Перейти к содержимому
Калькуляторы

Тему что-то тут не нашел, если уже есть перенесите

 

Всем операторам рассылка пришла? 

 

Цитата

 

В рамках сценария учений будет проведена проверка реагирования на угрозу BGP hijacking (перехват маршрутов) – анонсирование автономной системой маршрутов, зарегистрированных за другими операторами связи. Для этого будут реализованы следующие этапы:
1. Моделируется ситуация с перехватом маршрутов (BGP Hijacking)
2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS)
3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ.

Оперативное указание будет направлено с почтового адреса noc@cmu.gov.ru

Отработка сценария учений запланирована на август 2022 года. Подробное описание сценария и точная дата его проведения будет сообщена регулятором дополнительно.

 

Уже первым участникам, тестовое задание начало приходить

 

Пример тестового задания в рамках учения от РКН, которое ведомство разослало сегодня (по ASN 8359 от МТС):

 

Цитата

 

Тема поручения: Фильтрация нелегитимного анонса.

Содержание поручения: Уважаемые коллеги!

В информационной системе ИС ЦМУ ССОП зафиксированы инциденты нарушения маршрутизации, виновником которых является AS8359 (ПАО «МТС»), что нарушает п.2 Приказа Роскомнадзора №224 от 31.07.2019 « Об утверждении правил маршрутизации сообщений электросвязи...». В целях предотвращения подобных инцидентов и в соответствии с ФЗ от 07.07.2003 №126-ФЗ (ред. от 02.07.2021) «О связи», статья 56.2. п.8.
Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359.

Создано: 2022-08-08 11:38:37 Москва, стандартное время
Срок исполнения: 2022-08-08 12:38:00 Москва, стандартное время
Критичность: Высокая

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нам приходило недели 1,5 назад.

Хотя у меня и есть bgp я не понял что от меня требуется.
 

Цитата

2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS)
3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ.

 

Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24 c AS 123123 сделать что-то типа:

 

ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24

ip as-path access-list Hijacking_AS permit 123123

 

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in

 

route-map TT-in deny 111
 match as-path Hijacking_AS

 

Опыта в этом никакого, так что сорри, если пальцем в небо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 09:39, Andrei сказал:

Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24

Как я понял, нужно отфильтровать не просто анонс сети 123.123.123.0/24, а анонс сети от имени определённой AS.

То есть не только по префиксу, но и по AS-PATH. Все ли железки такое умеют - хз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 09:45, azhur сказал:

а анонс сети от имени определённой AS.

я выше чуть поправил свое сообщение на этот предмет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не всё поправили.
TT-in  у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 07:06, talyan сказал:

Всем операторам рассылка пришла?

Нет, но звонили.

Правда я не понял, о чем вообще речь.

Вроде бы как будут приходить списки ресурсов, которые нужно блокировать.

Что за списки, как блокировать, почему для этого не используется реестр запрещенных сайтов — местный РКН не знает.

Если же речь за фильтрацию анонсов, то у нас вообще только дефолт принимается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 07:06, talyan сказал:

Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359.

И префиксов не указано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу:

add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES
add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS
add action=accept chain=AS33xxx-bgp-in

Может Saab заглянет и поправит еще)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 11:22, talyan сказал:

Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу:

add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES
add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS
add action=accept chain=AS33xxx-bgp-in

Может Saab заглянет и поправит еще)

А если это full view?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 11:22, talyan сказал:
add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS
add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 09:43, ne-vlezay80 сказал:

для этого есть RPKI

RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 12:03, Умник сказал:

RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет.

Можно конечно привезать префиксы к peer ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 15:41, ne-vlezay80 сказал:

А если это full view?

full view и принимаем. фильтр дискарднит AS и префиксы.

