AT&T rændi yfir 6 þús. prefixum í gærnótt

Skjámynd

Höfundur
kjartann
Græningi
Póstar: 38
Skráði sig: Þri 03. Maí 2022 01:56
Reputation: 12
Staðsetning: Litli Stokkhólmur
Hafðu samband:
Staða: Ótengdur

AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf kjartann » Sun 25. Jún 2023 10:28

Eitt áhugavert sem mér fannst þess virði að deila:

Forritið Qrator Radar greindi yfir 6 þús. BGP leiðarrán (e. route hijack) frá bandaríska internetþjónustuaðilanum AT&T (https://twitter.com/Qrator_Radar/status ... 9755987968). Leiðirnar náðu mest 93% sýnileika og ef til vill komust flestar ekki svo langt en um er að ræða prefixa frá fyrirtækjum eins og IBM, Amazon, Cisco, Zoom, Adobe, o.fl. Langfæstar sem engar af þessum leiðum voru með RPKI vottorð eða route object, ráðstafanir sem geta komið í veg fyrir svona atvik.

Samskonar atvik gæti hæglega gerst á íslandi hefði einhver viljann til þess. Tveir af okkar fjóru stærstu internetþjónustuaðilum, Nova og Vodafone, notast einungis við route objects fyrir leiðaröryggi sitt en þau eru mun óáreiðanlegri en RPKI vottorð fyrir slíkan tilgang:
- Vodafone: https://bgp.tools/as/12969#prefixes
- Nova: https://bgp.tools/as/44735#prefixes
(Allstaðar þar sem er tékk en ekki hengilás er notast við route object frekar en RPKI).

~ kjartan
Síðast breytt af kjartann á Lau 01. Júl 2023 20:52, breytt samtals 1 sinni.



Skjámynd

Nariur
Of mikill frítími
Póstar: 1860
Skráði sig: Sun 08. Jún 2008 01:18
Reputation: 219
Staða: Ótengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf Nariur » Mán 26. Jún 2023 12:57

Fyrir þau okkar sem vita lítið um BGP protocolinn (sem ég ætla að skjóta á að séu flestir).
Ha?


AMD Ryzen 9 5950X | Noctua NH-D15 | Nvidia Geforce RTX 3080Ti HOF | MSI MAG X570 Tomahawk | 32GB Corsair Vengeance RGB 3600MHz DDR4 | Corsair RM1000i | Samsung 950 Pro 512GB| Fractal Define R5 | LG CX 48" OLED


Semboy
1+1=10
Póstar: 1151
Skráði sig: Lau 05. Maí 2007 22:28
Reputation: 112
Staða: Ótengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf Semboy » Þri 27. Jún 2023 08:11

Segjum að Vodafone hefur 30 þússund og 100 viðskiptavinir inni í því eru
100 fyrirtææki sem eru t.d ólís, krónan, bónus og 30þúss einstaklingar t.d eitt af því heimilsfang Rauðalækur 25

Segjum að Hringdu hefur 24 þússund og 50 viðskiptavinir inni í því eru
50 fyrirtææki sem eru t.d Dominos,pizzan,íslandsbanki og 30þúss einstaklingar t.d eitt af því heimilsfang Engjahjalli 75

Hringdu hefur 24þússund og 50 viðskiptavinir (Sem eru í raun 24þúsund og 50 public ip addressur).
Vodafone hefur 30þússund og 100 viðskiptavinir (Sem eru í raun 30þúsund og 100 public ip addressur).
Venjulegt protocol eins og rip,is-is,eigrp,ospf,ebgp ráða ekki við þennan hraða sem er ætlast af þeim
þar sem símafélög og stofnanir( eins og Amazon geta haft nokkur hundruðþúsund ip addressur).
Þess vegna er BGP lausnin. Tæknimaðurinn sem vinnur við að setja upp BGP verður að
þjeppa saman ip addressum í svo kallaða prefix t.d
69.69.0.1 til 69.69.255.254 stað þess að auglýsa hvert einasta addressu sem eru tveir milljónir níutíu og sjö þúsund eitt hundruð og fimmtíu.
sem yrði bara eitt prefix af /16 sem er 69.69.0.0/16 prefix. Ip addressa er flokkað í tveimur pörtum
það er host partur og network partur t.d 192.168.1.0/24. Það sé 24 binary bitar fyrir network part og bara 8 bitar fyrir host part.
192.168.1.x x-ið getur breyst alla leið uppi 255 og 192.168.1 mun ekki breytast.

