Mutually Agreed Norms for Routing Security (MANRS) — инициатива Internet Society по защите глобальной маршрутизации от утечек, спуфинга и bogon-трафика. IXP Programme описывает пять конкретных действий — мы соблюдаем все пять.
Действие 1 · Фильтрация маршрутов
Все RS-сессии фильтруются по IRR-зарегистрированным AS-SET и prefix-list'ам. Участники регистрируют AS-SET (например AS-YOURASN) в RIPE, RADB или ARIN до включения. Фильтры регенерируются ежедневно.
Действие 2 · Anti-spoofing
Участники обязаны внедрять BCP38/SAVE на интерфейсах клиентов. Мы проводим unsolicited spoof-тестирование дважды в квартал, источник — RIPE Atlas anchors.
Действие 3 · Координация
Контакты NOC участников поддерживаются актуальными в PeeringDB и Member Portal. Операционные уведомления рассылаются подписанной PGP-почтой и публикуются на status page.
Действие 4 · Глобальная валидация (RPKI)
Три независимых Routinator валидатора питают route-серверы. Invalid анонсы дропаются. Участники обязаны публиковать ROA на каждый анонсируемый префикс.
Действие 5 · IXP-фильтрация
На route-серверах фильтруем bogons, default-route, RFC1918 и unallocated/reserved пространство. Maximum-prefix лимиты применяются и настраиваются на участника.
Почему это важно
Утечка или hijack на одном IXP распространяется глобально за минуты. Дисциплина фильтров — не опция, это разница между peering-фабрикой, которая укрепляет интернет, и той, которая его ослабляет. Аудиты MANRS держат нас в честности.
Для участников
Вступление в DATAHUB-IX подразумевает обязательства по MANRS Network Operator actions. Мы не требуем сертификации, но ожидаем:
- Актуальные IRR-объекты со строгой иерархией AS-SET.
- RPKI ROA на каждый анонсируемый префикс с консервативным
maxLength. - BCP38-фильтрация на всех интерфейсах клиентов.
- Актуальная запись в peeringdb.com с доступным NOC-контактом.