Комментарии 14
Your ISP (Hurricane Electric, AS6939) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
При этом Hurricane Electric пишет, что RPKI Support — если использовать тоннель по BGP, как я понял… Странно.
Безопасный в кавычках?
Насколько я понял не особо полезная штука от хакеров. Защищает только от совсем случайной ошибки (или сильно крупные сети, которые пирятся со всеми). Валидируется только origin (что данная AS может анонсить данный маршрут). Путь никак не валидируется и не защищается. Хаки типа вырезания своей AS из машрута остаются актуальными.
С точки зрения злоумышленика — что мешает хакеру анонсить маршрут через свою AS? Похоже что ничего
С точки зрения злоумышленика — что мешает хакеру анонсить маршрут через свою AS? Похоже что ничего
Ему мешает делать это export policy. И вообще для конечных клиентов — это 95% только белый список сетей.
Насколько я понял не особо полезная штука от хакеров.
Она не совсем про хакеров. Есть граждане, которые договариваются со своими аплинками (мамой клянусь есть разрешениям использовать сеть) на анонс сети, те отправлять маршрут транзитам и спокойно работает. При RPKI это все обрезается на точках обмена и у некоторых транзитах.
Ему мешает делать это export policy.
Эта та, которая описывает какой as-set он может анонсить? Так а что мешает ему в этот as-set добавить нужную AS? Она же принадлежит ему. А рекурсивно вроде также не проверяется. (поправьте если это не так).
И вообще для конечных клиентов — это 95% только белый список сетей.
Не всегда. Тот же hurican electric не проверяет. В сетях обмена трафиком тоже не всегда.
Для чего нужен RKPI вполне понятно. Чтобы роут-объект в том же ripedb был гарантировано изначально анонсирован той AS которая указана в БД. И да, RKPI нужен. Но он не обеспечивает безопасность. Говорить что RKPI = безопасность и защита от hijack — вешать лапшу на уши.
Мое личное мнение — RPKI решение по духу из двухтысячных годов. Сейчас могли бы сделать решение с проверкой пути анонса.
upd: Наверное погорячился, защита от hijack роут-объектов есть. То есть гвоздями прибито соответствия маршрута и AS. И чтобы что-то поломать случайно (как часто и происходит) надо очень постараться.
Эта та, которая описывает какой as-set он может анонсить? Так а что мешает ему в этот as-set добавить нужную AS? Она же принадлежит ему. А рекурсивно вроде также не проверяется. (поправьте если это не так).
habr.com/ru/post/442784
Это теоретическая статья, без фактов реализации на практике.
На практике это выглядит следующим образом:
AS100 — Легитивная
export: to AS-UP-LINK announce AS-SET-100
AS-SET-100
member: AS100
member: AS101 — client AS100
AS666 — Наш хакер
export: to AS-UP-LINK-HACKER announce AS-SET-666
member: AS666
member: AS100
member: AS101
Как видно из примере, хакер хочет добавить в свой транзит AS100 и AS101. Но будет ли работать? Конечно нет, ему нужно добавлять AS666 в «AS-SET-100» и еще каким-то образом прописать свой аплинк в export policy AS100. Права на редактирование есть только у AS-100 MNT.
А рекурсивно вроде также не проверяется.
Еще как и проверяется. Ждать маршрут на вашу АС будут только от ваших export аплинков, т.е. от AS-UP-LINK
Не всегда. Тот же hurican electric не проверяет. В сетях обмена трафиком тоже не всегда.
В своей политике они пишут другое
Мое личное мнение — RPKI решение по духу из двухтысячных годов. Сейчас могли бы сделать решение с проверкой пути анонса.
Дело не в RPKI, а в том, что транзиты принимаю все, что в них пихают без проверки. RPKI делает это довольно быстро и унифицировано со всеми RIR сразу и вам не нужно парсить разные базы.
Проверка пути анонса давно реализована, ее просто не делают.
Реализовать атаку на BGP можно только в сговоре с оператором, который имеет не фильтруемые аплинки (те он может пихать туда все что хочет). Обычно это операторы не маленькие, а средние и большие. И решение простое — начать просто проверять.
Еще как и проверяется. Ждать маршрут на вашу АС будут только от ваших export аплинков, т.е. от AS-UP-LINK
Не уверен что проверяется рекурсивно а не слепо поверит содержимому твоего export, но спорить не буду.
Проверка пути анонса давно реализована, ее просто не делают.
А разве export/import policy обязательны? Вроде только в ripe все относительно неплохо организовано. Вот не из ripe. Первая попавшаяся крупная AS701. Не нашел там никаких политик.
Также смотрю на маршруты которые она анонсит и не могу найти роут-объектов и какая AS должна их анонсить. 63.48.0.0/12
Как в таких условиях что-то валидировать мне абсолютно непонятно.
Первая попавшаяся крупная AS701. Не нашел там никаких политик.
Это магистральный оператор и вот к чему приводит его политика.
Интернет построен на доверии и сейчас есть провайдеры которые настраивают политики, используют фильтры. А есть и другие. Все как и пользователи — некоторые скачивают и запускают, что хотят. Другие включают голову и используют антивирус.
Cloudflare запустила портал для проверки провайдеров на BGP hijack, если они поддерживают механизм RPKI