<div dir="ltr">A very big step forward, Congrats.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Apr 4, 2020 at 9:05 PM Job Snijders <<a href="mailto:job@ntt.net">job@ntt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dear Tijn,<br>
<br>
I didn't fully answer your email, more below.<br>
<br>
On Sat, Apr 04, 2020 at 10:20:38AM +0200, Tijn Buijs wrote:<br>
> And doesn't this make enabling it on the rest of the validation less<br>
> useful? Because if an invalid announcements is received on an EBGP<br>
> session without RPKI validation, doesn't it propagate trough the rest<br>
> of the network via iBGP, and thus make the hijack reachable for all of<br>
> NTT?<br>
<br>
Certainly good questions. When a RPKI Invalid announcement comes in via<br>
a EBGP session where RPKI is not enabled, the route cannot be marked as<br>
RPKI invalid because the Origin Validation is not applied in the routing<br>
policy associated with that specific EBGP ingress attachment point. NTT<br>
performs Origin Validation only in "ebgp-in" policies.<br>
<br>
Other protection mechanisms still apply: maximum prefix limits, routes<br>
that have bogon ASNs anywhere in the AS_PATH are rejected, if a Peerlock<br>
protected ASN shows up anywhere in the AS_PATH the route is blocked, and<br>
of course prefix-list filters generated from IRR data are still in use.<br>
<br>
> I'm sure you guys thought about this, but I'm just wondering what you<br>
> did to prevent the scenario I just described :).<br>
<br>
In the general case we can assume your BGP peers have a backbone and will<br>
announce all their routes to you at every interconnection point. One way<br>
to look at RPKI deployment progress is to view it as incremental<br>
reduction of your risk surface. For each peer ASN where the operator<br>
applies Origin Validation on every individual BGP session with that<br>
specific ASN, the needle is moved a little bit.<br>
<br>
I observed one interesting situation that might be good to share with<br>
the group: there was one specific BGP session (with one of our larger<br>
peering partners) on which we were not anble to enable RPKI Origin<br>
Validation for technical reasons.<br>
<br>
I reached out to the peer to discuss what could be done because NTT was<br>
receiving a substantial amount of routing information via this session<br>
(all of valid, invalid, and not-found). It would be suboptimal if we<br>
manage to block a hijack on 29 out of the 30 BGP sessions yet still end<br>
up carrying the incorrect route because of that 30th session.<br>
<br>
The peering partner isn't there yet for full scale global deployment in<br>
their whole network, but they did already have some experience with<br>
RPKI. The solution they came up with was to enable RPKI OV on that one<br>
session in the /outbound/ direction (their 'ebgp-out' policy, the<br>
announcements from that peer towards NTT). This closed that tiny gap<br>
through which invalids could still propagate from this peer's customer<br>
cone into NTT's network. Peers scratching each other's back :-)<br>
<br>
Kind regards,<br>
<br>
Job<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><a href="http://about.me/AphroditeEmpire" target="_blank">http://about.me/AphroditeEmpire</a></div>