[rsnog] desava se i najboljima ili kako je jedan peer srusio Google

Berislav Todorovic berislav.todorovic at gmail.com
Thu Mar 19 10:46:11 CET 2015


BGP route leaks ... problem koji postoji vec skoro 20 godina, pocev od
AS7007 incidenta 1997:
http://merit.edu/mail.archives/nanog/1997-04/msg00380.html

Sto su slucajni incidenti, kao i ovaj poslednji. A Rusi su na DEFCON-u
demonstrirali da to neko moze da uradi i namerno i jos da sakrije tragove:
https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf

Jedini lek je filtriranje ruta, tu mantru svi ponavljaju vec decenijama ali
u praksi stvari ne idu bas tako glatko. Da bi filtri (ACLs) bili uvek
azurni neophodan je pouzdan registar ruta. (IRR). RIPE i Merit/RADB (
www.radb.net) to imaju godinama, ali iz raznih razloga ljude mrzi da to
koriste. A neki ne koriste to namerno! Sprint na primer. I za to imaju
dobar razlog, ali to je druga prica ...

Pre 5 godina RIPE NCC, i drugi RIR-ovi su poceli da rade na sertifikovanju
ruta (RPKI) -
http://ripe60.ripe.net/presentations/Bush-The_RPKI_Origin_Validation.pdf
Ali i tu stvari ne idu bas tako glatko, a na poslednjem Cisco Live sajmu
jedan lik je izneo citavu lavinu kritika na racun RPKI, tvrdeci je sistem u
suprotnosti sa zakonioma pojedinih zemalja, koji npr. zabranjuju firmama
koriscenje PKI sertifikata koje nisu izdala nacionalna sertifikaciona tela
... I da RPKI u tim slucajevima moze da bude problem.

S druge strane, tu su i neke druge inicijative - SBGP i psBGP itd. Odlican
pregled svega mozete da nadjete ovde:
http://www.researchgate.net/profile/Muhammad_Shuaib_Siddiqui/publication/272102097_A_Survey_on_the_Recent_Efforts_of_the_Internet_Standardization_Body_for_Securing_Inter-Domain_Routing/links/54e676e10cf2bff5a4f5d010.pdf

Pozdrav,
Beri

On Thu, Mar 19, 2015 at 9:00 AM, Zoran Perovic <iConsult at perke.net> wrote:

> http://research.dyn.com/2015/03/routing-leak-briefly-takes-google/
>
>
>
> Pozdrav
>
>
>
> Perke
>
> www.sox.rs
>
>
>
>
> --
> rsnog at rnids.rs
> http://mail-server.rnids.rs/mailman/listinfo/rsnog
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.rnids.rs/pipermail/rsnog/attachments/20150319/34ac80f2/attachment.htm>


More information about the rsnog mailing list