þegar Hringdu og Vodafone vilja tengja viðskiptavinum sinum saman þá
þurf þeir að treysta hvort annað 100% fara í svona pering samning, tæknimennirnir hjá hringdu og vodafone
gætu þurt að spjalla í sima og siðan undirskrift á blað. Hringdu og vodafone verða passa sig að þau séu að auglýsa frá sér
prefixum sem þau í raun eiga, það kemur frekar oft fyrir að tæknimennir óvart auglýsa prefixum sem þau eiga ekki
og þetta kallast prefix hijacking sem gerir það að verkum bgp routerar um kringum þennan lýgara fara
að auglýsa ooo "Ég veit um stýttara leið til að komast á þennan prefix, farðu í gegnum þennan lýgara"

í BGP umhverfi er As númer notuð sem ip addressu. Og eins og ip addressur eru As númer með prívat og public range
t.d segjum sem dæmi Vodafone hefur AS NÚMER 75,Hringdu AS 1507
þá má túlka þetta sem svona postur sem þú ætlar að senda. Á umslaginu stendur AS 75 (sem stendur fyrir vodafone) inni umslaginu eru prefixes
og haugan helling af öðrum upplýsingum.


hef ekkert að segja LOL!

Skjámynd

rapport
Kóngur
Póstar: 7583
Skráði sig: Mán 27. Apr 2009 13:07
Reputation: 1191
Staða: Tengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf rapport » Þri 27. Jún 2023 09:44

I would like to know more ( veit sáralítið um net(

Er þá hægt að stela "heimilisfangi" s.s. plata ISP til að senda samskipti annað en þau ættu að fara?

Ef einhver mundi hijacka t.d. ip fyrir prentserver þá færu allar prentskipanir til hans en ekki réttan prentþjón?

Er ég að misskilja hvernig þetta gæti virkað?




Semboy
1+1=10
Póstar: 1151
Skráði sig: Lau 05. Maí 2007 22:28
Reputation: 112
Staða: Ótengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf Semboy » Þri 27. Jún 2023 10:22

rapport skrifaði:I would like to know more ( veit sáralítið um net(

Er þá hægt að stela "heimilisfangi" s.s. plata ISP til að senda samskipti annað en þau ættu að fara?

Ef einhver mundi hijacka t.d. ip fyrir prentserver þá færu allar prentskipanir til hans en ekki réttan prentþjón?

Er ég að misskilja hvernig þetta gæti virkað?


Default settings á bgp án neitt filter mun haga sér þannig. Þess vegna er höfuðverkur af filters í gangi til að svona mistökur kemur ekki fyrir. Venjulegt routing protocols eins og eigrp, ospf athuga fyrst að þau nái samband við IP addressuna àðurin þau bæta routið inná listann hjá sér. BGP er þetta ekki þannig, þú þart bara að treysta nágranna þin með allskonar filters.


hef ekkert að segja LOL!

Skjámynd

mort
Fiktari
Póstar: 91
Skráði sig: Fim 31. Jan 2008 15:47
Reputation: 52
Staðsetning: Reykjavík
Hafðu samband:
Staða: Ótengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf mort » Mið 28. Jún 2023 21:43

Við eins og fleiri erum að innleiða RPKI - tókum nokkur prefix og klárum þegar þetta er allt prófað.

RPKI er góð lausn sem er í innleiðingu hjá öllum ISP'um. Hún er í raun ekkert flókin fyrir okkur minni aðilana, en töluvert flóknari fyrir þá sem ætla að enforca filteringu. En RPKI er núna í innleiðingarfasa og vandamálið er enginn notar bara RPKI í filteringu - of mikið brotnar ef þeir gera það. En pressan er á að klára. Væntanlega þegar "critical mass" er náð munu menn enforca. Þessi hijack vandamál eru akkurat það sem RPKI á að leysa og það mun væntanlega gera það. Main issue í dag er sama og það hefur alltaf verið að það eru oft engir filterar á milli stórra aðila og of mikið traust. Þannig fyrir mistök (oftast) leka prefix út til Tier1/2 og þá rífa þeir til sín alla umferðina.


---

Skjámynd

Höfundur
kjartann
Græningi
Póstar: 38
Skráði sig: Þri 03. Maí 2022 01:56
Reputation: 12
Staðsetning: Litli Stokkhólmur
Hafðu samband:
Staða: Ótengdur

Re: AT&T rændi yfir 6 þús. prefixum í gærnótt

Pósturaf kjartann » Lau 01. Júl 2023 20:50

mort skrifaði:Við eins og fleiri erum að innleiða RPKI - tókum nokkur prefix og klárum þegar þetta er allt prófað.


Þetta eru fréttir sem gleðja mig :happy
Síðast breytt af kjartann á Lau 01. Júl 2023 20:50, breytt samtals 1 sinni.