[lacnog] "Looking Glass" de información sobre validación de origen con RPKI

Carlos Martinez-Cagnazzo carlosm3011 en gmail.com
Vie Dic 9 11:30:26 BRST 2011


Hola a todos,
quería compartir una pequeña aplicación en la que venimos trabajando
en LACNIC,que permite consultar las rutas que actualmente serían
vistas comoválidas o inválidas por un router que implementara
validación deorigen (RPKI).
La aplicación se baja diariamente un dump de la tabla global
deenrutamiento desde el RIS de RIPE (http://ris.ripe.net) y la
comparacon el resultado de ejecutar la validación RPKI de los
repositorios delos 5 RIRs. Hoy esta procesando unas 420.000 rutas y
alrededor de 200ROAs.
http://www.labs.lacnic.net/rpkitools/looking_glass/
Algunas cosas interesantes:
- Al dia de hoy hay unas 5000 rutas que serian detectadas como
inválidas- De ellas, como 3000 lo son por tener un maxLen mas
específico que elpermitido por el ROA que la cubre- Unas 2000 lo son
por tener el AS de origen equivocado. Algunos deestos pueden ser
hijackings, pero nos parece que son muchos, y masbien sospechamos de
que hay usuarios que sorprendentemente no tienenclaro que AS debe
originar sus publicaciones.
Algunas recomendaciones:

- quienes hayan creado ROAs, hagan una búsqueda de sus prefijos y
chequeen que su información esté correcta. Hay unas cuantas rutas
originadas por nuestra región que al día de hoy serían detectadas como
inválidas.

- No duden en contactarnos por correo privado si necesitan
ayuda/asesoramiento para corregir cualquier situación que se les
presente con esto.

- Quienes deseen crear certificados y ROAs, y deseen contar con apoyo
para ello, no duden en contactarnos por correo privado y coordinamos
una cita por WebEx o Skype y lo hacemos juntos.
s2
Carlos



Más información sobre la lista de distribución LACNOG