[ h/t Erik Bais ... helemaal bedankt, Erik! ]Erik hat eine einfache Anleitung, um AS-SET Squatting zu umgehen bzw. auf hierarchische AS-SET zu wechseln
* Erstelle einen neuen AS-Set-Namen .. der mit der eigenen AS-Nummer beginnt .... ASNUMBER:<alter AS-Set-Name>
* Kopiere alle Informationen darin, die auch im aktuellen (Short) AS-Set enthalten sind
* Speichern und überprüfe es in der RIPE DB* Im alten AS-Set .. trägst du eine Referenz ein .. und lässt den Rest leer .. Du bekommst also nur eine Zeile mit Mitgliedern: ASNUMBER:<alter AS-Set-Name>
* benachrichtige alle Peers und ändere auch den Eintrag in PeerinDB etc. Viele Grüße ArnoldP.S.: Siehe auch https://www.ripe.net/ripe/mail/archives/routing-wg/2022-November/004649.html ff
-------- Weitergeleitete Nachricht --------Betreff: [NLNOG] Voorkom AS-set namespace collisions. AS-A2B vs AS51088:AS-A2B
Datum: Fri, 18 Nov 2022 13:02:28 +0000 Von: Erik Bais <e...@bais.name> An: nl...@nlnog.net <nl...@nlnog.net> Ollah,Er loopt momenteel bij de RIPE Database Working group ( DB-WG ) een discussie <https://www.ripe.net/ripe/mail/archives/db-wg/2022-November/007646.html> waarbij de AS-Set name misbruikt kan worden, omdat de normale short notatie zoals ( AS-A2B ) bij het aanmaken van een ‘nieuwe’ short as name,
geen authorisatie vereist in referentie naar een origineel of naar een eigenaar van een netwerk.
Nu is er een optie om je AS nummer als authorisatie te gebruiken .. en dan moet je dus je AS set naam aanpassen .. in <ASnummer>:<AS-set naam>
Dit is al misbruikt in de afgelopen weken.. waarbij een of andere leukerd in de RIPE Database een AS-Set aangemaakt had met een naam AS-<grote cloud provider> ..
Aangezien hun normaal hun AS-Set bij een andere database bijhielden, hadden ze hierdoor opeens een AS-Set name collission .. met als resultaat .. dat alle partijen die bijvoorbeeld bgpq4 gebruiken om de prefixfilters te maken,
een lege prefixfilter als resultaat set kregen .. omdat ze tegen de lege AS set in de RIPE db aanliepen ..en daarna exit.
Het is dus sterk aan te raden om de ‘long’ AS-Set notatie te gaan gebruiken voor je eigen (en je klanten) hun bereikbaarheid.
Wat je nu binnen een paar minuten kan doen is:Creëer een nieuwe AS-Set naam .. die begint met je eigen AS nummer …. ASNUMMER:<oude AS set naam>
Kopieer daar alle informatie in, die ook in je huidige (Short) AS-Set staat..
Bewaar en check die dan even in de RIPE DB.( A2B voorbeeld : https://apps.db.ripe.net/db-web-ui/query?searchtext=as51088:as-a2b <https://apps.db.ripe.net/db-web-ui/query?searchtext=as51088:as-a2b> )
In de oude AS-Set .. zet je 1 verwijzing in .. en de rest laat je leeg .. Dus je krijgt dan alleen een regel met .. members: ASNUMMER:<oude AS set naam>
( Voorbeeld van AS-A2B - https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as-a2b&source=RIPE <https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as-a2b&source=RIPE> )
En bij peeringdb : zet je de nieuwe AS set naam (ASNUMMER:<oude AS set naam>) .. en wil je het helemaal fancy doen .. dan doe je RIPE:: ASNUMMER:<oude AS set naam>
Als je RIPE:: ervoor zet, dan is dat een referentie naar in welke RIR DB je AS-Set te vinden is ..
( voorbeeld in PeeringDB : https://www.peeringdb.com/net/3237 <https://www.peeringdb.com/net/3237> )
Daarna is het handig om ook je AS object even een update te geven ..En loop even overal na, dat je je nieuwe AS-Set in je export regels hebt staan.. zoals :
* remarks: Transits
* remarks: ============================================================
* import: from AS2914 action pref=100; accept ANY AND NOT {0.0.0.0/0}
* export: to AS2914 announce AS51088:AS-A2B
* import: from AS3257 action pref=100; accept ANY AND NOT {0.0.0.0/0}
* export: to AS3257 announce AS51088:AS-A2B
Mocht je dat bij peers / klanten of internet exchanges ook hebben
staan.. rinse & repeat .. you know the drill.
( Voorbeeld AS51088 - https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as51088&source=RIPE <https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=as51088&source=RIPE> ).
Het is een pleister tegen een mogelijk issue .. maar wel handig om dit correct te fixen .. waar je later veel plezier van kan hebben .. dus doe er je voordeel mee.
Die fix die er besproken wordt in de RIPE DB WG, zorgt er voor dat er geen nieuwe AS-Sets met een short notatie aangemaakt kunnen worden. Maar verhelpen is beter dan genezen.
Alvast prettig weekend, Groetjes, Erik Bais -- Keep calm, keep distance, keep connected! Arnold Nipper email: arn...@nipper.de mobile: +49 172 2650958
_______________________________________________ NLNOG mailing list nl...@nlnog.net http://mailman.nlnog.net/listinfo/nlnog
OpenPGP_signature
Description: OpenPGP digital signature
_______________________________________________ swinog mailing list -- swinog@lists.swinog.ch To unsubscribe send an email to swinog-le...@lists.swinog.ch
