[lacnog] Hijack de prefixo em IRR

Francisco J. Badaró Valente Neto fjbvneto en gmail.com
Mie Sep 11 07:28:47 -03 2019


Que bom que a discussão da validação de origem volta à tona, e a
necessidade de ajuste no IRR.

Bom trabalho meu irmão Douglas  .

O que joga a discussão em um patamar mais alto, a validação de origem.

Na verdade, "esta solução" , de desformidade em IRR , adotada por alguns
(muitos) AS´s tem efeito só de sujeira da base de IRR e ser um shame para
quem o fez.

O Route com falso origin só serve para depor contra que criou.

Esforço comunitário para o ajuste:

Disseminar conhecimento , Shame-list, depeering , warning... vários
caminhos.

MAS, para melhor efetividade, deve (IMHO) ser 'institucional' e aqui no
Brasil temos a posição do IX.BR <http://ix.br/> que NÃO será adotado IRR
por aqui.
Logo, não teríamos 'um braço forte , uma mão amiga' para forçar quem está
errado a se ajustar, por livre e espontânea pressão.

De fato, é incompreensível algumas posturas de alguns AS´s.

Do ponto de vista do protocolo, O problema é a falta de validação dos dados
imputados nas bases de IRR o que acaba comprometendo sua confiabilidade.

O origin poderia ser validado, consultando o LIR/RIR correlato e impedindo
que inputs inválidos na base sejam feitos, com rotas com as-origin desforme
a alocação registrada no LIR/RIR.

Precisamos fomentar o bom e correto uso do IRR e isto passa em conhecer
RPSL. Sobre IRR, há mais além do AS-SET e ROUTE que também deveriam ser
configurados corretamente. Existe na RPSL uma gama de registros possíveis,
que são informacionais interessantes (como por exemplo as informações sobre
alguns aspectos da política de roteamento do AS).

Infelizmente brodher Douglas e demais colegas, o que está ocorrendo "é uma
corrida do ouro", é o "fazer por demanda" , ai o que, pelos anos aprendi
com a observação lateral, é que, corridas de ouro, ações por pressão de
demanda em sua maioria são feitas desforme normas e padrões técnicos, ai
neste diapasão RFCs, conformidades protocolares, viram 'elemento
dispensável' infelizmente.

E vamos estender a recomendação da adoção da validação de origem por IRR
(Até mesmo para fomentar 'a futura' adoção de RPKI/ROA que seria a solução
'de melhor design' para este problema, já que a aberração de 'rotas com
origem inválida' um "Hijack de IRR" não seria possível), não só para estes
players, MAS PARA TODAS AS CDNs E TODOS OS IX´S.

QUE FAÇAM COMO O DECIX, SÓ PERMITAM SUBIR TRÁFEGO COM O IRR DEVIDAMENTE
CONFIGURADO, E, FAÇAM UMA VALIDAÇÃO MÍNIMA E EXPONHAM O RESULTADO DA
VALIDAÇÃO EM SEU LOOKING GLASS. NOVAMENTE , O DECIX COM O ALICE NOS MOSTRA
UM BOM EXEMPLO DE COMO FAZER.

Sim, o cenário ideal seria, CADA AS CONFIGURAR , NA DEVIDA FORMA , SEUS
OBJETOS EM IRR. E, IMHO, NÃO APENAS AS-SET E ROUTE.

Em teoria, o que o AS de Trânsito deveria se preocupar seria apenas com a
atualização do seu AS-SET , e os ROUTE deveriam ser criados, pelas suas
respectivas origens. Este seria, IMHO, o cenário ideal.

A validação cadastral de IRR (confirmação dos dados imputados, como a
validação do origin confirmando com o RIR, seria ideal), o RIR manter base
referência de IRR seria também , e as bases, serem íntegras neste sentido
seria a coroação.

Mas, acredito que os esforços serão em direção da maturidade e adoção de
RPKI/ROA, entretanto, pensar e agir no sentido de deixar "o IRR
redondinho", seria uma prática, um exercício para o fazer correto e repetir
isto, em RPKI e ROA, e o ecossistema (peers, CDNs, OTTs) validar origem por
RPKI/ROA.

Uma pesquisa em um LG como o Alice do DECIX , pelos prefixos filtrados ,
vai produzir um volume de dados interessante, mais interessante ainda é ver
as falhas de validação que Alice/DECIX pegou x os AS´s envolvidos
(inclusive TIER-1, que 'em teoria' deveriam dar o exemplo).

