Bagaimana cara memfilter awalan non-bogon yang diterima melalui BGP dari Internet Exchange (IXP)?

14

Ketika terhubung ke Internet peering exchange (IXP), apa cara yang baik untuk memastikan bahwa orang tidak mengirim Anda awalan yang tidak seharusnya mereka umumkan?

Mengenai bogon, saya mengetahui proyek Referensi Tim Cymru Bogon tetapi ketika menyaring hal lain dari rekan-rekan saya tidak tahu harus mulai dari mana. Pemahaman saya adalah untuk apa RPKI dan sejenisnya?

SimonJGreen
sumber
mengapa tidak hanya rekan eBGP dengan mereka dan awalan blackhole di tabel routing mereka?

Jawaban:

13

Seperti yang lain katakan, RPKI akan menjadi cara untuk pergi, tetapi belum ada. Pada titik pertukaran, kami biasanya menetapkan batas awalan maksimal pada setiap sesi.

Selain itu kami menggunakan aturan berikut:

  1. Tidak ada rute default

  2. Tidak ada Bogon, lebih tepatnya daftar ini:

    route-filter 0.0.0.0/8 orlonger reject;
    route-filter 127.0.0.0/8 orlonger reject;
    route-filter 10.0.0.0/8 orlonger reject;
    route-filter 172.16.0.0/12 orlonger reject;
    route-filter 192.168.0.0/16 orlonger reject;
    route-filter 224.0.0.0/4 orlonger reject;
    route-filter 240.0.0.0/4 orlonger reject;
    route-filter 169.254.0.0/16 orlonger reject;
    route-filter 192.0.2.0/24 orlonger reject;
    route-filter 198.51.100.0/24 orlonger reject;
    route-filter 203.0.113.0/24 orlonger reject;
    route-filter 100.64.0.0/10 orlonger reject;
    
  3. Tidak ada awalan yang lebih panjang dari / 24

  4. Tidak ada nomor AS pribadi di jalur

  5. Tak satu pun dari awalan kami sendiri

Untuk IPv6 kami melakukan hal yang sama, hanya bogon yang berbeda. Saya menempelkan filter kami di bawah ini. Perlu diketahui bahwa sintaks mungkin agak aneh tapi itu karena cara Juniper mencocokkan awalan. Untuk sintaksis Cisco Anda dapat pergi di sini: Rekomendasi filter IPv6 BGP (Contoh Juniper pada halaman ini bermasalah, silakan gunakan yang di bawah ini jika Anda mau.)

istilah ebgp-relaxed {
    dari {
        keluarga inet6;
        route-filter 3ffe :: / 16 orlonger;
        route-filter 0000 :: / 8 orlonger;
        route-filter 2001: db8 :: / 32 orlonger;
        route-filter 2001 :: / 32 tepat kebijakan selanjutnya;
        route-filter 2001 :: / 32 lebih lama;
        route-filter 2002 :: / 16 tepat kebijakan selanjutnya;
        route-filter 2002 :: / 16 lebih lama;
        route-filter fe00 :: / 9 orlonger;
        route-filter ff00 :: / 8 orlonger;
        route-filter 2000 :: / 3 awalan-panjang-rentang / 49- / 128;
        route-filter 0 :: / 0 atau lebih lama;
    }
    lalu tolak;
}
Sebastian Wiesinger
sumber
11

Saat ini (sampai RPKI lebih luas), kami biasanya hanya menyaring bogon umum dan menerapkan filter awalan-max untuk bertukar rekan. Kami juga memfilter ASN tertentu, yang kami yakini tidak akan pernah muncul di sebagian besar sesi peering, seperti Level3 atau Cogent, atau tidak boleh ditransisikan melalui pertukaran.

Kami biasanya menemukan bahwa sebagian besar kebocoran rute umum tidak berada dalam kisaran 1-2 digit. Lagipula itu sangat sulit untuk ditangkap, kecuali jika Anda memfilter semua rekan Anda dengan membuat awalan / daftar ASN atau memfilter berdasarkan radb, dll. Sebagian besar kebocoran akhirnya mendekati 10k-100k +, yang mudah ditangkap oleh yang cukup rendah (100-500) ) filter max-prefix. Anda kemudian dapat menyesuaikan per sesi sesuai kebutuhan.

