RPKI in de praktijk

Door: Teun Vink (teun@bit.nl)

Over BIT en mijzelf

  • Business-to-business ISP en Datacenters
  • Technisch hoogwaardige diensten met veel maatwerk
  • Klanten: hosters, finance, zorg, system integrators
  • Teun: 13 jaar bij BIT, teamleider Netwerkbeheer

RPKI Implementatie - Beweegredenen

Klanten verwachten dat:
  • hun IP's (en dus diensten) bereikbaar blijven
  • wij ze correcte routes aanbieden

En dus dat wij maatregelen nemen om dit zo goed mogelijk te realiseren.

RPKI Implementatie - Beweegredenen

RPKI signing bij BIT

  • Actief sinds september 2018
  • ROA's aanmaken is simpel via de RIPE LIR Portal

RPKI signing - aandachtspunten

  • DDoS mitigatie:
    • Door het doel om te leiden met BGP via Nawas
    • Specifiekere route alléén aan Nawas geadverteerd
    • Ook dáárvoor moeten dus ROA's bestaan
  • Klanten die zélf LIR zijn moeten signing zélf regelen

RPKI validation

  • Geimplementeerd in september 2018
  • Validatie op Juniper core routers (JunOS 15.1R7.8)
  • RIPE RPKI Validator (toekomst: ook Routinator 3000)
  • Gehanteerde policy: invalid == reject

RPKI validation - implementatie

  1. Installatie van de RPKI Validator (denk aan de ARIN TAL)
  2. Validation sessions opzetten
  3. Validation database controleren
  4. Import policy toevoegen op geleerde routes van transits en peers. Eerst alleen labelen: valid / unknown / invalid

RPKI validation - implementatie (2)

  1. Veel controles op routes met validation-state invalid
  2. Op peerings en transits de import policy
    op invalid == reject zetten
  3. Import policy voor klanten BGP voorzien van een
    invalid == reject policy
  4. Nu zouden er geen actieve invalid routes mogen zijn!
  5. Problemen niet propageren: ook een export policy
    invalid == reject op alle externe BGP sessies

RPKI validation - aandachtspunten

  • Zonder een invalid == reject import policy op alle eBGP sessies eindigen invalid routes alsnog in je routing tables
  • Als je default routes accepteert van je transits is RPKI validation zinloos (tenzij al je transits valideren)
  • ARIN's TAL moet je zelf downloaden en toevoegen
  • Zorg voor monitoring van je validator/validation sessions

RPKI validation
de praktijk

Tools en kennis

  • Uitleg aan de supportdesk is essentieel. Vooral om bereikbaarheidsproblemen door RPKI te herkennen
  • Aan support engineers tooling bieden om inzicht te hebben in de RPKI-status

Controleren validation

$ whois -h whois.bgpmon.net 61.147.0.0/16

Prefix:              61.147.0.0/16
Prefix description:  
Country code:        CN
Origin AS:           4134
Origin AS Name:      CHINANET-BACKBONE No.31,Jin-rong Street, CN
RPKI status:         ROA validation failed: Invalid Origin ASN, expected 23650 
First seen:          2011-10-19
Last seen:           2019-01-08
Seen by #peers:      65

Externe tools

Praktijkervaring

Door klanten gemelde problemen door RPKI validation:
5
  • 3 zijn vrijwel direct opgelost
  • 2 zijn na vier maanden nog steeds niet opgelost
  • allemaal lijken onopzettelijke, administratieve fouten

Praktijkervaring

  • Klanten hebben begrip voor het niet accepteren van routes met invalid RPKI validation
  • Verwijzen naar externe bronnen om aan te tonen dat er iets bij een ander mis is helpt
  • Tot nu toe één uitzondering moeten configureren

Praktijkervaring

  • 22-12-2018: grote netwerk outage door RPKI validatie
  • Sindsdien staat RPKI validatie tijdelijk uit
  • Besluit: zodra er een fix is voor JunOS 15.1 zullen we upgraden en weer gaan valideren





Vragen?

Teun Vink (teun@bit.nl)