[lacnog] "Looking Glass" de información sobre validación de origen con RPKI

Carlos M. Martinez carlosm3011 en gmail.com
Vie Dic 9 15:10:44 BRST 2011


Hola Roque!

Por ahora estoy usando el dump del sensor de Amsterdam, y tambien hemos
probado con el dump del sensor de PTT Metro. No hay gran diferencia en
los resultados finales.

El tema con la interfaz del nuevo validador es que no tiene una forma
facil de consumir esa informacion desde una aplicacion externa. De todas
maneras, estamos viendo si como mejorarlo.

Lo del whois del RIS no lo tenia, pero veo de incorporarlo !

s2

Carlos

On 12/9/11 3:00 PM, Roque Gagliano wrote:
> Hola Carlos,
>
> Muy bueno el servicio.
>
> Estas usando el dump de un sitio específico?
> Si querés hacer algo para todos los sitios para tener una vista más
> global, va a ser complicado pues te multiplica el número de rutas por
> 16.
>
> Una alternativa que tenes es usar la interfaz del nuevo validador de
> RIPE que ya busca contra todos los sitios RIS.
>
> Podrías también usar el whois del RIS para validar si esa ruta se ve
> en otras partes del globo.
>
> Un abrazo!
> Roque
>
> whois -h riswhois.ripe.net -L 200.7.84.0
> Warning: RIPE flags used with a traditional server.
> % This is RIPE NCC's Routing Information Service
> % whois gateway to collected BGP Routing Tables
> % IPv4 or IPv6 address to origin prefix match
> %
> % For more information visit http://www.ripe.net/ris/riswhois.html
>
> route:        200.7.84.0/23
> origin:       AS28000
> descr:        LACNIC - Latin American and Caribbean IP address
> lastupd-frst: 2011-11-25 14:55Z  198.32.160.29 en rrc11
> lastupd-last: 2011-12-09 14:08Z  193.232.244.36 en rrc13
> seen-at:      rrc00,rrc01,rrc03,rrc04,rrc05,rrc06,rrc07,rrc10,rrc11,rrc12,rrc13,rrc14,rrc15,rrc16
> num-rispeers: 97
> source:       RISWHOIS
>
>
>
>
> 2011/12/9 Carlos Martinez-Cagnazzo <carlosm3011 en gmail.com>:
>> Hola a todos,
>> quería compartir una pequeña aplicación en la que venimos trabajando
>> en LACNIC,que permite consultar las rutas que actualmente serían
>> vistas comoválidas o inválidas por un router que implementara
>> validación deorigen (RPKI).
>> La aplicación se baja diariamente un dump de la tabla global
>> deenrutamiento desde el RIS de RIPE (http://ris.ripe.net) y la
>> comparacon el resultado de ejecutar la validación RPKI de los
>> repositorios delos 5 RIRs. Hoy esta procesando unas 420.000 rutas y
>> alrededor de 200ROAs.
>> http://www.labs.lacnic.net/rpkitools/looking_glass/
>> Algunas cosas interesantes:
>> - Al dia de hoy hay unas 5000 rutas que serian detectadas como
>> inválidas- De ellas, como 3000 lo son por tener un maxLen mas
>> específico que elpermitido por el ROA que la cubre- Unas 2000 lo son
>> por tener el AS de origen equivocado. Algunos deestos pueden ser
>> hijackings, pero nos parece que son muchos, y masbien sospechamos de
>> que hay usuarios que sorprendentemente no tienenclaro que AS debe
>> originar sus publicaciones.
>> Algunas recomendaciones:
>>
>> - quienes hayan creado ROAs, hagan una búsqueda de sus prefijos y
>> chequeen que su información esté correcta. Hay unas cuantas rutas
>> originadas por nuestra región que al día de hoy serían detectadas como
>> inválidas.
>>
>> - No duden en contactarnos por correo privado si necesitan
>> ayuda/asesoramiento para corregir cualquier situación que se les
>> presente con esto.
>>
>> - Quienes deseen crear certificados y ROAs, y deseen contar con apoyo
>> para ello, no duden en contactarnos por correo privado y coordinamos
>> una cita por WebEx o Skype y lo hacemos juntos.
>> s2
>> Carlos
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>



Más información sobre la lista de distribución LACNOG