Em ter, 10 de set de 2019 20:34, <lacnog-request en lacnic.net> escreveu:

> Envíe los mensajes para la lista LACNOG a
>         lacnog en lacnic.net
>
> Para subscribirse o anular su subscripción a través de la WEB
>         https://mail.lacnic.net/mailman/listinfo/lacnog
>
> O por correo electrónico, enviando un mensaje con el texto "help" en
> el asunto (subject) o en el cuerpo a:
>         lacnog-request en lacnic.net
>
> Puede contactar con el responsable de la lista escribiendo a:
>         lacnog-owner en lacnic.net
>
> Si responde a algún contenido de este mensaje, por favor, edite la
> linea del asunto (subject) para que el texto sea mas especifico que:
> "Re: Contents of LACNOG digest...". Además, por favor, incluya en la
> respuesta sólo aquellas partes del mensaje a las que está
> respondiendo.
>
>
> Asuntos del día:
>
>    1. Re:  Hijack de prefixo em IRR (Rubens Kuhl)
>    2.  Mozilla habilitará DoH por defecto
>       (Carlos Marcelo Martinez Cagnazzo)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Tue, 10 Sep 2019 16:44:36 -0600
> From: Rubens Kuhl <rubensk en gmail.com>
> To: Latin America and Caribbean Region Network Operators Group
>         <lacnog en lacnic.net>
> Cc: Grupo de Trabalho de Engenharia e Operacao de Redes
>         <gter en eng.registro.br>
> Subject: Re: [lacnog] Hijack de prefixo em IRR
> Message-ID:
>         <CAGFn2k1Bq-r+cbeE=
> Yy+JhaWwzM1kBSn_4M1KPznwqwUw3zUYw en mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> O que eu achei curioso é que eu imaginava que só os upstreams estariam
> nessa shame-list de proxy, mas o maior deles parece ser um caso de peering.
>
> Algo a notar no caso de upstreams é que eles tinham a opção de cadastrar o
> AS do cliente sob sua administração, mas cadastram só os blocos do do
> cliente.
> Isso é um problema self-inflicted, e o ponto é como a comunidade pode
> amplificar essa dor para mudar esse comportamento.
>
>
> Rubens
>
>
>
>
> On Tue, Sep 10, 2019 at 1:37 PM Douglas Fischer <fischerdouglas en gmail.com>
> wrote:
>
> > TL-DR;
> > ------
> > - Vários ASNs registrando em IRRs prefixos de seus clientes como se fosse
> > de seus ASNs.
> >     - Principalmente no RADB.
> > - Está gerando sujeira nas bases de IRR.
> > - Prefix-lists geradas automaticamente estão ficando muito longas,
> > consumindo recurso do routers.
> > - Impossibilita a validação de AS-Path.
> >
> > Fizemos uma consulta nos IRR dos prefixos delegados pelo NIC.BR que
> > estavam registrados para outros ASNs.
> > Agrupamos esses prefixos pelo campo maintainer e contamos a quantidade.
> > Segue a lista dos mais significativos:
> > Quantidade - Maintainer
> >       2686 - MAINT-AS8966
> >        865 - MAINT-AS18678
> >        604 - MAINT-AS28283
> >        494 - MAINT-AS28329
> >        453 - MAINT-AS20473
> >
> > Este é o Link para a planilha com as informações.
> >
> >
> https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing
> > Lá consta uma planilha dinâmica, e também planilhas com o detalhado dos 5
> > Mantainers com mais registro errados.
> >
> >
> > Contando a historinha do problema
> > -----------------------------------
> > Há cerca de uns 4 meses, um amigo identificou que algumas empresas
> > brasileiras estavam fazendo registros ERRADOS nos IRRs.
> > Ele me passou a informação e eu fiquei bastante triste com o que vi.
> >
> > O procedimento deles era:
> > - Listar todos os prefixos do cone de AS do cliente deles
> > - Registrar como sendo de seu próprio ASN.
> >
> > Eu pessoalmente entrei em contato por telefone com algumas dessas
> > empresas, e questionei o porque de eles fazerem isso.
> >
> > A resposta deles foi:
> > "Muitos desses prefixos já estão registrados como proxyed por outros
> ASNs,
> > e quando tentamos registrar esses prefixos, não conseguimos... Então
> > registramos como nossos."
> >  - Eu expliquei a eles porque fazer esse registro como seu próprio ASN
> era
> > errado, que era uma solução grosseira e de força bruta.
> >  - Mencionei que dependendo de como as empresas consultem as bases de IRR
> > isso iria fazer com que os as prefix-Lists geradas automaticamente
> ficassem
> > com entradas duplicadas, muito longas, aumentando os recursos de
> > processamento dos routers para processar as mensagens de anúncio de
> rotas.
> >  - E expliquei também que isso iria prejudicar os próximos passos de
> > segurança de roteamento, que é a validação de caminho(além da de origem).
> >
> > Felizmente por algumas empresas essa informação foi muito bem recebida.
