Vlákno názorů k článku Téměř každá síť se setkala s únosem BGP, musíme se bránit, znělo na Peering Days od Ratbatcat - O unisech BGP se mluvi snad poslednich 20...

O unisech BGP se mluvi snad poslednich 20 let a furt se to nijak realne nevyresilo, nebo se pletu?

RPKI ?

Teoreticky ano, prakticky netusim jak moc je nasazeno, staci se podivat treba na https://bgpstream.crosswork.cisco.com/
Dalsi vec je ze rpki pokud si pamatuji vubec neresi aktualnost dat, nebo nasazeni u velkych siti muze byt problematicke/ne­mozne diky mnozstvi objektu. Mozna se tohle zmenilo, ale asi ne kdyz se to resi na peering days.

V Birdu je to konfigurace na pár řádek.


roa4 table roa_inet_4;
roa6 table roa_inet_6;

protocol rpki rpki_inet_cf {

roa4 { table roa_inet_4; };
roa6 { table roa_inet_6; };

remote "rtr.rpki.clou­dflare.com" port 8282;

retry keep 90;
refresh keep 900;
expire keep 172800;
}

function roa_inet_ck(){
if net.type = NET_IP4 then
return roa_check(roa_i­net_4, net, bgp_path.last_no­naggregated) = ROA_INVALID;
if net.type = NET_IP6 then
return roa_check(roa_i­net_6, net, bgp_path.last_no­naggregated) = ROA_INVALID;
}

U jiných platforem to není o moc složitější.