RPKI validation
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

RPKI validation

Par
StephaneP82
Créé le 2022-10-13 10:59:33 (edited on 2024-09-04 14:10:06) dans Public Cloud OVHcloud

Bonjour à toutes et à tous,

Je suis client OVH notamment pour les offres d'hebergement VPS et OVH telecom.

Ma question est d'ordre plus général concernant la securisation des annonces BGP entre OVH et les autres peers/transits/...

OVH dispose a ce jour de ROA sur ses prefixes annoncés, ce qui permet aux tiers qui supportent RPKI de valider que ces routes proviennent bien d'OVH et pas d'autres AS. C'est une bonne chose, car cela renforce la sécurité du traffic entrant (tiers vers OVH).

Toutefois, pour la sécurisation du routage du traffic dans l'autre sens, il semble qu'actuellement, OVH ne valide pas les routes reçues et est susceptible d'accepter des routes dont l'origine est invalide. Voir screenshot ci-joint.
RPKI validation a été implémenté avec succès par d'autres hébergeurs tels que Scaleway ou AWS. Cela permettrait de se premunir d'événements tels que celui décrit dans cet article, lors duquel un certain nombre de services tiers n'étaient plus accessibles pour les clients OVH.

image

Est-il possible de le suggérer aux équipes en charge du réseau ? A moins que l'intégration de cette fonctionnalité ne soit déja prévu ?

Merci,