[LACNIC/Seguridad] Fwd: [lacnog] "Looking Glass" de información sobre validación de origen con RPKI
Fernando Gont
fgont en si6networks.com
Vie Dic 9 11:59:35 BRST 2011
FYI
-------- Original Message --------
Subject: [lacnog] "Looking Glass" de información sobre validación de
origen con RPKI
Date: Fri, 9 Dec 2011 11:30:26 -0200
From: Carlos Martinez-Cagnazzo <carlosm3011 en gmail.com>
Reply-To: carlos en lacnic.net, Latin America and Caribbean Region Network
Operators Group <lacnog en lacnic.net>
To: Latin America and Caribbean Region Network Operators Group
<lacnog en lacnic.net>
Hola a todos,
quería compartir una pequeña aplicación en la que venimos trabajando
en LACNIC,que permite consultar las rutas que actualmente serían
vistas comoválidas o inválidas por un router que implementara
validación deorigen (RPKI).
La aplicación se baja diariamente un dump de la tabla global
deenrutamiento desde el RIS de RIPE (http://ris.ripe.net) y la
comparacon el resultado de ejecutar la validación RPKI de los
repositorios delos 5 RIRs. Hoy esta procesando unas 420.000 rutas y
alrededor de 200ROAs.
http://www.labs.lacnic.net/rpkitools/looking_glass/
Algunas cosas interesantes:
- Al dia de hoy hay unas 5000 rutas que serian detectadas como
inválidas- De ellas, como 3000 lo son por tener un maxLen mas
específico que elpermitido por el ROA que la cubre- Unas 2000 lo son
por tener el AS de origen equivocado. Algunos deestos pueden ser
hijackings, pero nos parece que son muchos, y masbien sospechamos de
que hay usuarios que sorprendentemente no tienenclaro que AS debe
originar sus publicaciones.
Algunas recomendaciones:
- quienes hayan creado ROAs, hagan una búsqueda de sus prefijos y
chequeen que su información esté correcta. Hay unas cuantas rutas
originadas por nuestra región que al día de hoy serían detectadas como
inválidas.
- No duden en contactarnos por correo privado si necesitan
ayuda/asesoramiento para corregir cualquier situación que se les
presente con esto.
- Quienes deseen crear certificados y ROAs, y deseen contar con apoyo
para ello, no duden en contactarnos por correo privado y coordinamos
una cita por WebEx o Skype y lo hacemos juntos.
s2
Carlos
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Más información sobre la lista de distribución Seguridad