[atnog] RPKI Risken

Klaus Darilion klaus.darilion at nic.at
Sat Apr 11 22:38:43 CEST 2020 

Hallo!

Ich bin gerade dabei RPKI zu aktivieren und habe noch Fragen bzgl möglicher Risken die entstehen können. Ich hoffe es kann jemand Licht ins Dunkel bringen.

Ich möchte das gehostete RPKI von der RIPE verwenden.

1. Was passiert wenn das Down oder nicht erreichbar ist. Wie gehen validierende ISPs damit um? Verwenden die den Letztstand vom Vortag (wie oft wird importiert?) oder werden dann alle Prefixe die vorher RPKI Valid waren einfach wieder wie Prefixe ohne RPKI behandelt?

Letztlich hatte die RIPE ja 2 Probleme mit dem RPKI Service:

2. https://www.ripe.net/support/service-announcements/rpki-deployment-issue
"... some validators were not able to handle it, up to the point that they would drop all known Validated ROA Prefixes (VRPs) announced to the routers via RTR protocol ..."

Was war da die Auswirkung? Haben die Validatoren dann das Prefix als invalid angesehen und aus der Routing Tabelle entfernt, oder nur als RPKI Unknown betrachtet und Routing ging noch?

3. https://www.ripe.net/support/service-announcements/accidental-roa-deletion

Was wäre da die Auswirkung in diesen 3 Fällen:

a) Nur 1 ROA: AS30971 83.136.32.0/21
Wenn dieses ROA verloren geht (von der RIPE aus Versehen gelöscht wurde) würde das Routing noch funktionieren weil das wie "Unknown" behandelt wird?

b) 2 ROA: AS30971 83.136.32.0/21, AS30971 83.136.33.0/24 (also 1 more specific)
Wenn das more specific ROA verloren geht, dann würde wohl 83.136.33.0/24 wie 32.0/21 geroutet werden weil das more specific nicht mehr akzeptiert wird - korrekt?

c) 2 ROA: AS207021 194.0.25.0/21, AS1921 194.0.25.0/21 (also gleiches Prefix aus 2 AS, d.h. haben wir zB in unserem Anycast Netz so)
Wenn nun das ROA für AS1921 verloren geht, dann würden wohl nur mehr die Announcements aus AS207021 akzeptiert werden - korrekt? Das wäre Blöd, dann dieser eine Anycast Knoten ist ein "local-node".


Also sehe ich das richtig, dass ich mir mit RPKI auch ziemlich ins Knie schießen kann, und man sich doch gut überlegen soll ob man RPKI verwendet? Oder bin ich zu paranoid?

lg
Klaus

PS: Ich habe testweise mal ein paar RPKI Invalid angelegt und die Prefixe in Indien, Sao Paulo und Athen announct. Aus Wien via Nextlayer komme ich nicht mehr hin, aus Salzburg oder Hetzner via Conova/UPC/Tata/Cogent/PCCW sehr wohl - wobei man sieht, dass hier schon Umwege gemacht werden damit einen Weg über nichtvalidierende ISPs findet: HetznerSaoPaulo hat plötzlich 415ms RTT :-)

More information about the atnog mailing list