[lacnog] RES: Bloqueo de Whatsapp en Brasil afectando acceso al servicio en la Region
Nicolas Antoniello
nantoniello en gmail.com
Mar Dic 22 18:48:42 BRST 2015
By the way...
Me parece oportuno volver a mencionar un "viejo sueño" de que LACNIC monte
un IRR, que a esta altura es basicamente (so pena de sonar simplista) dar
una "vista" de consulta a la base RPKI con formato de IRR... con la ventaja
no menor de que los bloques aunque no estén firmados SABEMOS que son de
quien dicen ser pues los ingresa LACNIC en forma automática (al menos para
los de nuestra región, a los que exclusivamente estaría habilitado el uso
de este IRR).
Saludos,
Nico
2015-12-22 17:40 GMT-03:00 Nicolas Antoniello <nantoniello en gmail.com>:
> Arturo,
>
> ... y... de la misma forma que ha funcionado hasta ahora y como seguirá
> funcionando hasta que todos implementemos RPKI: utilizando un IRR y
> haciendo acto de fe.
>
> Bien sabemos que hasta ahora BGP, en muchos aspectos y no solo en este,
> funciona basados en la buena voluntad técnica de quienes lo administran en
> los diferentes ISPs, Carriers, y redes en general.
>
> Saludos,
> Nico
>
>
>
> 2015-12-21 15:53 GMT-03:00 Arturo Servin <arturo.servin en gmail.com>:
>
>> Nico
>>
>> Y como Level3 puede revisar (de forma práctica) el origen de la ruta si
>> esta no esta firmada?
>>
>> as
>>
>> On Mon, Dec 21, 2015, 9:14 AM Gustavo Rodrigues Ramos <
>> gustavo en nexthop.com.br> wrote:
>>
>>> Olá,
>>>
>>> 2015-12-21 14:20 GMT-02:00 Nicolas Antoniello <nantoniello en gmail.com>:
>>>
>>>> Hola Carlos y todos,
>>>>
>>>> Yo "casi" me paso al lado de Christian, excepto por un detalle no menor.
>>>>
>>>> Primero, estoy de acuerdo con el razonamiento de Carlos y pienso
>>>> exactamente lo mismo sobre que los bloqueos ante ataques que no saturan los
>>>> enlaces de tránsito deben ser bloqueados dentro del mismo proveedor
>>>> preferentemente (incluso cuando son distribuidos).
>>>>
>>>> Por otro lado, L3 debería chequear que lo que publica Telefónica (o
>>>> cualquiera) por RTBH sea del cliente o de un cliente del cliente... me
>>>> explico?
>>>> Por ello es que mencioné varias veces la necesidad de que quien
>>>> implementa RTBH haga un chequeo en algún IRR para confirmar que nadie ponga
>>>> a NULL rutas que no son de el... y en este caso, no creo que las rutas de
>>>> Facebook (o Whatsapp) sean de Telefónica. :)
>>>> En resumen, creo que no me equivoco al decir que el error es compartido
>>>> entre los 2.
>>>> O si me equivoco?
>>>>
>>>
>>> Você está correto. Por isso mencionei o ASN 18881. Não podemos afirmar
>>> que foi uma RTBH a configuração escolhida para implementar o bloqueio. Por
>>> exemplo, se foi configurado uma rota /32 para null0 e o filtro para anúncio
>>> de RTBH não está corretamente configurado, então a rota RTBH será anunciada
>>> para upstreams como efeito colateral - de qualquer forma, vale deixar
>>> registrado aqui para referencias futuras os *dois casos*.
>>>
>>> Um ASN não deveria aceitar um anúncio RTBH de um IP que não esteja
>>> alocado para o ASN que está originando o anúncio. Essa "regra" parece muito
>>> simples de implementar em redes >= tier 3. Em redes < tier 2 fica muito
>>> complicado quando o provedor não utiliza IRR (como parece ser o caso do ASN
>>> 3549 em nossa região).
>>>
>>> Outro fato importante é que a rota /32 não foi anunciada pelo ASN 3549
>>> para a tabela global (não encontrei nenhum anúncio no histórico da tabela
>>> global no routeviews ou no ripe database). Por isso o problema de acesso ao
>>> whatsapp ficou contido na região dos clientes diretos do ASN 3549 e não
>>> tivemos um caso pakistan "con estilo brasileño".
>>>
>>> Abraços,
>>> Gustavo.
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151222/90387c3c/attachment.html>
Más información sobre la lista de distribución LACNOG