[lacnog] IP Squatting en la region

Ariel Weher ariel en weher.net
Mie Feb 11 12:53:07 BRST 2015 

Totalmente, de acuerdo contigo Carlos.

Mi comentario fue a modo de referencia. De todas formas, el operador está
haciendo esto de forma deliberada y no hay una solución mágica que lo
evite, salvo la capacitación.

​Saludos!​


2015-02-10 23:08 GMT-03:00 Carlos M. Martinez <carlosm3011 en gmail.com>:

> Un comentario, RADDB no es operada por ARIN, y puede ser usada por
> organizaciones fuera de norteamerica.
>
> De todas formas, el problema aqui no es de routing, por lo que ni RPKI,
> ni registros de rutas son formas de mitigar este problema. El prefijo
> 'squatted' no es anunciado en Internet.
>
> s2
>
> Carlos
>
> On 2/9/15 6:03 PM, TEC Paredes John wrote:
> > Estimados,
> >
> > Siguiendo de alguna manera algún ejemplo de ARIN ¿ No sería mejor crear
> una base de datos de la región (como lo es RADDB) para que los ISPs de la
> región registren sus prefijos y de esa manera crear una cultura de orden,
> después de alimentada esa base de datos se pueda validar el BGP para que
> los prefijos ya validados tengan un Community y evitar el mal uso de
> prefijos?
> >
> > Saludos Cordiales,
> > John Paredes, Ing
> >  ANALISTA DE DISEÑO PLATAFORMAS IP/MPLS
> >
> >
> >
> > -----Mensaje original-----
> > De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de
> lacnog-request en lacnic.net
> > Enviado el: lunes, 09 de febrero de 2015 12:16
> > Para: lacnog en lacnic.net
> > Asunto: Resumen de LACNOG, Vol 86, Envío 21
> >
> > Envíe los mensajes para la lista LACNOG a
> >         lacnog en lacnic.net
> >
> > Para subscribirse o anular su subscripción a través de la WEB
> >         https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> > O por correo electrónico, enviando un mensaje con el texto "help" en el
> asunto (subject) o en el cuerpo a:
> >         lacnog-request en lacnic.net
> >
> > Puede contactar con el responsable de la lista escribiendo a:
> >         lacnog-owner en lacnic.net
> >
> > Si responde a algún contenido de este mensaje, por favor, edite la linea
> del asunto (subject) para que el texto sea mas especifico que:
> > "Re: Contents of LACNOG digest...". Además, por favor, incluya en la
> respuesta sólo aquellas partes del mensaje a las que está respondiendo.
> >
> >
> > Asuntos del día:
> >
> >    1. Re:  IP Squatting en la region? (Carlos M. Martinez)
> >    2. Re:  IP Squatting en la region? (Luar Roji)
> >    3. Re:  IP Squatting en la region? (rdhios en syt.net)
> >
> >
> > ----------------------------------------------------------------------
> >
> > Message: 1
> > Date: Mon, 09 Feb 2015 14:56:15 -0200
> > From: "Carlos M. Martinez" <carlosm3011 en gmail.com>
> > To: noc en cabase.org.ar,  Latin America and Caribbean Region Network
> >         Operators Group <lacnog en lacnic.net>
> > Subject: Re: [lacnog] IP Squatting en la region?
> > Message-ID: <54D8E6AF.1050901 en gmail.com>
> > Content-Type: text/plain; charset=utf-8
> >
> > Como todo en la vida, hasta para las cosas que estan mal y no deberían
> hacerse,  existen formas de hacerlas mal (o sea peor de lo ya mal que
> > eran) o bien (es decir, un poco menos mal).
> >
> > Si uno va a hacer squatting de direcciones, y uno mira el registro de
> IANA, hay especio unicast que si bien está asignado, es espacio "obscuro" y
> que es casi seguro que nunca se va a anunciar en Internet.
> > No voy a dar mas datos, porque no quiero que parezca que yo estoy dando
> instrucciones de como hacer squatting, pero el punto que quiero marcar, es
> que incluso para hacer cosas mal, es conveniente entender como funciona
> Internet, IANA y los RIRs (entre otras cosas).
> >
> > Creo que tenemos un problema como región, y es que estamos de espaldas a
> todo esto (y a muchas cosas mas). Aceptamos como dadas ciertas cosas y no
> participamos en foros como IETF, los RIRs, la IEEE y la participación en
> UIT está limitada a que los gobiernos vayan a los ámbitos de gobiernos,
> pero tenemos nula o muy baja participación en los ámbitos de
> standarización. Nos cuesta cuestionar, y nos cuesta pasar de ser
> consumidores a productores de conocimiento.
> >
> > Seguro que hay honrosas excepciones a todo lo que dije arriba, pero
> estoy refiriéndome a la generalidad de la región. Además se que los que
