Norske internett­leverandører: Positive til sikrere ruting­teknologi, flere bruker den ikke [Ekstra]

[Harald Brombach (digi.no)]

Norske internett­leverandører: Positive til sikrere ruting­teknologi, flere bruker den ikke [Ekstra]

[toreanderson]

Sitat

Get-nettet har et begrenset antall eksterne sesjoner, og vi har brukt andre former for sikkerhetsmekanismer for å begrense skadeeffekter av konfigurasjonsfeil hos andre eller kapringsforsøk, skriver Ellen Cecilie Scheen, kommunikasjonssjef i Telia Norge og Get, i en e-post til Digi.no.

Get har ei direkte peering med Cloudflare på NIX, og mottek rutene der. Greit nok, men det er likevel overraskande at dei vert akseptert. Rutene som invalid.rpki.cloudflare.com gjeng til er 103.21.244.0/24 og 2606:4700:7000::/48. Desse annonserer altså Cloudflare på NIX, men dei er såvidt eg kan sjå ikkje ein del av as-settet AS-CLOUDFLARE. Difor burde Get (og alle andre direkte peers av Cloudflare) ha klart å avvise desse rutene som ugyldige, sjølv utan å bruke RPKI. At dette ikkje skjer kan tyde på at dei ikkje gjer prefiks-filtrering av sine NIX-peers i det heile teke, som får meg til å stusse på kva dei eigentleg siktar til med «andre former for sikkerhetsmekanismer».

Det same gjeld for øvrig Altibox, dei òg ser ut til å peere med Cloudflare på NIX, og aksepterer desse rutene der.

Endret 22. april 2020 av toreanderson

[Atle Strand]

2.April så klarte RIPE å slette over 4000 ROA oppføringer, heldigvis så er RPKI satt opp som fail-open når ROA mangler.

Men det er meget bekymringsverdig, at en blir så avhengig av en sentral aktør må ha gode rutiner. #internetkillswitch.

https://www.ripe.net/support/service-announcements/accidental-roa-deletion/

[olemars]

Testet med Nextgentel fiber her hjemme og de får grønt lys i testen.

[olemars]

[aasATuio]

Kan det vera slik at Sverige nå krev at nettoperatørane der brukar RPKI ?