Justin Seabrook-Rocha
sumber
7

Bergantung pada bagaimana Anda menggunakan pertukaran peering, Anda punya beberapa opsi berbeda:

Pertama saya akan membahas RPKI dan mengatakan bahwa sementara itu adalah sesuatu yang Anda harus melanjutkan dan menyebarkan, baik untuk rute Anda sendiri dan memvalidasi orang lain, sayangnya dalam penggunaan yang begitu rendah sehingga Anda tidak bisa pada saat ini berharap untuk melakukan semua itu. Solusi sebenarnya di sini adalah WHOIS - RaDB Merit bisa dibilang yang terbaik karena itu akan memungkinkan Anda untuk mengembalikan hasil untuk semua RIR sekaligus. Tetapi, jika Anda lebih suka menanyakan setiap RIR secara langsung, lakukanlah.

Sekarang, jika Anda berada di bursa dan Anda hanya mendapatkan setumpuk awalan dari server rute IXP, tergantung pada alat yang Anda punya tersedia untuk Anda dan kemampuan router Anda, Anda memiliki dua kemungkinan:

   1. Filter berdasarkan AS as

Pada dasarnya, ini terdiri dari memvalidasi AS asal dari awalan terhadap yang di WHOIS - jika asal AS tidak cocok dengan yang di WHOIS, Anda menjatuhkan awalan dan lebih spesifik yang mungkin juga diumumkan. Ini umumnya merupakan perlindungan yang baik terhadap pembajakan yang tidak disengaja. Sebagian besar awalan harus memiliki data ini.

   2. Saring dengan transit AS

Ini membawanya selangkah lebih maju dan menyaring rute dengan AS di jalur yang tidak diizinkan dalam WHOIS - namun Anda tidak dapat melakukan ini untuk setiap awalan, karena tidak semua orang akan membuat objek yang menentukan siapa penyedia AS transit resmi mereka.


Di sisi lain, jika Anda menggunakan pertukaran peering untuk secara langsung mengintip dengan orang lain, maka hidup Anda menjadi jauh lebih sederhana; Anda dapat mencari awalan apa yang mereka miliki di WHOIS dan mengizinkannya. Praktik yang baik menurut saya adalah untuk mengizinkan teman sebaya untuk mengumumkan lebih spesifik dengan panjang maksimum / 24 sementara juga menetapkan nilai awalan maksimum yang masuk akal (yaitu sebanding dengan jumlah subnet yang mereka miliki) pada peering Anda sehingga mereka dapat ' t membanjiri Anda dengan rute tetapi dapat merespons pembajakan awalan.

Jika Anda mencari alat, periksa IRRToolSet dan IRR PowerTools

Olipro
sumber
5

Anda pada dasarnya telah menjawab pertanyaan Anda sendiri. Asumsi Anda bahwa menggunakan RPKI adalah cara yang harus dilakukan adalah sepenuhnya benar. Lebih khusus, Otorisasi Rute Asal digunakan untuk memvalidasi awalan ke AS. Jelas bogon tidak akan valid karena mereka tidak ditugaskan kepada siapa pun, sehingga masalah akan teratasi dengan sendirinya. Banyak informasi ini tersedia di halaman Wikipedia bahasa Indonesia . Sumber lain yang bagus adalah halaman RPKI ARIN .

Jika Anda memerlukan bantuan konfigurasi, saya sarankan Anda membuat pertanyaan lain yang meminta bantuan konfigurasi khusus.

Perlu juga dicatat bahwa RPKI tidak akan bekerja untuk semuanya, karena tidak semua orang menggunakannya. Pada titik tertentu Anda hanya perlu mempercayai rute yang Anda terima.

batu besar
sumber
0

Tanyakan rekan Anda apa yang makro mereka akan mengumumkan dan membangun filter untuk mereka menggunakan IRRToolSet atau rpsltool atau irrpt. Dorong mereka untuk memiliki informasi yang benar diterbitkan dalam IRRdb. Jangan lupa untuk memperbarui objek Anda sendiri aut-numdi IRRdb ramah terdekat untuk mencerminkan kedekatannya.

RPKI bukan jalan maju karena tidak melindungi dari kebocoran rute.

Niels
sumber