> leen esta lista son justamente parte de esas excepciones, por lo que estoy
> haciendo los anglosajones le dirian 'preaching to the choir'.
> >
> > Por si no se entendió, lo repito, *CREO QUE ESTA MUY MAL HACER
> SQUATTING*, pero incluso si uno va a hacer algo que esta *MAL*, si uno
> entiende como está estructurada la gobernanza de Internet y sabe donde ir a
> buscar información, hay opciones para hacerlo un poco menos mal.
> >
> > s2
> >
> > Carlos
> >
> > On 2/9/15 11:55 AM, Hernan Moguilevsky - NOC CABASE wrote:
> >> Hay que tener ganas de usurparle al Ministerio de Defensa Britanico...
> >> Por lo menos se puede decir que son ¿valientes?!
> >> :-)
> >>
> >> ?Each Hamachi client is normally assigned an IP address when it logs
> into the system for the first time. To avoid conflicting with existing
> private networks on the client side the normal private IP address blocks
> 10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0/16 are not used.
> >> Before November 19, 2012 the 5.0.0.0/8 range was used. This range was
> >> previously unallocated but was allocated to RIPE NCC in late 2010 and
> space from this range is now being used by hosting providers on the public
> internet. Hamachi switched to the 25.0.0.0/8 block.[2] The 25.0.0.0/8
> block is allocated to the British Ministry of Defence. Organisations who
> need to communicate with the MOD may experience problems when more specific
> Internet routes attract traffic that was meant for internal hosts, or
> alternatively find themselves unable to reach the legitimate users of those
> addresses because those addresses are being used internally,[3] and such
> "squatting" is against the established practice of the Internet.?
> >>
> >>
> >> Hernan Moguilevsky
> >> NOC CABASE
> >>
> >> Suipacha 128 - Piso 3°  F
> >> C1008AAD Buenos Aires - Argentina
> >> Tel: (54-11) 4326-0777 int. 9109
> >> www.cabase.org.ar
> >>
> >> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Roque
> >> Gagliano Enviado el: lunes, 09 de febrero de 2015 06:58 a.m.
> >> Para: Latin America and Caribbean Region Network Operators Group
> >> Asunto: Re: [lacnog] IP Squatting en la region?
> >>
> >> Ricardo,
> >>
> >> Aquí la razón por la que te "sonaba" el bloque 5.0.0.0/8:
> >>
> >> http://en.wikipedia.org/wiki/LogMeIn_Hamachi
> >> Saludos,
> >> Roque
> >>
> >> On Sat, Feb 7, 2015 at 11:35 PM, Ricardo Patara <patara en registro.br>
> wrote:
> >> I am not sure that is the case but when I read "5.x.x.x" it ring a bell.
> >> There was an NAT equipment from an big manufacturer pre configured
> >> with 5/8 as "internal" network for NATing.
> >> It was a long time ago, not sure this equipment is still on the
> >> market, not sure either this is the case.
> >>
> >> Regards,
> >>
> >>   Ricardo Patara
> >>
> >> On 07/02/15 00:04, Doug Madory wrote:
> >>> Hola Andres,
> >>
> >>> I don't see Claro (or any other Colombian provider) globally
> >>> announcing any IP address space in 5.x.x.x range.
> >>
> >>> However, they could be internally numbering with this address space
> >>> and that could cause a problem for their customers. There are many
> >>> cases of providers around the world using global IP addresses for
> >>> internal numbering, which is a risky practice.
> >>
> >>> Can anyone with Claro Colombia residential service post a traceroute
> >>> to one of the affected IPs? Por ejemplo: 5.9.66.150
> >>
> >>> Gracias, Doug
> >>
> >>> Doug Madory Director of Internet Analysis, Dyn @dynresearch
> >>> Hanover, NH                      +1 603-263-6868
> >>
> >>> Dyn is a cloud-based Internet Performance company
> >>> http://dyn.com/about/
> >>
> >>
> >>
> >>> _______________________________________________ LACNOG mailing list
> >>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar
> >>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >>
> >>
> >
> >
> > ------------------------------
> >
> > Message: 2
> > Date: Mon, 9 Feb 2015 15:15:21 -0200
> > From: Luar Roji <nic en roji.net>
> > To: Carlos Martinez <carlos en lacnic.net>,  Latin America and Caribbean
> >         Region Network Operators Group <lacnog en lacnic.net>
> > Cc: noc en cabase.org.ar
> > Subject: Re: [lacnog] IP Squatting en la region?
> > Message-ID:
> >         <
> CAHe44APStHaVO+Su8ZW_nzhKrGF9kZCTNsRRhE8VshzgQFFW3A en mail.gmail.com>
