Názory k článku
Cloudflare spustil stránku „Is BGP Safe Yet“, otestujte svého ISP

Your ISP (AS5610) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

O2

Je fajn, že někdo udělal lepší webový test než ten předchozí, který byl spíš jen takovým experimentem. Ale to načasování se moc nepovedlo. V době koronakrize, kdy spousta lidí pracuje z domova a je závislá na funkčním připojení k internetu není radno provádět takovéto konfigurační změny, které můžou snadno vyústit v zahazování legitimního provozu.

Jak navíc trefně upozorňuje ex-zaměstnanec Ben Cox, zdá se, že i samotný Cloudflare má v zahazování nevalidních prefixů rezervy.

Your ISP (Vodafone Czech Republic, AS16019) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

Your ISP (T-Mobile CZ, AS13036) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

Your ISP (PODA, AS30764) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

A tak at to tu neni az tak pesimisticky... :D Ale ano, vim ze moc lidi v nasi kotline si s tim zatim nehralo.

Your ISP (VSHosting s.r.o., AS43541) implements BGP safely. It correctly drops invalid prefixes.

fetch https://valid.rpki.cloudflare.com
correctly accepted valid prefixes

fetch https://invalid.rpki.cloudflare.com
correctly rejected invalid prefixes

Je asi dobré poznamenat, že tohle hlášení je zneužitelné. Já to postoval v neděli a v pondělí ráno měl náš provider potíže s routováním. Může to být náhoda, detaily nevím. Každopádně to takhle křičet do světa může mít i negativní dopad. Zvlášť u menšího ISP, který asi nemá svůj BGP team.

Ale ono to neni vubec tezke to overit ani z druhe strany. Zatim prave diky tomu, ze mnoho siti realne validaci neprovadi. Staci vypropagovat RPKI-invalid prefix a z testovaciho stroje v nem umistenem otestovat chovani cilovych siti z pohledu RPKI validace. Pokud mel Vas ISP problem s routovanim a soucasne priznavate, ze vlastne nema vlastni sitare znale problematiky a nejak to flikuje na koleni... tak si ke skutecne pricine tech problemu defacto odpovidate sam ;-) Tutlani problemu pred negativnimi dopady rozhodne neochrani. Security through obscurity neni z pohledu bezpecnosti funkcni model.

Jak zneužitelné? Jak negativní dopad?

Ale tak aspoň je to rychlé, levné a dostali jsme /56 IPv6 prefix.

as3320 deutsche telekom taky neni safe

Your ISP (OVHcloud, AS16276) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

Your ISP (RIO Media a.s., AS16246) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

Tak ještě doplním UPC
Your ISP (Liberty Global, AS6830) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

Your ISP (NETBOX, AS31246) implements BGP safely. It correctly drops invalid prefixes.

Your ISP (NETBOX, AS31246) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.