[lacnog] RES: Bloqueo de Whatsapp en Brasil afectando acceso al servicio en la Region
Nicolas Antoniello
nantoniello en gmail.com
Mar Dic 22 18:40:30 BRST 2015
Arturo,
... y... de la misma forma que ha funcionado hasta ahora y como seguirá
funcionando hasta que todos implementemos RPKI: utilizando un IRR y
haciendo acto de fe.
Bien sabemos que hasta ahora BGP, en muchos aspectos y no solo en este,
funciona basados en la buena voluntad técnica de quienes lo administran en
los diferentes ISPs, Carriers, y redes en general.
Saludos,
Nico
2015-12-21 15:53 GMT-03:00 Arturo Servin <arturo.servin en gmail.com>:
> Nico
>
> Y como Level3 puede revisar (de forma práctica) el origen de la ruta si
> esta no esta firmada?
>
> as
>
> On Mon, Dec 21, 2015, 9:14 AM Gustavo Rodrigues Ramos <
> gustavo en nexthop.com.br> wrote:
>
>> Olá,
>>
>> 2015-12-21 14:20 GMT-02:00 Nicolas Antoniello <nantoniello en gmail.com>:
>>
>>> Hola Carlos y todos,
>>>
>>> Yo "casi" me paso al lado de Christian, excepto por un detalle no menor.
>>>
>>> Primero, estoy de acuerdo con el razonamiento de Carlos y pienso
>>> exactamente lo mismo sobre que los bloqueos ante ataques que no saturan los
>>> enlaces de tránsito deben ser bloqueados dentro del mismo proveedor
>>> preferentemente (incluso cuando son distribuidos).
>>>
>>> Por otro lado, L3 debería chequear que lo que publica Telefónica (o
>>> cualquiera) por RTBH sea del cliente o de un cliente del cliente... me
>>> explico?
>>> Por ello es que mencioné varias veces la necesidad de que quien
>>> implementa RTBH haga un chequeo en algún IRR para confirmar que nadie ponga
>>> a NULL rutas que no son de el... y en este caso, no creo que las rutas de
>>> Facebook (o Whatsapp) sean de Telefónica. :)
>>> En resumen, creo que no me equivoco al decir que el error es compartido
>>> entre los 2.
>>> O si me equivoco?
>>>
>>
>> Você está correto. Por isso mencionei o ASN 18881. Não podemos afirmar
>> que foi uma RTBH a configuração escolhida para implementar o bloqueio. Por
>> exemplo, se foi configurado uma rota /32 para null0 e o filtro para anúncio
>> de RTBH não está corretamente configurado, então a rota RTBH será anunciada
>> para upstreams como efeito colateral - de qualquer forma, vale deixar
>> registrado aqui para referencias futuras os *dois casos*.
>>
>> Um ASN não deveria aceitar um anúncio RTBH de um IP que não esteja
>> alocado para o ASN que está originando o anúncio. Essa "regra" parece muito
>> simples de implementar em redes >= tier 3. Em redes < tier 2 fica muito
>> complicado quando o provedor não utiliza IRR (como parece ser o caso do ASN
>> 3549 em nossa região).
>>
>> Outro fato importante é que a rota /32 não foi anunciada pelo ASN 3549
>> para a tabela global (não encontrei nenhum anúncio no histórico da tabela
>> global no routeviews ou no ripe database). Por isso o problema de acesso ao
>> whatsapp ficou contido na região dos clientes diretos do ASN 3549 e não
>> tivemos um caso pakistan "con estilo brasileño".
>>
>> Abraços,
>> Gustavo.
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151222/d1cf0c32/attachment.html>
Más información sobre la lista de distribución LACNOG