IA
Коллеги, а префикс-фильтр на стороне RS есть? Есть процедура "добавления" подсетей кроме тупо анонса?
Вадим, а можно узнать у вас конкретнее. О каком рс идет речь и о каком участнике?
Size: a a a
2021 January 20
VR
да о мне. Я перед тем, как заанонсить новую сеть спросил
IA
в норме, вы можете анонсировать что угодно в пределах префикс фильтра, который строится на основе указанного вами и прописанного вам ассета или aut-num объекта
IA
бывают фильтры типа any, но если вы анонсите без проблем что-то типа 8.8.8/24 со своим ориджном и рс не откидывает, то это конечно баг
IA
и трабл
D
в норме, вы можете анонсировать что угодно в пределах префикс фильтра, который строится на основе указанного вами и прописанного вам ассета или aut-num объекта
Но если кто-то добавит в свой as-set что-то ещё лишнее случайно, то кто-то сможет объявить случайно чужие сети.
IA
и таким образом затранзитить трафик в их через себя. с одной стороны зачем это кому-то может понадобится, а с другой это уязвимость ипочему не ввести защиту заранее. я честно говоря вообще не думал про такой расклад.
IA
но хотя непонятно как тогда осуществлять процедуру валидации. типа в ассете Х не может содержатся автономки Y , потому что Х явно до этого не дорос? ИЛи может какое-то более простое решение у вас есть?
VK
но хотя непонятно как тогда осуществлять процедуру валидации. типа в ассете Х не может содержатся автономки Y , потому что Х явно до этого не дорос? ИЛи может какое-то более простое решение у вас есть?
bgpq3
IA
😊 нет, тут идет речь о том, что bgpq3 генерит префикс-фильтр на основе ассета. А неразумный участник может случайно или намеренно добавить в свой ассет чужую ас/ассет и таким образом затранзитить его трафик при определенных условиях
IA
и такая свобода несколько настораживает участников. они удивлены что нет никакой дополнительной процедуры согласования нового маршрута
IA
может имеет смысл сделать вот что. прикрутить RPKI чтобы если кто-то анонсит чужое, то лишь по причине своей ошибки, а не по причине злобного хайджека
VK
😊 нет, тут идет речь о том, что bgpq3 генерит префикс-фильтр на основе ассета. А неразумный участник может случайно или намеренно добавить в свой ассет чужую ас/ассет и таким образом затранзитить его трафик при определенных условиях
а, пардон, согласен, это другая тема.
знаю разве что многие мелкие операторы неоднокрано включали в свой ассет большие сети, типа Белтелекома, например.
ну это закрывалось банальной генерацией префикс листа по крону через bgpq3 и мониторинг столь резкого роста записей в префикс-листах (в тысячи раз), которые карантинились и уже вручную обрабатывались человеком
знаю разве что многие мелкие операторы неоднокрано включали в свой ассет большие сети, типа Белтелекома, например.
ну это закрывалось банальной генерацией префикс листа по крону через bgpq3 и мониторинг столь резкого роста записей в префикс-листах (в тысячи раз), которые карантинились и уже вручную обрабатывались человеком
IA
у нас защита чуть тупее, макс преф
VK
ну это пока)
VK
бывают фильтры типа any, но если вы анонсите без проблем что-то типа 8.8.8/24 со своим ориджном и рс не откидывает, то это конечно баг
ну и пусть не откидывает) 8.8.8/24 пусть и появится - все равно ни у кого не выведется как best из-за более длинного as-path)
VK
это норма вообще - дальше чисто мониторинг роут ликов и устранение оных
VK
ну и пусть не откидывает) 8.8.8/24 пусть и появится - все равно ни у кого не выведется как best из-за более длинного as-path)
ну это если вы 8.8.8/24 не примете с origin-as злоумышленника )
IA
эни это редкость, для хе.нет например
AA
может имеет смысл сделать вот что. прикрутить RPKI чтобы если кто-то анонсит чужое, то лишь по причине своей ошибки, а не по причине злобного хайджека
и заставить всех участников включить настроить RPKI )