> > Content-Type: text/plain; charset="utf-8"
> >
> > Estoy de acuerdo.
> >
> > Además hay casos muy variados.. en el caso original que hablaban de
> CLARO (uno de tantos ejemplos), los afectados son usuarios inocentes que no
> tienen forma de zafar de dicho squatting, lo cual me parece muy malo!
> >
> > En el caso de hamachi, esta gente parece estar conciente de lo que está
> haciendo y te avisan y si el usuario necesita acceder a algo en el rango
> ese en particular, puede apagar el cliente y accederlo, o sea que tiene la
> opción.
> >
> > Por ultimo, volviendo a lo que tú decías, no es TAN dificil aprender un
> poco de internet y ver qué rangos se pueden utilizar para este tipo de
> cosas, sin afectar demasiado.. en vez de elegir un rango "por lo lindo que
> luce"!
> >
> > También hay que mencionar en el hall of shame aquellos proveedores (como
> uno muy cercano a donde vivo) que configuraban mal los routers de la gente,
> poniendole por ejemplo 168.192.0.x o 190.168.0.x a las redes internas (lo
> vi y no lo podía creer).
> >
> > Saludos!
> >
> > On Mon, Feb 9, 2015 at 2:56 PM, Carlos M. Martinez <
> carlosm3011 en gmail.com>
> > wrote:
> >
> >> Como todo en la vida, hasta para las cosas que estan mal y no deberían
> >> hacerse,  existen formas de hacerlas mal (o sea peor de lo ya mal que
> >> eran) o bien (es decir, un poco menos mal).
> >>
> >> Si uno va a hacer squatting de direcciones, y uno mira el registro de
> >> IANA, hay especio unicast que si bien está asignado, es espacio
> >> "obscuro" y que es casi seguro que nunca se va a anunciar en Internet.
> >> No voy a dar mas datos, porque no quiero que parezca que yo estoy
> >> dando instrucciones de como hacer squatting, pero el punto que quiero
> >> marcar, es que incluso para hacer cosas mal, es conveniente entender
> >> como funciona Internet, IANA y los RIRs (entre otras cosas).
> >>
> >> Creo que tenemos un problema como región, y es que estamos de espaldas
> >> a todo esto (y a muchas cosas mas). Aceptamos como dadas ciertas cosas
> >> y no participamos en foros como IETF, los RIRs, la IEEE y la
> >> participación en UIT está limitada a que los gobiernos vayan a los
> >> ámbitos de gobiernos, pero tenemos nula o muy baja participación en
> >> los ámbitos de standarización. Nos cuesta cuestionar, y nos cuesta
> >> pasar de ser consumidores a productores de conocimiento.
> >>
> >> Seguro que hay honrosas excepciones a todo lo que dije arriba, pero
> >> estoy refiriéndome a la generalidad de la región. Además se que los
> >> que leen esta lista son justamente parte de esas excepciones, por lo
> >> que estoy haciendo los anglosajones le dirian 'preaching to the choir'.
> >>
> >> Por si no se entendió, lo repito, *CREO QUE ESTA MUY MAL HACER
> >> SQUATTING*, pero incluso si uno va a hacer algo que esta *MAL*, si uno
> >> entiende como está estructurada la gobernanza de Internet y sabe donde
> >> ir a buscar información, hay opciones para hacerlo un poco menos mal.
> >>
> >> s2
> >>
> >> Carlos
> >>
> >> On 2/9/15 11:55 AM, Hernan Moguilevsky - NOC CABASE wrote:
> >>> Hay que tener ganas de usurparle al Ministerio de Defensa Britanico...
> >>> Por lo menos se puede decir que son ¿valientes?!
> >>> :-)
> >>>
> >>> ?Each Hamachi client is normally assigned an IP address when it logs
> >> into the system for the first time. To avoid conflicting with existing
> >> private networks on the client side the normal private IP address
> >> blocks 10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0/16 are not used.
> >>> Before November 19, 2012 the 5.0.0.0/8 range was used. This range
> >>> was
> >> previously unallocated but was allocated to RIPE NCC in late 2010 and
> >> space from this range is now being used by hosting providers on the
> >> public internet. Hamachi switched to the 25.0.0.0/8 block.[2]
> >>> The 25.0.0.0/8 block is allocated to the British Ministry of Defence.
> >> Organisations who need to communicate with the MOD may experience
> >> problems when more specific Internet routes attract traffic that was
> >> meant for internal hosts, or alternatively find themselves unable to
> >> reach the legitimate users of those addresses because those addresses
> >> are being used internally,[3] and such "squatting" is against the
> >> established practice of the Internet.?
