[talyan]

Тему что-то тут не нашел, если уже есть перенесите

 

Всем операторам рассылка пришла? 

 

Цитата

 

В рамках сценария учений будет проведена проверка реагирования на угрозу BGP hijacking (перехват маршрутов) – анонсирование автономной системой маршрутов, зарегистрированных за другими операторами связи. Для этого будут реализованы следующие этапы:
1. Моделируется ситуация с перехватом маршрутов (BGP Hijacking)
2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS)
3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ.

Оперативное указание будет направлено с почтового адреса noc@cmu.gov.ru

Отработка сценария учений запланирована на август 2022 года. Подробное описание сценария и точная дата его проведения будет сообщена регулятором дополнительно.

 

Уже первым участникам, тестовое задание начало приходить

 

Пример тестового задания в рамках учения от РКН, которое ведомство разослало сегодня (по ASN 8359 от МТС):

 

Цитата

 

Тема поручения: Фильтрация нелегитимного анонса.

Содержание поручения: Уважаемые коллеги!

В информационной системе ИС ЦМУ ССОП зафиксированы инциденты нарушения маршрутизации, виновником которых является AS8359 (ПАО «МТС»), что нарушает п.2 Приказа Роскомнадзора №224 от 31.07.2019 « Об утверждении правил маршрутизации сообщений электросвязи...». В целях предотвращения подобных инцидентов и в соответствии с ФЗ от 07.07.2003 №126-ФЗ (ред. от 02.07.2021) «О связи», статья 56.2. п.8.
Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359.

Создано: 2022-08-08 11:38:37 Москва, стандартное время
Срок исполнения: 2022-08-08 12:38:00 Москва, стандартное время
Критичность: Высокая

 

 

[Andrei]

Нам приходило недели 1,5 назад.

Хотя у меня и есть bgp я не понял что от меня требуется.
 

Цитата

2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS)
3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ.

 

Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24 c AS 123123 сделать что-то типа:

 

ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24

ip as-path access-list Hijacking_AS permit 123123

 

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in

 

route-map TT-in deny 111
 match as-path Hijacking_AS

 

Опыта в этом никакого, так что сорри, если пальцем в небо

[azhur]

В 09.08.2022 в 09:39, Andrei сказал:

Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24

Как я понял, нужно отфильтровать не просто анонс сети 123.123.123.0/24, а анонс сети от имени определённой AS.

То есть не только по префиксу, но и по AS-PATH. Все ли железки такое умеют - хз.

[Andrei]

В 09.08.2022 в 09:45, azhur сказал:

а анонс сети от имени определённой AS.

я выше чуть поправил свое сообщение на этот предмет.

[stalker86]

Не всё поправили.
TT-in  у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES

[ne-vlezay80]

для этого есть RPKI

[alibek]

В 09.08.2022 в 07:06, talyan сказал:

Всем операторам рассылка пришла?

Нет, но звонили.

Правда я не понял, о чем вообще речь.

Вроде бы как будут приходить списки ресурсов, которые нужно блокировать.

Что за списки, как блокировать, почему для этого не используется реестр запрещенных сайтов — местный РКН не знает.

Если же речь за фильтрацию анонсов, то у нас вообще только дефолт принимается.

[ixi]

В 09.08.2022 в 07:06, talyan сказал:

Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359.

И префиксов не указано?

[talyan]

Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу:

add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES
add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS
add action=accept chain=AS33xxx-bgp-in

Может Saab заглянет и поправит еще)

[ne-vlezay80]

В 09.08.2022 в 11:22, talyan сказал:

Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу:

add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES
add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS
add action=accept chain=AS33xxx-bgp-in

Может Saab заглянет и поправит еще)

А если это full view?

[ixi]

В 09.08.2022 в 11:22, talyan сказал:

add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS

add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS

[Умник]

В 09.08.2022 в 09:43, ne-vlezay80 сказал:

для этого есть RPKI

RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет.

[ne-vlezay80]

В 09.08.2022 в 12:03, Умник сказал:

RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет.

Можно конечно привезать префиксы к peer ip.

[talyan]

В 09.08.2022 в 15:41, ne-vlezay80 сказал:

А если это full view?

full view и принимаем. фильтр дискарднит AS и префиксы.

