talyan Опубликовано 9 августа, 2022 · Жалоба Тему что-то тут не нашел, если уже есть перенесите Всем операторам рассылка пришла? Цитата В рамках сценария учений будет проведена проверка реагирования на угрозу BGP hijacking (перехват маршрутов) – анонсирование автономной системой маршрутов, зарегистрированных за другими операторами связи. Для этого будут реализованы следующие этапы: 1. Моделируется ситуация с перехватом маршрутов (BGP Hijacking) 2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS) 3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ. Оперативное указание будет направлено с почтового адреса noc@cmu.gov.ru Отработка сценария учений запланирована на август 2022 года. Подробное описание сценария и точная дата его проведения будет сообщена регулятором дополнительно. Уже первым участникам, тестовое задание начало приходить Пример тестового задания в рамках учения от РКН, которое ведомство разослало сегодня (по ASN 8359 от МТС): Цитата Тема поручения: Фильтрация нелегитимного анонса. Содержание поручения: Уважаемые коллеги! В информационной системе ИС ЦМУ ССОП зафиксированы инциденты нарушения маршрутизации, виновником которых является AS8359 (ПАО «МТС»), что нарушает п.2 Приказа Роскомнадзора №224 от 31.07.2019 « Об утверждении правил маршрутизации сообщений электросвязи...». В целях предотвращения подобных инцидентов и в соответствии с ФЗ от 07.07.2003 №126-ФЗ (ред. от 02.07.2021) «О связи», статья 56.2. п.8. Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359. Создано: 2022-08-08 11:38:37 Москва, стандартное время Срок исполнения: 2022-08-08 12:38:00 Москва, стандартное время Критичность: Высокая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 августа, 2022 · Жалоба Нам приходило недели 1,5 назад. Хотя у меня и есть bgp я не понял что от меня требуется. Цитата 2. Дежурная служба ЦМУ ССОП (Центра мониторинга и управления сетями связи общего пользования РКН) отправляет операторам связи оперативное указание (далее – ОУ) на установку фильтра на приём некорректного маршрута (на основании информации о префиксе и оригинирующей AS) 3. Оператор связи на своём пограничном оборудовании устанавливает фильтры на приём BGP анонсов в соответствии с переданной в ОУ информацией и формирует в сторону ЦМУ ССОП отчёт о выполнении ОУ. Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24 c AS 123123 сделать что-то типа: ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24 ip as-path access-list Hijacking_AS permit 123123 router bgp 206xxx neighbor 89.237.xxx.xxx description TTK neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in route-map TT-in deny 111 match as-path Hijacking_AS Опыта в этом никакого, так что сорри, если пальцем в небо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 09:39, Andrei сказал: Т.е. если у меня есть стык с магистралом, к примеру ТТК, то я должен буду для фильтрации сети 123.123.123.0/24 Как я понял, нужно отфильтровать не просто анонс сети 123.123.123.0/24, а анонс сети от имени определённой AS. То есть не только по префиксу, но и по AS-PATH. Все ли железки такое умеют - хз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 09:45, azhur сказал: а анонс сети от имени определённой AS. я выше чуть поправил свое сообщение на этот предмет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 9 августа, 2022 · Жалоба Не всё поправили. TT-in у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 9 августа, 2022 · Жалоба для этого есть RPKI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 07:06, talyan сказал: Всем операторам рассылка пришла? Нет, но звонили. Правда я не понял, о чем вообще речь. Вроде бы как будут приходить списки ресурсов, которые нужно блокировать. Что за списки, как блокировать, почему для этого не используется реестр запрещенных сайтов — местный РКН не знает. Если же речь за фильтрацию анонсов, то у нас вообще только дефолт принимается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 07:06, talyan сказал: Прошу проверить и включить фильтрацию нелегитимного анонса от автономной системы 8359. И префиксов не указано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
talyan Опубликовано 9 августа, 2022 · Жалоба Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу: add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS add action=accept chain=AS33xxx-bgp-in Может Saab заглянет и поправит еще) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 11:22, talyan сказал: Микрот, который тут за маршрутник не сильно считают. Примерно как-то примерно так вижу: add action=discard chain=AS33xxx-bgp-in prefix=123.123.123.0/24 comment=DENY-Hijacking-PREFIXES add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS add action=accept chain=AS33xxx-bgp-in Может Saab заглянет и поправит еще) А если это full view? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 11:22, talyan сказал: add action=discard bgp-as-path="123123$" chain=AS33xxx-bgp-in comment=Hijacking_AS add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 09:43, ne-vlezay80 сказал: для этого есть RPKI RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 12:03, Умник сказал: RPKI ROA поможет только если origin AS для префикса не легитимная. Если случился классической route leak без замены origin AS, то не спасет. Можно конечно привезать префиксы к peer ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
