[lacnog] secuestro de ruta

Carlos M. Martinez carlosm3011 en gmail.com
Jue Oct 3 10:53:02 BRT 2013


Ivan,

la herramienta ya soporta la funcionalidad de mostrar solo las rutas
invalidas. Mira por ejemplo:

http://www.labs.lacnic.net/rpkitools/looking_glass/rest/invalid/asn2/28001/

(no te deberia mostrar nada :-), pero si buscas con otros ASes si vas a
encontrar)

De todas formas, en mi opinion personal es mas robusto hacer un script
que siempre reciba algo y parsee buscando entradas 'invalidas' que hacer
uno que sea 'on/off' y que se base simplemente en recibir algo o nada.

El resto te respondo entre lineas:

On 10/3/13 8:56 AM, Ivan Chapero wrote:
> Arturo,
> interesante. Espero tu comentario para ver si son correctas mis
> deducciones al comparar la herramienta con BGPMon:
> 
> - Se puede alertar route hijacking. Esto es cierto si la herramienta
> analiza varias full-tables (distintos orígenes) y a su vez todas las
> rutas disponibles para un mismo prefijo (tanto las "best" como las no
> instaladas en la FIB). De no ser así, y analizar solo el best-path,
> seguramente intentos de hijacking con prepends queden ocultos a la
> verificación.

La herramienta no es un router, por lo que no tiene 'FIB' per-se. Lo que
tomamos como te decia es la tabla de RIS, y RIS pasa solo las rutas
efectivas, junto con el sensor que las detecta.

Seria 'pensable' armar una version de la herramienta que mire mas
adentro, hacia la tabla de BGP misma, este es otro de los puntos donde
el feedback nos es muy valioso.

> 
> - Se puede alertar anuncios más específicos. Esto esta claro pero tengo
> que tener la precaución de crear ROA con longitud de prefijo exacta en
> vez de usar rangos generales (ej /19-/24) que dejan abierto el camino a
> falsos VALID.

Si, claro, el ROA bien creado es fundamental, lo mismo que entrar los
datos correctos en BGPMon, la herramienta no nos puede adivinar nuestras
intenciones.

> 
> - No se puede analizar man-in-the-middle, o dicho de otra forma,
> trackear cambios en los upstreams providers / AS-PATH. Comprendo que no
> es el fin de un validador RPKI, simplemente es a modo de machete
> comparativo.

Nunca fue un objetivo, ya que esto seria una funcionalidad que excede a
RPKI, esta asociada a BGPsec, del que todavía no hay implementación.
Esta funcionalidad también se asocia a los 'Routing Registries'. LACNIC
nunca operó uno, pero si hubiera un interés fuerte de la comunidad
podríamos llegar a considerarlo.

> 
> - No es reactiva. Esto se puede mejorar si se bajan los updates a varios
> por día.
> 

Si, efectivamente. La maxima frecuencia a la que la herramienta en su
estado actual podria crecer es a actualizarse cada 15 minutos, que es la
frecuencia de ls updates incrementales de RIS. Cambiando la
arquitectura, p.ej. consumiendo directamente la tabla de un conjunto de
sesiones full BGP, ahi se podrian lograr cosas mas dinámicas.

> La mejor variante para integrar al NMS se me ocurre que es analizar cada
> prefijo delegado por LACNIC (y los mas específicos contenidos) y listar
> solo las INVALID. De esta manera el script simplemente no hará nada o
> tomara estado OK cuando la cadena de salida es vacía y dispararía una
> alerta con la salida INVALID como mensaje en el momento que se tenga
> algo. Siguiendo tu ejemplo, algo asi:
> 
> http://www.labs.lacnic.net/rpkitools/looking_glass/rest/invalid/cidr/200.7.84.0/23/
> <http://200.7.84.0/23/>

Te comente algo mas arriba.

Te agradezco nuevamente todo el feedback y quedo a la espera de
cualquier otro comentario.

s2

~Carlos

> 
> Gracias por compartir la utilidad.
> 
> 
> El 2 de octubre de 2013 23:31, Arturo Servin <aservin en lacnic.net
> <mailto:aservin en lacnic.net>> escribió:
> 
> 
>             Esta http://www.labs.lacnic.net/rpkitools/looking_glass/
> 
>             Pero actualiza una vez al dia y uno tiene que crear
>     programar su alarma
>     a traves del webservice que tenemos.
> 
>     http://www.labs.lacnic.net/rpkitools/looking_glass/rest/all/cidr/200.7.84.0/23/
> 
>             Si hay interes de la comunidad nos dicen y podemos ver que
>     sea mas
>     amigable y que actualice con mas periocidad.
> 
>             Ah, y tienes que tener tu ROA.
> 
>     Slds
> 
>     as
> 
>     On 10/2/13 8:48 PM, Ivan Chapero wrote:
>     > Aprovecho éste hilo para colar una consulta,
>     > ¿Existe algún otro servicio de buena reputación a parte de BGPMon para
>     > el monitoreo activo de orígenes de nuestros prefijos? Opciones con
>     costo
>     > también interesan, BGPMon se redujo mucho en la versión free por
>     cierto.
>     > Slds.
>     >
>     > El 02/10/2013 12:02, "Ricardo Patara" <patara en registro.br
>     <mailto:patara en registro.br>
>     > <mailto:patara en registro.br <mailto:patara en registro.br>>> escribió:
>     >
>     >
>     >     Aparentemente se verificó hace algunas horas un secuestro de
>     ruta de un
>     >     bloque asignado una organización de Brasil.
>     >
>     >     En el BGP Play es posible ver que el bloque 177.85.238/24 fue
>     anunciado
>     >     con origen en el ASN 28071 que está registrado a una
>     organización del
>     >     Panama.
>     >
>     >     El anuncio correcto es con origen en el ASN 52791
>     >
>     >     Un punto a observar es que ese ASN 28071 anuncia una serie de
>     otras
>     >     rutas a bloques de CL, BR, EC, etc. Que seguramente no están
>     asignados a
>     >     ellos y tampoco lo tienen como UPSTREAM.
>     >
>     >     Alguien tiene contacto con ellos o sus upstreams:
>     >
>     >     AS52302 Awknet International, S.A. (Panama)
>     >
>     >     Saludos
>     >     _______________________________________________
>     >     LACNOG mailing list
>     >     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     <mailto:LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>>
>     >     https://mail.lacnic.net/mailman/listinfo/lacnog
>     >     Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>     <mailto:lacnog-unsubscribe en lacnic.net>
>     >     <mailto:lacnog-unsubscribe en lacnic.net
>     <mailto:lacnog-unsubscribe en lacnic.net>>
>     >
>     >
>     >
>     > _______________________________________________
>     > LACNOG mailing list
>     > LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     > https://mail.lacnic.net/mailman/listinfo/lacnog
>     > Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>     <mailto:lacnog-unsubscribe en lacnic.net>
>     >
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>     <mailto:lacnog-unsubscribe en lacnic.net>
> 
> 
> 
> 
> -- 
> *Ivan Chapero
> Área Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
> --
> Go Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito -
> Santa Fe - Argentina
> 
> 
> 
> 
> 
> 
> 
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> 



Más información sobre la lista de distribución LACNOG