Border Gateway Protocol (BGP)

Milloin päivitätte protokollan turvalliseksi ?

Olen parin vuoden ajan silloin tällöin testannut BGP toteutustaan ja aina se vaan ilmoittelee että protokolla toteutus ei ole turvallinen. Viimeaikoina lehdistössä on ollut enenevässä määrin outoja tiedonsiirron virheelliseen reititykseen liittyviä tapahtumia joiden epäillään johtuvan inhimillisestä virheestä tai tiedonsiirron kaappauksesta. Näitäpääsee tapahtumaan koska BGPn toteutusta ei ole tehty turvallisesti. Nämä ongelmat ja ratkaisut on yleisesti tiedossa ja odottavat vain että operaattorit hoitavat oman leiviskänsä kuntoon.

Testiohjelma sanoo näin:
===================
Your ISP (DNA, AS16086) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks. Tweet this →Detailsfetch https://valid.rpki.cloudflare.com
correctly accepted valid prefixes

fetch https://invalid.rpki.cloudflare.com
incorrectly accepted invalid prefixes

täällä voi testata itse samaa asiaa:
===========
https://isbgpsafeyet.com

to see if your ISP implements BGP in a safe way or if it leaves the Internet vulnerable to malicious route hijacks. käyttäjältä @Cloudflare

Artikkeleita aiheeseen:
===========

https://www.tekniikkatalous.fi/uutiset/venalaisyhtio-kaappasi-valtavan-maaran-nettiliikennetta-valehteli-internetin-liikenteenohjausjarjestelmille/03ba223a-66cf-4f37-a9c7-7109f1816cf6

https://medium.com/r3d-buck3t/bgp-hijacking-attack-7e6a30711246

https://arstechnica.com/information-technology/2019/06/bgp-mishap-sends-european-mobile-traffic-through-china-telecom-for-2-hours/?itm_source=parsely-api

https://arstechnica.com/information-technology/2014/11/wtf-russias-domestic-internet-traffic-mysteriously-passes-through-china/?itm_source=parsely-api

https://arstechnica.com/information-technology/2015/07/hacking-team-orchestrated-brazen-bgp-hack-to-hijack-ips-it-didnt-own/?itm_source=parsely-api


Kommentit

  • Minä sain tänään (19.5.2021) https://isbgpsafeyet.com/ testissä:

    Your ISP (DNA, AS16086) implements BGP safely. It correctly drops invalid prefixes.
    correctly accepted valid prefixes
    correctly rejected invalid prefixes


  • Hienoa .. jossain toimii … joku netti DNAlla oikein???


    valitettavasti minulle tulee edelleen tämä (19.05.2021 klo 20:45)
    DNAn Kaapeliliittymä Kartanon alueella kariniemenkadulla!

    Failure:
    Your ISP (DNA, AS16086) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks. Tweet this →Detailsfetch https://valid.rpki.cloudflare.com
    correctly accepted valid prefixes

    fetch https://invalid.rpki.cloudflare.com
    incorrectly accepted invalid prefixes

          t.    Juha
  • Saiskohan tähänki päivitystä DNA suunnalta?
    Mikael
  • Hei DNA!

    Olis kiva saada tietää mitä olette suunniteleet tämän asian korjaamiseksi DNA:lla. Tuo Ukrainan tilanne ei ainakaan lisää luottamusta nettiyhteyksien turvallisuuteen. Tätä asiaa olenseurannutmonta vuotta eikä siihen näytä tulevan poarannusta. Edelleen tilanne on tämä CloudFiren testissä:

    https://isbgpsafeyet.com

    Your ISP (DNA, AS16086) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks. Tweet this →

    Details
    fetch https://valid.rpki.cloudflare.com
    correctly accepted valid prefixes
    fetch https://invalid.rpki.cloudflare.com
        incorrectly accepted invalid prefixes

    Näyttää että tilanne tämän BGP protokollan suhteen vaihtelee eri puolilla DNA:n tarjoamia palveluita (??). Minä olen Lahdessa kaapelinetin päässä, jossa testi ainakin tuottaa virhe-ilmoituksen. Tilanne on ollut tällainen jo usean vuoden ajan.
    Juha
  • niin ... ja lisäyksenä vielä edelliseen ...
    ... pöytäkoneella (Mäkki ja PC) ongelma esiintyy, mutta tabletilla ja kännykällä (iPad ja iPhone) ongelmaa ei esiinny ... lienee jotain tekemistä Applen iOS laitteiden nettisuojausten kanssa!
    Juha
  • Viime vuonna (19.5.2021) sain: Your ISP (DNA, AS16086) implements BGP safely.

