Is BGP safe yet?

[YvesA]

Un article intéressant pour les admin réseaux

New Cloudflare tool can tell you if your ISP has deployed BGP fixes
https://arstechnica.com/information-technology/2020/04/new-cloudflare-tool-can-tell-you-if-your-isp-has-deployed-bgp-fixes/

Is BGP safe yet? No.
https://isbgpsafeyet.com/

Le test donne ceci :
Your ISP (KWAOO, K-NET, AS24904) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Details

fetch https://valid.rpki.cloudflare.com
correctly accepted valid prefixes

fetch https://invalid.rpki.cloudflare.com

incorrectly accepted invalid prefixes

[Hugues]

Cloudflare a encore voulu faire chier son monde avec du FUD... Circulez, y'a rien à voir...

[dge]

Bonjour,

Je ne sais pas ce qui vous permet de balayer en une phrase non argumentée une vingtaine de RFC pour sécuriser BGP , une problématique brûlante et très actuelle et ce serait bien que Knet s'en préoccupe lors du retour à la normale.

Il y a déjà 8 ans : https://www.bortzmeyer.org/rpki-frnog.html

Cdlt.

[thedark]

Je ne sais pas ce qui vous permet de balayer en une phrase non argumentée une vingtaine de RFC pour sécuriser BGP.

Surement une personne compétente ?

Knet s'en préoccupe lors du retour à la normale

Ce n'est pas un point important pour l'instant même après.

[YvesA]

TheDark,  je ne te sens pas trop en mode didactique sur ce thread

[Hugues]

Oui, RPKI c'est bien, oui, tout le monde devrait en faire.

Maintenant sortir un site à destination du grand public en disant grosso modo "Si votre ISP n'implémente pas RPKI, votre internet n'est pas sécurisé", bon...

On parle de "problématique brulante et très actuelle", c'est tout simplement faux. C'est faux à tel point qu'Arista (qui fournit une partie du backbone de K-Net) n'implémente pas encore ROA dans ses routeurs (même si la version arrive bientôt). C'est très actuel au point que même chez les gros FAI ou chez les transitaires, RPKI est encore minoritaire.

Bref, RPKI c'est bien, oui il faut que tout le monde l'implémente. Par contre, faire un site politique pour shitposter sur les équipes NOC des opérateurs, c'est une très mauvaise idée, et ça a été assez mal reçu par la communauté.

[Steph]

bizness is bizzness, no?

[Hugues]

Ça n'a aucun impact sur le biz, Cloudflare ne vend rien, ça ne rapporte rien... C'est du militantisme

[Steph]

Internet verrouillé vs Internet ouvert?

[Hugues]

Non, rien à voir

[Steph]

Je ne vois pas quel est ce militantisme alors...

[Hugues]

Juste le militantisme d'implémenter un protocole de sécurité, pour rentre internet moins vulnérable. Cause louable, somme toute.

Tiens pour répondre à "dge", la RFC de RTR (l'implem du drop RPKI sur les routeurs, pour résumer) date de 2017, et 3 ans pour passer d'une RFC à une mise en prod, c'est relativement court. https://tools.ietf.org/html/rfc8210

[Steph]

Juste le militantisme d'implémenter un protocole de sécurité, pour rentre internet moins vulnérable. Cause louable, somme toute.

Mais cette sécurité a un prix : changer le matériel non?
Donc on en revient au bizness.

[Hugues]

Mais non, dans la majorité des cas, c'est juste une mise à jour du software. Ce qui coute de l'argent c'est l'implémentation par les opérateurs. Mais Cloudflare ne touche pas d'argent dessus....