talyan Опубликовано 9 августа, 2022 (изменено) · Жалоба В 09.08.2022 в 15:41, ne-vlezay80 сказал: А если это full view? full view и принимаем. фильтр дискарднит AS и префиксы. дефолт если летит, ясно дело, вышестоящий пусть решает, тут уж требование РКН, никак не выполнишь. хотя похоже, они этого особо не понимают) В 09.08.2022 в 15:58, ixi сказал: add action=discard bgp-as-path="_123123\$" chain=AS33xxx-bgp-in comment=Hijacking_AS ага, чуть пропустил) в боевом конфиге так) Изменено 9 августа, 2022 пользователем talyan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 11:27, stalker86 сказал: Не всё поправили. TT-in у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES А как правильно? У меня все роут-мапы так навешаны: route-map TT-in deny 100 match as-path PRIV ! route-map TT-in deny 110 match ip address prefix-list bogons ! route-map TT-in deny 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in permit 200 ! route-map TT-out permit 100 match ip address prefix-list upstream-out Префикс-листы PRIV, bogons, reduced - это стандарно. our-CIDR-blocks и upstream-out - это касается наших сеток. И bgp работает уже года два. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 07:39, Andrei сказал: router bgp 206xxx neighbor 89.237.xxx.xxx description TTK neighbor 89.237.xxx.xxx prefix-list DENY-Hijacking-PREFIXES in очепятка или недосказанность? neighbor 89.237.xxx.xxx route-map TT-in in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 15:42, MrNv сказал: недосказанность router bgp 206xxx ... neighbor 89.237.xx.xx route-map TT-in in neighbor 89.237.xx.xx route-map TT-out out Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gray swordsman Опубликовано 9 августа, 2022 · Жалоба По мне, вы навсегда отфильтруете 123.123.123.0/24 . А как же легитимный трафик ? я бы сказал что условие должно быть составным что-то типа ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24 ip as-path access-list Hijacking_AS permit 123123$ route-map TT-in deny 111 match as-path Hijacking_AS match ip address prefix-list DENY-Hijacking-PREFIXES router bgp 206xxx neighbor 89.237.xxx.xxx description TTK neighbor 89.237.xxx.xxx route-map TT-in in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 августа, 2022 · Жалоба Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 августа, 2022 · Жалоба В 09.08.2022 в 20:06, Ivan_83 сказал: Вот щас мы и узнаем кто тут настоящей провайдер а кто просто воздух перепродаёт :) Хихис, а кто не переподает инет у нас тут ? Ну и спрятанные Ip и as - Это просто по закону о... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 августа, 2022 · Жалоба Провайдер - в смысле с инженерами умеющими готовить бгп (то немногое что пока дома и малом/среднем буизнесе почти не нужно), а не очередной пионер с траффик инспектором поверх виндовз ХР или вот теперь такой же оператор мышки только с микротиком. Хотя если оператор микротика таки осилит бгп а кошкоюзеры нет будет вдвойне смешно. Это прежде всего камень в огород недопровайдеров которые ебанентам выдают гугловые и прочие чужие днс рекурсоры и прочим неосиляторам того что нынче даже в обычный тплинк ставится и настраивается в пару кликов сразу после заливки туда OpenWRT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 10 августа, 2022 · Жалоба 23 часа назад, Ivan_83 сказал: Провайдер - в смысле с инженерами умеющими готовить бгп. Вопрос в источнике данных откуда брать origin as ripe ещё не забанили? вроде крупняк всю жизнь так делал пока записи нет то хоть абанонсируйся, все на фильтрах помрет если что я сварщик- то не настоящий Вроде и скрипты под это дело были, я правда как всю жизнь одноногий, их не смотрел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimzerman Опубликовано 11 августа, 2022 (изменено) · Жалоба А там же всё написано. Дежурная служба ЦМУ ССОП сделает рассылку со своего почтового ящика noc@cmu.gov.ru, где будут указаны префиксы и AS, в которой эти префиксы были созданы. В свою очередь, нам нужно будет создать фильтр для всей AS или для отдельных префиксов. На Cisco ASR всё довольно просто, можно сделать так: Для запрета всех префиксов от AS: ip as-path access-list 1 deny _Num$ ip as-path access-list 1 permit .* Вначале запрещаем все маршруты, которые создала AS с номером "Num", затем разрешаем анонсы от всех других AS. Ну а фильтр отдельных префиксов через prefix-list. Применяем к bgp-соседу, soft reset, и, скорее всего, пишем отчёт в личном кабинете или на почту. Изменено 11 августа, 2022 пользователем dimzerman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 августа, 2022 · Жалоба Чтота мне это напоминает анекдот Цитата - Паааап, пааап, покажи слоников ? - Слоники спят.. - Ну пааап.. ... - РОТА ПОДЪЁМ!!!! ГАЗЫ накуя всё это ? ктото книжку по бгп купил и решил блеснуть на всю страну знаниями ? И заставить всех однонигих заодно и получающих дефолт фильтровать АС ? и траву в зелёный цвет не забыть кисточкой, а то выгорела за лето. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 августа, 2022 · Жалоба Да, с дефолтом будет любопытно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...