<div dir="ltr">And if you're not prefix filtering every single downstream customer for some semi-valid reason, you should *at least* be as-path filtering them.  Tier 1 (transit-free) ASNs should never appear in your customers' announcements, and if they do, they indicate a route leak of some sort.<div>
<br></div><div>-Scott</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Nov 20, 2013 at 11:52 AM, Christopher Morrow <span dir="ltr"><<a href="mailto:morrowc.lists@gmail.com" target="_blank">morrowc.lists@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I don't want to deflate the 'do the rpkis!' balloon, but....<br>
<div class="im"><br>
On Tue, Nov 19, 2013 at 6:04 PM, Paul Vixie <<a href="mailto:paul@redbarn.org">paul@redbarn.org</a>> wrote:<br>
> greetings, arin members. as i count down my last months as an arin trustee,<br>
> i look to the future of our industry. the RIR system (ARIN and its sisters<br>
> in other regions) has confronted many challenges during my nine years on the<br>
> ARIN board, including for example the seemingly (yet, not!) intractable<br>
> problem of how to motivate wide spread IPv6 deployment before "final IPv4<br>
> runout" forces everyone to make hard choices or to live in triple-NAT<br>
> ghettos.<br>
><br>
> yet, one of our most ambitious and worthwhile challenges receives very<br>
> little discussion. that is: secure BGP routing, for which the RIR system has<br>
> been working for almost a decade on the enabling technology -- RPKI --<br>
> Routing Public Key Infrastructure. briefly, this is a way to bind a<br>
> crypto-authentic key to blocks of address space, which will ultimately make<br>
> it possible for network operators to sign their routing announcements and<br>
> verify the announcements you receive.<br>
><br>
> today our colleagues at renesys published a report on "man in the middle<br>
> internet hijacking":<br>
><br>
> <a href="http://www.renesys.com/2013/11/mitm-internet-hijacking/" target="_blank">http://www.renesys.com/2013/11/mitm-internet-hijacking/</a><br>
><br>
> the key message of this article is this excerpt:<br>
><br>
> ... In practical terms, this means that Man-In-the-Middle BGP route<br>
> hijacking has now moved from a theoretical concern to something that happens<br>
> fairly regularly, and the potential for traffic interception is very real.<br>
> ...<br>
><br>
<br>
</div>it's not clear at all that this was MITM intentionally.<br>
In fact it sort of looks like (more) operational mistakitude ;( AND<br>
providers NOT route-flitering customers.<br>
<br>
A good drum to beat for all customers of ISPs is, I think: "Hey, do<br>
you prefix filter every single downstream customer? If not, why not?"<br>
<div class="im"><br>
><br>
> i hope i can persuade all of you to read the renesys article cited above,<br>
> and to investigate ARIN's RPKI project, in which the ARIN Board of Trustees<br>
> has repeatedly voted to invest the company's technology resources:<br>
><br>
> <a href="https://www.arin.net/resources/rpki/index.html" target="_blank">https://www.arin.net/resources/rpki/index.html</a><br>
><br>
<br>
</div>Ideally this helps, once more adoption happens, ISPs to check content<br>
of their favorite IRR and construct better route filters for their<br>
customer bgp sessions. (minus, of course the 'have to click through<br>
webpages to accept the TAL cert... grumble, dead horse beatings,<br>
grumble)<br>
<br>
thnx paul!<br>
-chris<br>
_______________________________________________<br>
ARIN-Discuss<br>
You are receiving this message because you are subscribed to<br>
the ARIN Discussion Mailing List (<a href="mailto:ARIN-discuss@arin.net">ARIN-discuss@arin.net</a>).<br>
Unsubscribe or manage your mailing list subscription at:<br>
<a href="http://lists.arin.net/mailman/listinfo/arin-discuss" target="_blank">http://lists.arin.net/mailman/listinfo/arin-discuss</a><br>
Please contact <a href="mailto:info@arin.net">info@arin.net</a> if you experience any issues.<br>
</blockquote></div><br></div>