[lacnog] secuestro de ruta

Ivan Chapero info en ivanchapero.com.ar
Jue Oct 3 08:56:37 BRT 2013 

Arturo,
interesante. Espero tu comentario para ver si son correctas mis deducciones
al comparar la herramienta con BGPMon:

- Se puede alertar route hijacking. Esto es cierto si la herramienta
analiza varias full-tables (distintos orígenes) y a su vez todas las rutas
disponibles para un mismo prefijo (tanto las "best" como las no instaladas
en la FIB). De no ser así, y analizar solo el best-path, seguramente
intentos de hijacking con prepends queden ocultos a la verificación.

- Se puede alertar anuncios más específicos. Esto esta claro pero tengo que
tener la precaución de crear ROA con longitud de prefijo exacta en vez de
usar rangos generales (ej /19-/24) que dejan abierto el camino a falsos
VALID.

- No se puede analizar man-in-the-middle, o dicho de otra forma, trackear
cambios en los upstreams providers / AS-PATH. Comprendo que no es el fin de
un validador RPKI, simplemente es a modo de machete comparativo.

- No es reactiva. Esto se puede mejorar si se bajan los updates a varios
por día.

La mejor variante para integrar al NMS se me ocurre que es analizar cada
prefijo delegado por LACNIC (y los mas específicos contenidos) y listar
solo las INVALID. De esta manera el script simplemente no hará nada o
tomara estado OK cuando la cadena de salida es vacía y dispararía una
alerta con la salida INVALID como mensaje en el momento que se tenga algo.
Siguiendo tu ejemplo, algo asi:

http://www.labs.lacnic.net/rpkitools/looking_glass/rest/invalid/cidr/
200.7.84.0/23/

Gracias por compartir la utilidad.


El 2 de octubre de 2013 23:31, Arturo Servin <aservin en lacnic.net> escribió:

>
>         Esta http://www.labs.lacnic.net/rpkitools/looking_glass/
>
>         Pero actualiza una vez al dia y uno tiene que crear programar su
> alarma
> a traves del webservice que tenemos.
>
>
> http://www.labs.lacnic.net/rpkitools/looking_glass/rest/all/cidr/200.7.84.0/23/
>
>         Si hay interes de la comunidad nos dicen y podemos ver que sea mas
> amigable y que actualice con mas periocidad.
>
>         Ah, y tienes que tener tu ROA.
>
> Slds
>
> as
>
> On 10/2/13 8:48 PM, Ivan Chapero wrote:
> > Aprovecho éste hilo para colar una consulta,
> > ¿Existe algún otro servicio de buena reputación a parte de BGPMon para
> > el monitoreo activo de orígenes de nuestros prefijos? Opciones con costo
> > también interesan, BGPMon se redujo mucho en la versión free por cierto.
> > Slds.
> >
> > El 02/10/2013 12:02, "Ricardo Patara" <patara en registro.br
> > <mailto:patara en registro.br>> escribió:
> >
> >
> >     Aparentemente se verificó hace algunas horas un secuestro de ruta de
> un
> >     bloque asignado una organización de Brasil.
> >
> >     En el BGP Play es posible ver que el bloque 177.85.238/24 fue
> anunciado
> >     con origen en el ASN 28071 que está registrado a una organización del
> >     Panama.
> >
> >     El anuncio correcto es con origen en el ASN 52791
> >
> >     Un punto a observar es que ese ASN 28071 anuncia una serie de otras
> >     rutas a bloques de CL, BR, EC, etc. Que seguramente no están
> asignados a
> >     ellos y tampoco lo tienen como UPSTREAM.
> >
> >     Alguien tiene contacto con ellos o sus upstreams:
> >
> >     AS52302 Awknet International, S.A. (Panama)
> >
> >     Saludos
> >     _______________________________________________
> >     LACNOG mailing list
> >     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> >     https://mail.lacnic.net/mailman/listinfo/lacnog
> >     Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> >     <mailto:lacnog-unsubscribe en lacnic.net>
> >
> >
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> >
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>



-- 
*Ivan Chapero
Área Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
Go Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito -
Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20131003/3f15b4c2/attachment.html>

Más información sobre la lista de distribución LACNOG