[lacnog] Problemas para accesar a YouTube ayer por ruteo
Hans L. Reyes
hans en noc.redclara.net
Lun Feb 25 21:53:03 BRT 2008
Hola
Yo coincido con Hugo que se depende o se confía en que las personas
saben lo que están haciendo y pero aun que asi sea, sin una base de
datos como puede alguien de un NOC saber si el anuncio esta hecho en la
forma correcta o no. Ya me imagino la discusión entro los NOCs de ISPs,
si el anuncio de la red de YOUTUBE era correcto o no, si se debía
filtrar o no, a quien consultas primero al ISP en pakistan o a YOUTUBE,
cuanto tiempo se tardo en eliminarse esa entrada erronea en todos los
ISP, etc.
Bueno con todo esto solo quiero expresar mi apoyo a que se tengan
registrados los recursos de Internet ;)
Saludos
-Hans
Gustavo Lozano wrote:
> Al mencionar seguridad tenemos que referirnos a
> los esfuerzos que esta realizando la IETF, IANA y
> los RIRs por certificar las asignaciones y delegaciones de recursos.
>
> Una vez que sean emitidos los certificados de
> recursos los operadores podrán utilizarlos para
> validar los anuncios de BGP y tener otra capa más
> de validación que permita minimizar estos problemas.
>
> Más información en:
> http://www.ietf.org/internet-drafts/draft-ietf-sidr-res-certs-09.txt
> Grupo SIDR: http://www.ietf.org/html.charters/sidr-charter.html
>
> Ahora bien la IETF puede generar soluciones para
> prevenir este tipo de problemas pero si los
> operadores no los utilizan no sirven de nada. Lo
> que sucedió con Youtube puede tener como
> resultado que los CEOs de muchas empresas les
> pregunten a sus subalternos como prevenir este
> tipo de incidentes lo cual puede traer como
> consecuencia que los proveedores de contenido e
> ISPs utilicen los certificados de recursos para
> validar los anuncios de BGP una vez que sean expedidos.
>
> Esperemos que el trabajo del grupo de SIDR de la
> IETF tenga más efectividad que los RADBs.
>
>
> At 01:55 p.m. 25/02/2008, Ricardo Patara wrote:
>
>> Hugo,
>>
>> Estoy de acuerdo contigo, pero creo que lo quiso destacar Francisco es que el
>> sistema BGP por si tiene fragilidades de seguridad.
>>
>> Se verifica con eso como es fácil perjudicar un sitio (mismo que esa no haya
>> sido la intención de los de PCCW).
>>
>> uno con intención puede hacer lo mismo para secuestrar el trafico de un sitio,
>> pues el bgp actual no se garantiza que quien hace un anuncio tiene derecho de
>> hacerlo.
>>
>> saludos
>> Ricardo
>>
>>> Yo creo que este tipo de problemas se van a
>>> seguir presentando siempre que el adminstrador de un ASN haga las cosas mal.
>>>
>>> BGP tiene caracterisiticas que lo hacen
>>> loop-free, pero no es inmune a errores graves en configuración.
>>>
>>> Saludos
>>>
>>> Hugo Zamora
>>>
>>>
>>> At 12:57 p.m. 25/02/2008, Francisco Arias wrote:
>>>
>>>> Por si no han visto la noticia del
>>>> problema que tuvo ayer el sitio de YouTube por un
>>>> filtrado de ruteo mal hecho, les paso un par de ligas.
>>>>
>>>> En español, la reseña de Arturo Servín:
>>>> http://arturo-servin.blogspot.com/2008/02/ruta
>> s-envenenadas-route-poisoning.html
>>>> En inglés con la explicación detallada de lo que sucedió:
>>>> http://arstechnica.com/news.ars/post/20080225-
>> insecure-routing-redirects-youtube-to-pakistan.html
>>>> Lo interesante es que se trata del
>>>> primer caso de un ataque (aunque al parecer
>>>> involuntario) en el sistema de ruteo a un portal
>>>> de primer nivel mostrando la fragilidad del
>>>> sistema ante la falta de una opción para
>>>> asegurarlo. Si esta noticia llega a los titulares
>>>> de los medios masivos, quizá podríamos tener
>>>> pronto apoyo verdadero a los trabajos para asegurar el ruteo en Internet.
>>>>
>>>> fjac
>>>>
>>>>
>>>> _______________________________________________
>>>> lacnog mailing list
>>>> lacnog en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>
>>> _______________________________________________
>>> lacnog mailing list
>>> lacnog en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> _______________________________________________
>> lacnog mailing list
>> lacnog en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>
>
> _______________________________________________
> lacnog mailing list
> lacnog en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
Más información sobre la lista de distribución LACNOG