> >>>
> >>>
> >>> Hernan Moguilevsky
> >>> NOC CABASE
> >>>
> >>> Suipacha 128 - Piso 3°  F
> >>> C1008AAD Buenos Aires - Argentina
> >>> Tel: (54-11) 4326-0777 int. 9109
> >>> www.cabase.org.ar
> >>>
> >>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Roque
> >> Gagliano
> >>> Enviado el: lunes, 09 de febrero de 2015 06:58 a.m.
> >>> Para: Latin America and Caribbean Region Network Operators Group
> >>> Asunto: Re: [lacnog] IP Squatting en la region?
> >>>
> >>> Ricardo,
> >>>
> >>> Aquí la razón por la que te "sonaba" el bloque 5.0.0.0/8:
> >>>
> >>> http://en.wikipedia.org/wiki/LogMeIn_Hamachi
> >>> Saludos,
> >>> Roque
> >>>
> >>> On Sat, Feb 7, 2015 at 11:35 PM, Ricardo Patara <patara en registro.br>
> >> wrote:
> >>> I am not sure that is the case but when I read "5.x.x.x" it ring a
> bell.
> >>> There was an NAT equipment from an big manufacturer pre configured
> >>> with 5/8 as "internal" network for NATing.
> >>> It was a long time ago, not sure this equipment is still on the
> >>> market, not sure either this is the case.
> >>>
> >>> Regards,
> >>>
> >>>   Ricardo Patara
> >>>
> >>> On 07/02/15 00:04, Doug Madory wrote:
> >>>> Hola Andres,
> >>>
> >>>> I don't see Claro (or any other Colombian provider) globally
> >>>> announcing any IP address space in 5.x.x.x range.
> >>>
> >>>> However, they could be internally numbering with this address space
> >>>> and that could cause a problem for their customers. There are many
> >>>> cases of providers around the world using global IP addresses for
> >>>> internal numbering, which is a risky practice.
> >>>
> >>>> Can anyone with Claro Colombia residential service post a
> >>>> traceroute to one of the affected IPs? Por ejemplo: 5.9.66.150
> >>>
> >>>> Gracias, Doug
> >>>
> >>>> Doug Madory Director of Internet Analysis, Dyn @dynresearch
> >>>> Hanover, NH                      +1 603-263-6868
> >>>
> >>>> Dyn is a cloud-based Internet Performance company
> >>>> http://dyn.com/about/
> >>>
> >>>
> >>>
> >>>> _______________________________________________ LACNOG mailing list
> >>>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
> >>>> Cancelar
> >>>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>
> >>>
> >>>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> > ------------ próxima parte ------------
> > Se ha borrado un adjunto en formato HTML...
> > URL: <
> http://mail.lacnic.net/pipermail/lacnog/attachments/20150209/f8756456/attachment-0001.html
> >
> >
> > ------------------------------
> >
> > Message: 3
> > Date: Mon,  9 Feb 2015 14:15:51 -0300 (ART)
> > From: rdhios en syt.net
> > To: lacnog en lacnic.net
> > Subject: Re: [lacnog] IP Squatting en la region?
> > Message-ID: <20150209171551.B40FB15A023B en plesk11.syt.com>
> > Content-Type: text/plain; charset="UTF-8"
> >
> > Me encontrare ausente en la oficina, por motivos vacacionales, desde el
> 09 de Febrero hasta el 01 de Marzo. Por cualquier necesidad o urgencia
> dirigir sus correos a noc en syt.net o bien llamar al 4138-1800, desde ya
> muchas gracias.
> >
> > Roberto Dhios
> > Jefe de Ingenieria SYT SA.
> >
> >
> >
> >
> >
> > ------------------------------
> >
> > Subject: Pié de página del digest
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> >
> >
> > ------------------------------
> >
> > Fin de Resumen de LACNOG, Vol 86, Envío 21
> > ******************************************
> > ________________________________
> >  “Nota de Descargo: La información contenida en este mensaje y sus
> anexos tiene carácter confidencial, y está dirigida únicamente al
> destinatario de la misma y sólo podrá ser usada por éste. Si el lector de
> este mensaje no es el destinatario del mismo, se le notifica que cualquier
> copia o distribución de éste se encuentra totalmente prohibida. Si usted ha
> recibido este mensaje por error, por favor notifique inmediatamente al
> remitente por este mismo medio y borre el mensaje de su sistema. Las
> opiniones que contenga este mensaje son exclusivas de su autor y no
> necesariamente representan la opinión oficial de la CORPORACIÓN NACIONAL DE
> TELECOMUNICACIONES, CNT EP, DEL ECUADOR.”
> > ________________________________
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20150211/a10c4f5b/attachment.html>

Más información sobre la lista de distribución LACNOG