> > Inclusive desenvolvi relação de amizade por conta disso com um técnico
> > dessas empresas.
> >    Tive a oportunidade de sugerir que no script de automação deles
> > incluíssem o teste:
> >        (Se prefixo já existe registrado, usa registro atual.
> >         Se prefixo não existe registrado, cria registro como proxyed.)
> >
> > Infelizmente, algumas poucas empresas encararam a crítica negativamente.
> > - Alguns me atenderam, fizeram mil elogios por telefone, se comprometeram
> > a corrigir, e não fizeram nada.
> > - Alguns se sentiram ofendidos com a crítica(se sentiram ofendidos, e me
> > ofenderam).
> > - Alguns nem se deram ao trabalho de responder.
> >
> >
> > O problema só está aumentando!
> > ------------------------------
> > Observando a lista dos TOP-5, podemos ver que o MAINT-AS8966 - Emix -
> > Emirates Telecommunications - está no topo da lista, com mais do que 3
> > vezes mais prefixos errados que o segundo colocado.
> >
> > Bom, eu confesso que não entendi direito qual é o objetivo desses
> > registros...
> > Mas a grande maioria(talvez até a totalidade) dos prefixos estão com a
> > "descr: ChinaTel via EMIX".
> >
> > Outra coisa que só aumentou as minhas dúvidas é que existem casos em que
> o
> > MAINT-AS8966 registrou um prefixos para vários Origin.
> > Como é o caso do prefixo 45.70.72.0/22, que está registrado pela EMIX
> > para AS266319, AS52965, AS53144.
> >
> >
> https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=
> >
> > Segue uma lista dos Prefixos Brasileiros registrados pelo MAINT-AS8966.
> > Quantidade AS-Origin IRR
> >        773  AS61832  RADB
> >        475  AS53144  RADB
> >        450  AS52965  RADB
> >        313  AS52551  RADB
> >        154  AS52720  RADB
> >
> > Alguém conseguiu entender a lógica disso?
> > Isso está correto?
> > Se não está correto, quem deve ser acionado para corrigir?
> >
> > Porque estou cutucando isso agora?
> > ----------------------------------
> > O Google, em seus GGCs e PNIs, começou a fazer filtrar prefixos baseado
> em
> > registros de IRR.
> > Isso foi informado em maio [1][2] deste ano no Lacnic 31 pelo Sr. Arturo.
> > E os triangulozinhos de alerta nos prefixos mostrados em
> > https://peering.google.com/ estão gerando um alvoroço entre os ISPs.
> > E eu estou feliz por isso!
> > Depois de 20 anos de RPSL, os ASNs estão se preocupando em cadastrar seus
> > prefixos corretamente nos IRRs.
> >
> > Eu acredito que o medo de ficar sem acesso ao ASN do Google é que está
> > desencadeando essas ações um pouco desesperadas...
> >
> > P.S.1: Tenham calma!
> > Segundo informações do próprio Google, por enquanto esses prefixos estão
> > apenas sendo tageados.
> > Apenas no futuro, depois de ter uma melhor referência de qual o tamanho
> do
> > dragão com que terão que lutar, é que decidirão como esses prefixos serão
> > descartados.
> >
> > P.S.2: Reitero meu agradecimento ao Google por isso!
> > E aproveito para provocar Facebook, Cloudflare, Netflix, e até o ICCAN, a
> > fazerem o mesmo.
> >
> > [1]
> >
> https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf
> > [2] https://youtu.be/OT9at07N7qM
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> https://mail.lacnic.net/pipermail/lacnog/attachments/20190910/9bb5296b/attachment-0001.html
> >
>
> ------------------------------
>
> Message: 2
> Date: Tue, 10 Sep 2019 20:33:40 -0300
> From: Carlos Marcelo Martinez Cagnazzo <carlosm3011 en gmail.com>
> To: Latin America and Caribbean Region Network Operators Group
>         <lacnog en lacnic.net>
> Subject: [lacnog] Mozilla habilitará DoH por defecto
> Message-ID: <ba2222c7-f34c-46c9-b3cb-3bd886b96fcf en gmail.com>
> Content-Type: text/plain; charset="iso-8859-1"; Format="flowed"
>
> Va link: https://www.theregister.co.uk/2019/09/09/mozilla_firefox_dns/
>
>
> Opiniones? Comentarios?
>
>
> S2
>
>
> /Carlos
>
>
>
>
> via Newton Mail
> [
> https://cloudmagic.com/k/d/mailapp?ct=pa&cv=10.0.23&pv=9&source=email_footer_2
> ]
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> https://mail.lacnic.net/pipermail/lacnog/attachments/20190910/3f282076/attachment.html
> >
>
> ------------------------------
>
> Subject: Pié de página del digest
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
>
> ------------------------------
>
> Fin de Resumen de LACNOG, Vol 141, Envío 8
> ******************************************
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190911/92858cbd/attachment-0001.html>


Más información sobre la lista de distribución LACNOG