Auteur Sujet: Outil pour tester si votre FAI accepte les routes invalides (RPKI) (Lu 4708 fois)

kaxapo · « **le:** 26 octobre 2024 à 16:42:33 »

Voici un test proposé par RIPE pour tester si votre opérateur accepte les routes invalides:

Lien:

https://rpkitest.nlnetlabs.net/ ou https://isbgpsafeyet.com/

Moi personnellement chez Free j’ai une mauvaise note sur le test:

Et là un test que j’ai pu faire avec un FAI pendant mes vacances à l’étranger :

Je serais curieux de voir les resultats des autres FAI (pensez à cacher votre adresse ip)

Édit Vivien : Les données de tous les opérateurs :

Hugues · « **Réponse #1 le:** 26 octobre 2024 à 17:05:02 »

Hum...

Un peu étrange cet outil :

a7280qr.edge.dc2#show ip bgp 185.49.142.6 vrf 2027-Internet BGP routing table information for VRF 2027-Internet Router identifier 80.67.167.1, local AS number 2027 BGP routing table entry for 185.49.142.0/23 Paths: 9 available 47160 174 20473 211321 185.126.229.2 from 185.126.229.2 (87.236.35.131) Origin IGP, metric 100, localpref 100, IGP metric 0, weight 0, tag 0 Received 2d15h ago, valid, external, best, AS Origin valid Community: 174:21201 174:22038 2027:47160 2027:65535 47160:40000 47160:40002 47160:60003 Rx SAFI: Unicast

Hugues · « **Réponse #2 le:** 26 octobre 2024 à 17:06:42 »

Avec un outil bien plus fiable : https://isbgpsafeyet.com/

Hugues · « **Réponse #3 le:** 26 octobre 2024 à 18:36:38 »

Bon j'ai continué à creuser... En fait il y'a bien un /24 invalide qui est rejeté, mais la route pour le /23 part chez un de nos transitaires qui lui ne rejette pas les RPKI invalides, donc le /24 est accepté et le trafic routé

Comme quoi, on a encore du boulot pour implémenter ce truc partout...

kaxapo · « **Réponse #4 le:** 26 octobre 2024 à 18:44:43 »

@Hugues au niveau de Free c’est pareil meme sur ton site.

Hugues · « **Réponse #5 le:** 26 octobre 2024 à 19:42:36 »

Free ne doit pas implémenter RPKI... Ça m'étonnait plus pour nous vu qu'on l'a implémenté

alain_p · « **Réponse #6 le:** 26 octobre 2024 à 20:03:37 »

Ce serait intéressant de savoir si les autres opérateurs, Orange, SFR, Bouygues Telecom..., l'implémentent. Est-ce que des clients d'autres opérateurs peuvent tester ?

Pegasus38 · « **Réponse #7 le:** 26 octobre 2024 à 20:07:08 »

Et sinon c'est grave si on a pas de RPKI pour nous users lambda ?

Hugues · « **Réponse #8 le:** 26 octobre 2024 à 20:07:33 »

Le seul bon élève parmi les 4 gros est Orange, les autres n'implémentent pas RPKI.

Hugues · « **Réponse #9 le:** 26 octobre 2024 à 20:08:26 »

Citation de: Pegasus38 le 26 octobre 2024 à 20:07:08

Et sinon c'est grave si on a pas de RPKI pour nous users lambda ?

C'est un mécanisme de protection, donc la réponse est à la fois oui et non

Nh3xus · « **Réponse #10 le:** 26 octobre 2024 à 20:39:20 »

ça empêche des incidents de routage.

Par exemple en 2008, le Pakistan avait coupé Youtube par le biais d'un hijack BGP.

kaxapo · « **Réponse #11 le:** 26 octobre 2024 à 20:50:10 »

Citation de: Hugues le 26 octobre 2024 à 19:42:36

Free ne doit pas implémenter RPKI... Ça m'étonnait plus pour nous vu qu'on l'a implémenté

Et pour ton /24 tu as trouvé une solution ?