Categories
Networking

IS BGP Safe Yet?

Untuk teman-teman yang bekerja sebagai OfficeBoy di dunia provider internet, mungkin sudah tidak asing lagi dengan yang namanya BGP Leaks & Hijack. BGP Leaks ini adalah suatu peristiwa ketika suatu organisasi/provider melakukan announce prefix orang lain ke peer BGP lain yang seharusnya tidak dilakukan. Analoginya seperti menyebar berita bohong / hoax bahwa blok prefix ini miliknya.

Pada dasarnya sih tidak ada juga yang mau adanya BGP Leaks/Hijack ini. Kebanyakan kejadian karena memang tidak disengaja, makannya disebut leaks/bocor. Kalo yang emang sengaja namanya hijack nanti.

Sebagai contohnya saja beberapa tahun yang lalu salah satu provider besar label kuning di Indonesia (sebut saja Uridu) menganounce prefix 8.8.8.0 (Open DNS Google 8.8.8.8) ke tetangga-tetangganya. Protocol BGP yang melakukan pemilihan jalur terbaik berdasarkan AS Path terpendek, mempengaruhi jalur routing provider lain yang punya path lebih pendek ke ke Uridu daripada ke Google.

Hal ini sebenarnya bisa dicegah dengan diberlakukannya filter ketat antar kedua peer yang saling berhubungan; misal hanya menerima list IP yang sudah disepakati masing-masing, tidak menganounce kembali prefix dengan AS Path yang pathnya berisi AS Upstream dan lain lain.

In BGP We Trust

Pada dasarnya BGP berjalan dengan prinsip kepercayaan. Semua organisasi yang terhubung dengan internet percaya dengan lawan peernya bahwa prefix yang saling ditukarkan adalah legitimate. Namun karena adanya leaks yang tidak sengaja tadi, maka muncullah initiate untuk melakukan validasi routing yang diterima yang saat ini dikenal dengan nama RPKI. Beberapa tahun terakhir provider besar di dunia sudah mulai secara ketat memperlakukan filtering prefix yang diterima harus sesuai dengan database yang seharusnya. Bahkan Google mengisukan akan menolak/reject prefix provider yang tidak/ belum terdaftar di database pada bulan Juni 2020 ini.

ROA & RPKI

Rekan IDNIC APJII sebagai payung provider internet di Indonesia beberapa tahun belakangan mengangkat issue RPKI (Resource Public Key Infrastructure) disetiap sesi training yang diadakan bekala untuk membantu rekan-rekan provider/organisasi mengimplementasikan filtering di jaringannya.

Sebenarnya agar rekan provider aman dari prefix filtering di luar sana, kita hanya perlu memastikan dan mendaftarkan ASN & IP kita ke “Database” ROA( Route Origin Authorization) yang bisa kita request via IDNIC di portal MyIDNIC. Pastikan juga untuk filtering dari prefix besar dan increment ke bawah agar apabila kita juga mengadvertise prefix / besar atau hanya / kecil. E.g rekan-rekan mempunyai prefix /22, maka request penambahan filtering mulai dari /22, /23 hingga /24 nya.

IsBGPSafeYet.com

Dari hassle yang Ngadimin kemukakan di atas, kita bisa melakukan pengecekan ROA yang sudah didaftarkan valid dibaca dari intenet, bisa via tool https://bgp.he.net/ misalnya. Pastikan bahwa ROA & IRR valid dan terkunci.

Beberapa rekan Ngadimin juga menggunakan IsBGPSafeYet dari Cloudflare yang tidak hanya melakukan validitas ROA dari IP yang kita gunakan, namun juga melakukan pengecekan apakah provider telah melakukan filtering RPKI juga.

Pasalnya, pengimplementasian filtering via RPKI membutuhkan adanya effort tambahan; belum semua routing engine support protocol tersebut. Bird baru support channel RPKI di versi 2.0. RPKI di MikroTik malah belum ada sampai saat ini, issuenya di versi 7 mendatang baru disupport.

Merujuk pada page dari cloudflare berikut, kita bisa mengakali cloudflare agar seolah-olah provider sudah menerapkan RPKI di jaringannya dengan melakukan discard prefix bocoran yang kita perbincangkan di atas dari semua incoming peer. (Disclaimer : mohon tidak untuk ditiru secara jangka panjang, hehe).

  • Prefix to be discarded IPv4 : 103.21.244.0/24
  • Prefix to be discarded IPv6 : 2606:4700:7000::/48

Berikut capture saat kedua prefix direject.

Dengan perlakuan di atas paling tidak kita bisa bikin “ayem” pelanggan di bawah naungan jaringan kita dahulu sebelum melakuakn effort yang lebih. Untuk jangka panjang tetaplah harus kita implementasikan filtering RPKI sebagaimana mestinya untuk mengamankan jaringan, jadi pertanyan Is BGP safe yet bisa dijawab dengan jawaban YES.

Sauce:

Leave a Reply

Your email address will not be published. Required fields are marked *