[NLNOG] atom86: invalid==reject (RPKI)

Tue Sep 4 13:57:31 CEST 2018

Natha,

Bedankt!

Spannende dingen:

Job Snijders wees ons er meteen op de ARIN TAL niet automagisch opgenomen is, maar handmatig geladen moet worden in de RPKI validator.

Er zijn 3 routerings issues gemeld door klanten van ons:

Airmax Italia (ISP) – invalid length
AS197650 (Airmax Italia) geeft in de ROA aan dat 185.30.112.0/22 alleen maar als een /22 uit AS197650 mag komen, maar ze annonceren alleen maar /24’s uit die reeks, dus… invalid.
Wij hebben deze gewhitelist in onze validator en contact opgenomen met Airmax, maar geen enkele sjoege…

Proofpoint (Cybersecurity leverancier(!)) – invalid ASN
Proofpoint heeft 3 ASNs AS26211, AS22843 en AS13916.
De ROA’s van 67.231.146.0/24 en 67.231.147.0/24 geven aan dat deze uit AS22843 moet komen echter worden deze geannonceerd vanuit AS26211 (eigenlijk een hijack). IP reeksen zijn gewhitelist in onze validator.
Via via in contact genomen met mensen van Proofpoint die het intern hebben doorgestuurd naar het netwerkteam welke het zou oppakken. Dit is inmiddels bijna 2 weken geleden….nog niet opgelost.

UK2 – AS13213 - Invalid ASN
AS13213 annonceert 31.24.227.0/24 van AS197820 terwijl de ROA van aangeeft dat dit alleen maar als /21 (31.24.224.0/21) geannonceerd mag worden vanuit AS197820. Prefix is gewhitelist in onze validator
Contact opgenomen met AS13213. Reaktie ontvangen: “We are currently working towards resolving this, there’s just a degree of paperwork involved”. Ik heb aangegeven dat het niet om papierwerk gaat, maar om wat tijd achter de RIPE website (https://www.ripe.net/manage-ips-and-asns/resource-management/certification/resource-certification-roa-management)... Nog niet opgelost

Mvg,
Robert

From: Nathalie Trenaman <nathalie at ripe.net>
Sent: Tuesday, September 4, 2018 1:17 PM
To: Robert Heuvel <RHeuvel at atom86.net>
Cc: nlnog at nlnog.net
Subject: Re: [NLNOG] atom86: invalid==reject (RPKI)

Gefeliciteerd Robert (en team)!
En bedankt dat jullie dit gedaan hebben. Zijn er nog spannende dingen naar voren gekomen? Netwerken die een mailtje van jullie hebben gehad omdat ze een verkeerde ROA hadden gemaakt of zoiets?

Cheers,
Nathalie

Op 4 sep. 2018, om 13:02 heeft Robert Heuvel <RHeuvel at atom86.net<mailto:RHeuvel at atom86.net>> het volgende geschreven:

Beste NLNOG-ers,

Circa drie weken geleden heeft atom86 invalid==reject (RPKI) geïmplementeerd op haar peers en upstreams.

Mijn gewaardeerde collega Ralph Dirkse heeft hier een niet te technisch artikel voor gemaakt en op LinkedIn geplaatst:
https://www.linkedin.com/pulse/atom86-leveraging-rpki-make-internet-safer-place-ralph-dirkse/?published=t<https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.linkedin.com%2Fpulse%2Fatom86-leveraging-rpki-make-internet-safer-place-ralph-dirkse%2F%3Fpublished%3Dt&data=02%7C01%7C%7Ce89276722f9c464d0bba08d61257ed25%7Cdb27021b05df420391f71dc8f2fa0f3b%7C1%7C0%7C636716566183044865&sdata=GRsReFAn0yxVCOXrCbrWltqGsBbkNL1xyIwnbFz%2FZic%3D&reserved=0>

We vertrouwen erop dat velen ons zullen volgen om het internet een veiligere plek te maken ;)

Mvg,

Robert Heuvel
atom86

+31 624590510
+31 207506500
Boeing Avenue 271
1119 PD Schiphol-Rijk

_______________________________________________
NLNOG mailing list
NLNOG at nlnog.net<mailto:NLNOG at nlnog.net>
http://mailman.nlnog.net/listinfo/nlnog<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fmailman.nlnog.net%2Flistinfo%2Fnlnog&data=02%7C01%7C%7Ce89276722f9c464d0bba08d61257ed25%7Cdb27021b05df420391f71dc8f2fa0f3b%7C1%7C0%7C636716566183044865&sdata=x4I%2BnxI9RvOGOiztZ%2FkwIdYHCKGHan7ZtlKR6wPPQ7s%3D&reserved=0>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20180904/58bdaa64/attachment-0001.html>