Názory k článku Téměř každá síť se setkala s únosem BGP, musíme se bránit, znělo na Peering Days

O unisech BGP se mluvi snad poslednich 20 let a furt se to nijak realne nevyresilo, nebo se pletu?

RPKI ?

Teoreticky ano, prakticky netusim jak moc je nasazeno, staci se podivat treba na https://bgpstream.crosswork.cisco.com/
Dalsi vec je ze rpki pokud si pamatuji vubec neresi aktualnost dat, nebo nasazeni u velkych siti muze byt problematicke/ne­mozne diky mnozstvi objektu. Mozna se tohle zmenilo, ale asi ne kdyz se to resi na peering days.

V Birdu je to konfigurace na pár řádek.


roa4 table roa_inet_4;
roa6 table roa_inet_6;

protocol rpki rpki_inet_cf {

roa4 { table roa_inet_4; };
roa6 { table roa_inet_6; };

remote "rtr.rpki.clou­dflare.com" port 8282;

retry keep 90;
refresh keep 900;
expire keep 172800;
}

function roa_inet_ck(){
if net.type = NET_IP4 then
return roa_check(roa_i­net_4, net, bgp_path.last_no­naggregated) = ROA_INVALID;
if net.type = NET_IP6 then
return roa_check(roa_i­net_6, net, bgp_path.last_no­naggregated) = ROA_INVALID;
}

U jiných platforem to není o moc složitější.

Adopce RPKI je bohužel stále na menší úrovni, než bychom si představovali. NIX již dlouho RPKI invalid odmítá a členové Fénixu maji povinnost mít své prefixy podepsané (ROA) a také validovat na svých ASBR (ROV).

Ještě bych doporučil nepoužívat nešifrované veřejné RP (jak je zde uvedeno v příkladu) v produkčním nasazení.

Dalšími mechanizmy jsou BGPSEC a ASPA (https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-aspa-profile-04), obě mající výhody a nevýhody. Nadějné je ale v článku popsané RFC 9234.