    Nyt (3.5.2022): Your ISP (DNA, AS16086) does not implement BGP safely.

    Liittymä on sama ja minun päässäni ei ole muuttunut mikään.
    yxWaan
  • Juu dna ei ole vieläkään implementoinut tätä valitettavasti.
    Mika
  • Hei, kiitos kaikille aktiivisuudesta! DNA on ottanut RPKI validaation käyttöön eikä vastaanota invalid prefixejä.
    DNA Iiro palveluasiantuntija
  • Hei Iiro!

    Testattaessa asiaa:
    https://isbgpsafeyet.com/
    Kaapelinetti, Kariniemenkatumenkadulta antaa tällaisen vastauksen:

    Unfortunately, my Internet provider (Fastly, Inc., AS54113) does NOT implement BGP safely. Check out https://isbgpsafeyet.com to see if your ISP implements BGP in a safe way or if it leaves the Internet vulnerable to malicious route hijacks. lähteestä @Cloudflare

    … eli ei vaikuta turvalliselta
    Juha
  • Hmm…

    toi edellinen … virheen tuottava testi oli safarilla tehty (iPad)…
    … testasin uudelleen Chromella (iPad), nyt se toimii!

    Internet-palveluntarjoajasi (DNA, AS16086) toteuttaa BGP:n turvallisesti. Se poistaa virheelliset etuliitteet oikein. Twiittaa tämä →Yksityiskohdathae https://valid.rpki.cloudflare.com
    oikein hyväksytyt kelvolliset etuliitteet

    hae https://invalid.rpki.cloudflare.com
    oikein hylätty virheelliset etuliitteet

    …ristiriitainen tulos, olisikohan Applella sormensa tuossa välissä!
    Juha
  • Hei Juha! Tuo liittyy Applen omaan Suojattu lähetys (iCloud Private Relay) ominaisuuteen Safarilla https://support.apple.com/fi-fi/HT212614
    DNA Iiro palveluasiantuntija
  • Microsoft Edge (uusin versio, windows 11, itä-helsinki ethernet yhteys):

    Your ISP (DNA, AS16086) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks. Tweet this →Detailsfetch https://valid.rpki.cloudflare.com
    correctly accepted valid prefixes

    fetch https://invalid.rpki.cloudflare.com
    incorrectly accepted invalid prefixes
    make
  • Se oli vain väliaikaista … nyt PGP ei taaskaan toimi:

    Your ISP (DNA, AS16086) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks. Tweet this →Detailsfetch https://valid.rpki.cloudflare.com
    correctly accepted valid prefixes

    fetch https://invalid.rpki.cloudflare.com
    incorrectly accepted invalid prefixes

    ja nyt ei siis Apple ole välissä!
    (iPad, Safari ja Chrome, Kariniemenkatu, Lahti, kaapelinetti)
    Juha
  • … ja DNA on edelleen turvattomia palveluntarjoajien listalla:


    Kyivstar
    ISP
    unsafe

    Cogeco
    ISP
    unsafe

    DNA Oyj
    ISP
    unsafe

    Silknet
    ISP
    signed
    unsafe

    NIB India
    ISP
    unsafe


    Juha
  • nyt toimii (Microsoft Edge (uusin versio, windows 11, itä-helsinki ethernet yhteys)):

    Your ISP (DNA, AS16086) implements BGP safely. It correctly drops invalid prefixes. Tweet this →Details

    fetch https://valid.rpki.cloudflare.com
    correctly accepted valid prefixes

    fetch https://invalid.rpki.cloudflare.com
    correctly rejected invalid prefixes
    make

Kommentoi tai kirjoita uusi viesti

Nimesi ja viestisi näytetään julkisesti. Sähköpostiosoitettasi ei koskaan näytetä julkisesti.