[atnog] RPKI Risken

Christoph cm at appliedprivacy.net
Sun Apr 12 00:55:00 CEST 2020


> Ich bin gerade dabei RPKI zu aktivieren und habe noch Fragen bzgl
> möglicher Risken die entstehen können. Ich hoffe es kann jemand Licht
> ins Dunkel bringen.
> 
> Ich möchte das gehostete RPKI von der RIPE verwenden.
> 
> 1. Was passiert wenn das Down oder nicht erreichbar ist. Wie gehen
> validierende ISPs damit um? Verwenden die den Letztstand vom Vortag
> (wie oft wird importiert?) oder werden dann alle Prefixe die vorher
> RPKI Valid waren einfach wieder wie Prefixe ohne RPKI behandelt?

RPKI und ROA Validierung wurde so designt dass eine Downtime der RPKI
Repositories zu keinem operativen Impact fuehrt (Fail Open).

Implementierungen die Spezifikationen falsch umsetzen (Bugs) kann es
natuerlich trotzdem geben.

Neben der RPKI Repo Verfuegbarkeit ist auch die Verfuegbarkeit des
Interfaces in dem man seine ROAs verwaltet relevant(er),
aber ROAs aktualisiert man i.d.R. ohnehin sehr selten nachdem sie einmal
erstellt sind.


> Letztlich hatte die RIPE ja 2 Probleme mit dem RPKI Service:
> 
> 2.
> https://www.ripe.net/support/service-announcements/rpki-deployment-issue
>
> 
"... some validators were not able to handle it, up to the point that
they would drop all known Validated ROA Prefixes (VRPs) announced to the
routers via RTR protocol ..."
> 
> Was war da die Auswirkung? Haben die Validatoren dann das Prefix als
> invalid angesehen und aus der Routing Tabelle entfernt, oder nur als
> RPKI Unknown betrachtet und Routing ging noch?

Im Worst-Case hat der Router hat die VRPs nicht mehr vom Validator
erhalten, somit war der Schutz den die ROAs bringen auf den betroffenen
Prefixes nicht mehr gegeben.
Geroutet wurden die betroffenen Prefixe aber trotzdem.
In unserem Setup mit Routinator war das Event in den VRP Monitoring
Graphen gar nicht sichtbar (Anzahl der VRPs hat sich nicht damals nicht
reduziert).


> 3.
> https://www.ripe.net/support/service-announcements/accidental-roa-deletion
>
>  Was wäre da die Auswirkung in diesen 3 Fällen:
> 
> a) Nur 1 ROA: AS30971 83.136.32.0/21 Wenn dieses ROA verloren geht
> (von der RIPE aus Versehen gelöscht wurde) würde das Routing noch
> funktionieren weil das wie "Unknown" behandelt wird?

korrekt

> b) 2 ROA: AS30971 83.136.32.0/21, AS30971 83.136.33.0/24 (also 1 more
> specific) Wenn das more specific ROA verloren geht, dann würde wohl
> 83.136.33.0/24 wie 32.0/21 geroutet werden weil das more specific
> nicht mehr akzeptiert wird - korrekt?

prinzipiell korrekt (zumindest wenn sich die Prefixe nicht im selben ROA
befinden und RPKI Validierung aktiviert ist)

Wenn sich beide Prefixe im selben ROA befinden, wuerds vermutlich beide
oder keines betreffen (weil ein ROA nicht nur zur Haelfte verloren geht
und es danach noch durch den Validator schafft)

> c) 2 ROA: AS207021 194.0.25.0/21, AS1921 194.0.25.0/21 (also gleiches
> Prefix aus 2 AS, d.h. haben wir zB in unserem Anycast Netz so) Wenn
> nun das ROA für AS1921 verloren geht, dann würden wohl nur mehr die
> Announcements aus AS207021 akzeptiert werden - korrekt? 

korrekt
(ein ROA kann nur ein AS beinhalten, fuer mehrere ASNs sind mehrere ROAs
erforderlich)
Wenn man das meiden moechte koennte man dafuer sorgen, dass das Prefix
ueberall von der selben ASN und daher nur von einer ASN announced wird.

> Also sehe ich das richtig, dass ich mir mit RPKI auch ziemlich ins
> Knie schießen kann, und man sich doch gut überlegen soll ob man RPKI
> verwendet? 


Ja ein Typo im ASN des ROAs reicht und ein Prefix ist "offline" fuer
validierende (und Kunden von validierenden Transits).

Letzendlich ists eine Abwaegung, welches Risiko grosser ist, ROAs zu
haben oder keine zu haben.


Gruesse,
Christoph


More information about the atnog mailing list