<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019 at 7:06 AM Stephen Satchell <<a href="mailto:list@satchell.net">list@satchell.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 6/25/19 2:25 AM, Katie Holly wrote:<br>
> Disclaimer: As much as I dislike Cloudflare (I used to complain about<br>
> them a lot on Twitter), this is something I am absolutely agreeing with<br>
> them. Verizon failed to do the most basic of network security, and it<br>
> will happen again, and again, and again...<br>
<br>
I used to be a quality control engineer in my career, so I have a<br>
question to ask from the perspective of a QC guy:  what is the Best<br>
Practice for minimizing, if not totally preventing, this sort of<br>
problem?  Is there a "cookbook" answer to this?<br>
<br>
(I only run edge networks now, and don't have BGP to worry about.  If my<br>
current $dayjob goes away -- they all do -- I might have to get back<br>
into the BGP game, so this is not an idle query.)<br>
<br>
Somehow "just be careful and clueful" isn't the right answer.</blockquote><div dir="auto"><br></div><div dir="auto">1. Know what to expect — create policy to enforce routes and paths that you expect, knowing sometimes this may be very broad</div><div dir="auto"><br></div><div dir="auto">2. Enforce what you expect — drop routes and session that do not conform</div><div dir="auto"><br></div><div dir="auto">3.  Use all the internal tools in series as layers of defense — as-path-list with regex, ip prefix lists, max-routes — they work in series and all must match. Shoving everything into a route-map is not best, because what happens when that policy breaks?  Good to have layers. </div><div dir="auto"><br></div><div dir="auto">4. Use irr, rpki, and alarming as external ecosystem tools. </div><div dir="auto"><br></div><div dir="auto">5. Dont run noction or ios, unsafe defaults. </div><div dir="auto"><br></div><div dir="auto">6. When on the phone with your peer, verbally check to make sure they double check their policy.  Dont assume. </div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
</blockquote></div></div>