дефолт если летит, ясно дело, вышестоящий пусть решает, тут уж требование РКН, никак не выполнишь. хотя похоже, они этого особо не понимают)

  

В 09.08.2022 в 15:58, ixi сказал:

add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS

ага, чуть пропустил) в боевом конфиге так)

Edited August 9, 2022 by talyan

[Andrei]

В 09.08.2022 в 11:27, stalker86 сказал:

Не всё поправили.
TT-in  у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES

А как правильно? У меня все роут-мапы так навешаны:

route-map TT-in deny 100
 match as-path PRIV
!
route-map TT-in deny 110
 match ip address prefix-list bogons
!
route-map TT-in deny 115
 match ip address prefix-list reduced
!
route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200
!
route-map TT-out permit 100
 match ip address prefix-list upstream-out

Префикс-листы PRIV, bogons, reduced - это стандарно.

our-CIDR-blocks и upstream-out - это касается наших сеток.

И bgp работает уже года два.

[MrNv]

В 09.08.2022 в 07:39, Andrei сказал:

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in

 

 

очепятка или недосказанность?

neighbor 89.237.xxx.xxx route-map TT-in in

[Andrei]

В 09.08.2022 в 15:42, MrNv сказал:

недосказанность

router bgp 206xxx 
 ...
 neighbor 89.237.xx.xx route-map TT-in in
 neighbor 89.237.xx.xx route-map TT-out out

 

[Gray swordsman]

По мне, вы навсегда отфильтруете 123.123.123.0/24 . А как же легитимный трафик ?

я бы сказал что условие должно быть составным что-то типа

 

ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24

ip as-path access-list Hijacking_AS permit 123123$

route-map TT-in deny 111
 match as-path Hijacking_AS

 match ip address prefix-list DENY-Hijacking-PREFIXES

 

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx route-map TT-in in

[Ivan_83]

Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :)

[YuryD]

В 09.08.2022 в 20:06, Ivan_83 сказал:

Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :)

 Хихис, а кто не переподает инет у нас  тут ? Ну и спрятанные Ip и as - Это просто по закону о...

[Ivan_83]

Провайдер - в смысле с инженерами умеющими готовить бгп (то немногое что пока дома и малом/среднем буизнесе почти не нужно), а не очередной пионер с траффик инспектором поверх виндовз ХР или вот теперь такой же оператор мышки только с микротиком.

Хотя если оператор микротика таки осилит бгп а кошкоюзеры нет будет вдвойне смешно.

 

Это прежде всего камень в огород недопровайдеров которые ебанентам выдают гугловые и прочие чужие днс рекурсоры и прочим неосиляторам того что нынче даже в обычный тплинк ставится и настраивается в пару кликов сразу после заливки туда OpenWRT.

[sirmax]

23 часа назад, Ivan_83 сказал:

Провайдер - в смысле с инженерами умеющими готовить бгп.

 

Вопрос в источнике данных откуда брать origin as 

ripe ещё не забанили? 
вроде крупняк всю жизнь так делал пока записи нет то хоть абанонсируйся, все на фильтрах помрет 

 

если что я сварщик- то не настоящий

 

Вроде и скрипты под это дело были, я правда как всю жизнь одноногий, их не смотрел 

[dimzerman]

А там же всё написано. Дежурная служба ЦМУ ССОП сделает рассылку со своего почтового ящика noc@cmu.gov.ru, где будут указаны префиксы и AS, в которой эти префиксы были созданы. В свою очередь, нам нужно будет создать фильтр для всей AS или для отдельных префиксов. 

На Cisco ASR всё довольно просто, можно сделать так:

Для запрета всех префиксов от AS:

ip as-path access-list 1 deny _Num$
ip as-path access-list 1 permit .*

Вначале запрещаем все маршруты, которые создала AS с номером "Num", затем разрешаем анонсы от всех других AS.
Ну а фильтр отдельных префиксов через prefix-list.
Применяем к bgp-соседу, soft reset, и, скорее всего, пишем отчёт в личном кабинете или на почту.

Edited August 11, 2022 by dimzerman

[st_re]

Чтота мне это напоминает анекдот

 

Цитата

- Паааап, пааап, покажи слоников ?

- Слоники спят..

- Ну пааап..

...

- РОТА ПОДЪЁМ!!!! ГАЗЫ

 

 

накуя всё это ? ктото книжку по бгп купил и решил блеснуть на всю страну знаниями ? И заставить всех однонигих заодно и получающих дефолт фильтровать АС ? и траву в зелёный цвет не забыть кисточкой, а то выгорела за лето.

[alibek]

Да, с дефолтом будет любопытно.