[atnog] Fwd: [NLNOG] Voorkom AS-set namespace collisions. AS-A2B vs AS51088:AS-A2B // AS-SET Squatting
Arnold Nipper
arnold at nipper.de
Tue Nov 22 23:37:46 CET 2022
[ h/t Erik Bais ... helemaal bedankt, Erik! ]
Erik hat eine einfache Anleitung, um AS-SET Squatting zu umgehen bzw.
auf hierarchische AS-SET zu wechseln
* Erstelle einen neuen AS-Set-Namen .. der mit der eigenen AS-Nummer
beginnt .... ASNUMBER:<alter AS-Set-Name>
* Kopiere alle Informationen darin, die auch im aktuellen (Short)
AS-Set enthalten sind
* Speichern und überprüfe es in der RIPE DB
* Im alten AS-Set .. trägst du eine Referenz ein .. und lässt den
Rest leer .. Du bekommst also nur eine Zeile mit Mitgliedern:
ASNUMBER:<alter AS-Set-Name>
* benachrichtige alle Peers und ändere auch den Eintrag in PeerinDB etc.
Viele Grüße
Arnold
P.S.: Siehe auch
https://www.ripe.net/ripe/mail/archives/routing-wg/2022-November/004649.html
ff
-------- Weitergeleitete Nachricht --------
Betreff: [NLNOG] Voorkom AS-set namespace collisions. AS-A2B vs
AS51088:AS-A2B
Datum: Fri, 18 Nov 2022 13:02:28 +0000
Von: Erik Bais <erik at bais.name>
An: nlnog at nlnog.net <nlnog at nlnog.net>
Ollah,
Er loopt momenteel bij de RIPE Database Working group ( DB-WG ) een
discussie
<https://www.ripe.net/ripe/mail/archives/db-wg/2022-November/007646.html>
waarbij de AS-Set name misbruikt kan worden, omdat de normale short
notatie zoals ( AS-A2B ) bij het aanmaken van een ‘nieuwe’ short as name,
geen authorisatie vereist in referentie naar een origineel of naar een
eigenaar van een netwerk.
Nu is er een optie om je AS nummer als authorisatie te gebruiken .. en
dan moet je dus je AS set naam aanpassen .. in <ASnummer>:<AS-set naam>
Dit is al misbruikt in de afgelopen weken.. waarbij een of andere
leukerd in de RIPE Database een AS-Set aangemaakt had met een naam
AS-<grote cloud provider> ..
Aangezien hun normaal hun AS-Set bij een andere database bijhielden,
hadden ze hierdoor opeens een AS-Set name collission .. met als
resultaat .. dat alle partijen die bijvoorbeeld bgpq4 gebruiken om de
prefixfilters te maken,
een lege prefixfilter als resultaat set kregen .. omdat ze tegen de lege
AS set in de RIPE db aanliepen ..en daarna exit.
Het is dus sterk aan te raden om de ‘long’ AS-Set notatie te gaan
gebruiken voor je eigen (en je klanten) hun bereikbaarheid.
Wat je nu binnen een paar minuten kan doen is:
Creëer een nieuwe AS-Set naam .. die begint met je eigen AS nummer
…. ASNUMMER:<oude AS set naam>
Kopieer daar alle informatie in, die ook in je huidige (Short) AS-Set
staat..
Bewaar en check die dan even in de RIPE DB.
( A2B voorbeeld :
https://apps.db.ripe.net/db-web-ui/query?searchtext=as51088:as-a2b
<https://apps.db.ripe.net/db-web-ui/query?searchtext=as51088:as-a2b> )
In de oude AS-Set .. zet je 1 verwijzing in .. en de rest laat je leeg
.. Dus je krijgt dan alleen een regel met .. members:
ASNUMMER:<oude AS set naam>
( Voorbeeld van AS-A2B -
https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as-a2b&source=RIPE
<https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as-a2b&source=RIPE>
)
En bij peeringdb : zet je de nieuwe AS set naam (ASNUMMER:<oude AS set
naam>) .. en wil je het helemaal fancy doen .. dan doe je RIPE::
ASNUMMER:<oude AS set naam>
Als je RIPE:: ervoor zet, dan is dat een referentie naar in welke RIR DB
je AS-Set te vinden is ..
( voorbeeld in PeeringDB : https://www.peeringdb.com/net/3237
<https://www.peeringdb.com/net/3237> )
Daarna is het handig om ook je AS object even een update te geven ..
En loop even overal na, dat je je nieuwe AS-Set in je export regels hebt
staan.. zoals :
* remarks: Transits
* remarks: ============================================================
* import: from AS2914 action pref=100; accept ANY AND NOT {0.0.0.0/0}
* export: to AS2914 announce AS51088:AS-A2B
* import: from AS3257 action pref=100; accept ANY AND NOT {0.0.0.0/0}
* export: to AS3257 announce AS51088:AS-A2B
Mocht je dat bij peers / klanten of internet exchanges ook hebben
staan.. rinse & repeat .. you know the drill.
( Voorbeeld AS51088 -
https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as51088&source=RIPE
<https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as51088&source=RIPE>
).
Het is een pleister tegen een mogelijk issue .. maar wel handig om dit
correct te fixen .. waar je later veel plezier van kan hebben .. dus
doe er je voordeel mee.
Die fix die er besproken wordt in de RIPE DB WG, zorgt er voor dat er
geen nieuwe AS-Sets met een short notatie aangemaakt kunnen worden. Maar
verhelpen is beter dan genezen.
Alvast prettig weekend,
Groetjes,
Erik Bais
--
Keep calm, keep distance, keep connected!
Arnold Nipper
email: arnold at nipper.de
mobile: +49 172 2650958
-------------- next part --------------
_______________________________________________
NLNOG mailing list
NLNOG at nlnog.net
http://mailman.nlnog.net/listinfo/nlnog
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 203 bytes
Desc: OpenPGP digital signature
URL: <http://atnog.at/pipermail/atnog/attachments/20221122/bb669e41/attachment.sig>
More information about the atnog
mailing list