθελα να ακούσω γιατί (ναι, κάποια 
συγκεκριμένα ROA, πχ για ERX χώρο, ίσως να έχουν κάποιες δυσκολίες, αλλά 
τα περισσότερα είναι πολύ εύκολα. Έστω αυτά).

ΒΗΜΑ 2: Ενεργοποιείς RPKI στο δίκτυό σου. Χρειάζεται να στήσεις δύο 
validators (δυο για redundancy), οι οποίοι εκτελούν τις "βαριές" πράξεις 
της αποκρυπτογράφησης και μιλάνε με τους routers σου. Το στήσιμο των 
παραπάνω servers είναι εξαιρετικά απλό. Έπειτα συνδέεις τους routers σου 
με τους παραπάνω servers ώστε να παίρνουν τα valid prefixes. Τέλος, 
προσαρμόζεις την πολιτική σου ώστε να κάνουν drop τα Invalid (ή και τα 
unknown) ή έστω να τα χειρίζονται με χειρότερη προτεραιότητα. Επειδή 
ακόμα το RPKI έχει μικρό adoption, τα hard actions (drop) μάλλον δεν 
είναι καλή ιδέα, αλλά ο χειρισμός με χειρότερη προτεραιότητα είναι μια 
χαρά. Για παράδειγμα, αν η πολιτική σου ήταν:
Upstreams - Local Pref 200
IX - Local Pref 210
Customers - Local Pref 220

Την προσαρμόζεις σε:

Upstreams && Valid - Local Pref 300
IX && Valid - Local Pref 310
Customers && Valid - Local Pref 320

Upstreams && Unknown - Local Pref 200
IX && Unknown - Local Pref 210
Customers && Unknown Local Pref 220

Upstreams && Invalid - Local Pref 100
IX && Invalid - Local Pref 110
Customers && Invalid Local Pref 120

Mε αυτό τον τρόπο, αν πχ κάποιο prefix που έχει ROA γίνει hijack 
(invalid) από κάποιο δίκτυο πίσω από κάποιο peer στο ΙΧ ή από πίσω από 
τον ένα εκ των δύο upstream, το valid prefix που θα πάρεις από τον άλλο 
upstream (valid) θα προτιμηθεί.

Είναι αρκετά απλό στην υλοποίηση. Περισσότερα εδώ
https://www.grnog.gr/wp-content/uploads/sites/7/2015/12/2.%CE%91.%CE%A0%CE%BF%CE%BB%CF%85%CF%81%CE%AC%CE%BA%CE%B7%CF%82.pdf

Αν υπάρχει ενδιαφέρον μπορούμε να κάνουμε ένα μικρό hackαθλον 
ενεργοποίησης RPKI (έστω το βήμα 1).

Ανδρέας

-- 
Andreas Polyrakis
GR-IX Manager // GRNET NOC Technical Manager
GRNET - Networking Research and Education
7, Kifisias Av., 115 23, Athens
t: +30 210 7474249 | c: +30 697 2832 445 | f: +30 210 7474490

Follow us: www.grnet.gr
Twitter: @grnet_gr | Facebook: @grnet.gr
LinkedIn: grnet | YouTube: GRNET EDET

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180425/2a87abed/attachment.html>