дефолт если летит, ясно дело, вышестоящий пусть решает, тут уж требование РКН, никак не выполнишь. хотя похоже, они этого особо не понимают)

  

В 09.08.2022 в 15:58, ixi сказал:
add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS

ага, чуть пропустил) в боевом конфиге так)

Изменено пользователем talyan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 11:27, stalker86 сказал:

Не всё поправили.
TT-in  у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES

А как правильно? У меня все роут-мапы так навешаны:

route-map TT-in deny 100
 match as-path PRIV
!
route-map TT-in deny 110
 match ip address prefix-list bogons
!
route-map TT-in deny 115
 match ip address prefix-list reduced
!
route-map TT-in deny 120
 match ip address prefix-list our-CIDR-blocks
!
route-map TT-in permit 200
!
route-map TT-out permit 100
 match ip address prefix-list upstream-out

Префикс-листы PRIV, bogons, reduced - это стандарно.

our-CIDR-blocks и upstream-out - это касается наших сеток.

И bgp работает уже года два.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 07:39, Andrei сказал:

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in

 

 

очепятка или недосказанность?

neighbor 89.237.xxx.xxx route-map TT-in in

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 15:42, MrNv сказал:

недосказанность

router bgp 206xxx 
 ...
 neighbor 89.237.xx.xx route-map TT-in in
 neighbor 89.237.xx.xx route-map TT-out out

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По мне, вы навсегда отфильтруете 123.123.123.0/24 . А как же легитимный трафик ?

я бы сказал что условие должно быть составным что-то типа

 

ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24

ip as-path access-list Hijacking_AS permit 123123$


route-map TT-in deny 111
 match as-path Hijacking_AS

 match ip address prefix-list DENY-Hijacking-PREFIXES

 

router bgp 206xxx

 neighbor 89.237.xxx.xxx description TTK
 neighbor 89.237.xxx.xxx route-map TT-in in

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 09.08.2022 в 20:06, Ivan_83 сказал:

Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :)

 Хихис, а кто не переподает инет у нас  тут ? Ну и спрятанные Ip и as - Это просто по закону о...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Провайдер - в смысле с инженерами умеющими готовить бгп (то немногое что пока дома и малом/среднем буизнесе почти не нужно), а не очередной пионер с траффик инспектором поверх виндовз ХР или вот теперь такой же оператор мышки только с микротиком.

Хотя если оператор микротика таки осилит бгп а кошкоюзеры нет будет вдвойне смешно.

 

Это прежде всего камень в огород недопровайдеров которые ебанентам выдают гугловые и прочие чужие днс рекурсоры и прочим неосиляторам того что нынче даже в обычный тплинк ставится и настраивается в пару кликов сразу после заливки туда OpenWRT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, Ivan_83 сказал:

Провайдер - в смысле с инженерами умеющими готовить бгп.

 

Вопрос в источнике данных откуда брать origin as 

ripe ещё не забанили? 
вроде крупняк всю жизнь так делал пока записи нет то хоть абанонсируйся, все на фильтрах помрет 

 

если что я сварщик- то не настоящий

 

Вроде и скрипты под это дело были, я правда как всю жизнь одноногий, их не смотрел 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А там же всё написано. Дежурная служба ЦМУ ССОП сделает рассылку со своего почтового ящика noc@cmu.gov.ru, где будут указаны префиксы и AS, в которой эти префиксы были созданы. В свою очередь, нам нужно будет создать фильтр для всей AS или для отдельных префиксов. 

На Cisco ASR всё довольно просто, можно сделать так:


Для запрета всех префиксов от AS:


ip as-path access-list 1 deny _Num$
ip as-path access-list 1 permit .*

Вначале запрещаем все маршруты, которые создала AS с номером "Num", затем разрешаем анонсы от всех других AS.
Ну а фильтр отдельных префиксов через prefix-list.

Применяем к bgp-соседу, soft reset, и, скорее всего, пишем отчёт в личном кабинете или на почту.

Изменено пользователем dimzerman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтота мне это напоминает анекдот

 

Цитата

- Паааап, пааап, покажи слоников ?

- Слоники спят..

- Ну пааап..

...

- РОТА ПОДЪЁМ!!!! ГАЗЫ

 

 

накуя всё это ? ктото книжку по бгп купил и решил блеснуть на всю страну знаниями ? И заставить всех однонигих заодно и получающих дефолт фильтровать АС ? и траву в зелёный цвет не забыть кисточкой, а то выгорела за лето.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.