[lacnog] RES: Bloqueo de Whatsapp en Brasil afectando acceso al servicio en la Region
Arturo Servin
arturo.servin en gmail.com
Lun Dic 21 16:53:09 BRST 2015
Nico
Y como Level3 puede revisar (de forma práctica) el origen de la ruta si
esta no esta firmada?
as
On Mon, Dec 21, 2015, 9:14 AM Gustavo Rodrigues Ramos <
gustavo en nexthop.com.br> wrote:
> Olá,
>
> 2015-12-21 14:20 GMT-02:00 Nicolas Antoniello <nantoniello en gmail.com>:
>
>> Hola Carlos y todos,
>>
>> Yo "casi" me paso al lado de Christian, excepto por un detalle no menor.
>>
>> Primero, estoy de acuerdo con el razonamiento de Carlos y pienso
>> exactamente lo mismo sobre que los bloqueos ante ataques que no saturan los
>> enlaces de tránsito deben ser bloqueados dentro del mismo proveedor
>> preferentemente (incluso cuando son distribuidos).
>>
>> Por otro lado, L3 debería chequear que lo que publica Telefónica (o
>> cualquiera) por RTBH sea del cliente o de un cliente del cliente... me
>> explico?
>> Por ello es que mencioné varias veces la necesidad de que quien
>> implementa RTBH haga un chequeo en algún IRR para confirmar que nadie ponga
>> a NULL rutas que no son de el... y en este caso, no creo que las rutas de
>> Facebook (o Whatsapp) sean de Telefónica. :)
>> En resumen, creo que no me equivoco al decir que el error es compartido
>> entre los 2.
>> O si me equivoco?
>>
>
> Você está correto. Por isso mencionei o ASN 18881. Não podemos afirmar que
> foi uma RTBH a configuração escolhida para implementar o bloqueio. Por
> exemplo, se foi configurado uma rota /32 para null0 e o filtro para anúncio
> de RTBH não está corretamente configurado, então a rota RTBH será anunciada
> para upstreams como efeito colateral - de qualquer forma, vale deixar
> registrado aqui para referencias futuras os *dois casos*.
>
> Um ASN não deveria aceitar um anúncio RTBH de um IP que não esteja alocado
> para o ASN que está originando o anúncio. Essa "regra" parece muito simples
> de implementar em redes >= tier 3. Em redes < tier 2 fica muito complicado
> quando o provedor não utiliza IRR (como parece ser o caso do ASN 3549 em
> nossa região).
>
> Outro fato importante é que a rota /32 não foi anunciada pelo ASN 3549
> para a tabela global (não encontrei nenhum anúncio no histórico da tabela
> global no routeviews ou no ripe database). Por isso o problema de acesso ao
> whatsapp ficou contido na região dos clientes diretos do ASN 3549 e não
> tivemos um caso pakistan "con estilo brasileño".
>
> Abraços,
> Gustavo.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151221/3200e9a7/attachment.html>
Más información sobre la lista de distribución LACNOG