[lacnog] IETF SIDR WG - BGPsec RFC
Douglas Fischer
fischerdouglas en gmail.com
Lun Oct 9 09:29:49 BRT 2017
Compartilho de sua opinião @luisbalbinot
Já ví muitas discussões sobre técnicas para solucionar o que o BGPSec
resolveria, com outros subterfúgios.
Uma possibilidade que eu acho interessante é uma base
centralizada/replicada/distribuída onde:
- Constem os blocos IP delegados pelos RIRs para cada ASN
- Registros de todos os Peerings entre todos os ASNs
Consultas a essa base hipotética poderiam resultar no equivalente ao
Origin-Validation e ao Path-Validation.
Nesse caso, os mecanismos de roteamento continuariam como os atuais, e os
recursos de Origin-Validation e Path-Validation seriam feitos "por fora".
Não pensei em quais seriam os recursos perdidos em relação ao BGPSec.
E também percebo que isso possa adicionar pontos centralizados de falha.
Mas imagino que desonerar processamento e memória dos mecanismos de
roteamento possa compensar esse pontos negativos.
Em 6 de outubro de 2017 22:22, Luis Balbinot <luis en luisbalbinot.com>
escreveu:
> BGPsec pode ter virado RFC, mas o grupo se arrasta há anos e vem batendo
> em situações sem soluções consideradas ótimas ou plausíveis pela comunidade
> operacional (e até mesmo dentro do grupo não há consenso sobre alguns
> assuntos). Eu mesmo desisti de ir às sessões do sidr durante os IETFs.
>
> Pessoalmente, eu duvido que vamos ver algum deployment de BGPsec em curto
> prazo.
>
> Luís
>
> On Thu, 5 Oct 2017 at 21:02 Rogerio Mariano <rsouza.rjo en gmail.com> wrote:
>
>> Olá Douglas,
>>
>> Espero que você esteja bem.
>>
>> Sim, o RPKI tem ganho muita força desde seu "deploy" em 2011. Creio que
>> não exista um dado empírico sobre RPKI, mas podemos ter uma boa ideia pelo
>> "MANRS - Mutually Agreed Norms for Routing Security" da Internet Society
>> que é um processo de adesão gratuita e uma boa solução para os ISPs,
>> empresas como NTT, LEVEL3, COMCAST,SKY, Algar estão no MANRS.
>>
>>
>> https://www.routingmanifesto.org/manrs/
>>
>> https://www.routingmanifesto.org/participants/
>>
>>
>> Um outra maneira seria tentar procurar (talvez uma forma mais complexa)
>> seja através de um IRR - Internet Routing Registry em ferramentas como IRR
>> Explorer, IRR Power Tools, IRRToolSet, BGPQ3....
>>
>> Este foi um assunto bem debatido no LACNOG 2017 em Montevideo. Segue uma
>> palestra da Erika Vega (LACNOG & RENATA) feita pelo grande mestre Alvaro
>> Retana (Diretor da Area de Roteamento do IETF).
>>
>> http://slides.lacnic.net/wp-content/uploads/2017/09/
>> resultados-seguridad-bgp-en-la-infraestructura-de-renata.pdf
>>
>> Sobre o AS-Path Validation vou verificar junto ao Alvaro Retana e a Alia
>> Atlas que sao os diretores do RTG do IETF se existe algum draft, BoF ou
>> alguma iniciativa andamento.
>>
>>
>> Um abraço,
>> Rogerio Mariano
>>
>> 2017-10-05 14:14 GMT-03:00 Douglas Fischer <fischerdouglas en gmail.com>:
>>
>>> Uma curiosidade:
>>> RPKI se não me engano está publicado desde 2011, certo?
>>> - Quantos Peerings com fins produtivos já estão com RPKI ativado?
>>>
>>>
>>> Não li os documentos(ainda), mas me bateu outra curiosidade:
>>> Pelo que pude entender, essa novas RFCs garantem Origin-Validation...
>>> Mas não garantem AS-Path Validation.
>>> Está certo esse entendimento?
>>> Existe alguma coisa no forno sobre Path-Validation?
>>>
>>>
>>> 2017-10-05 12:04 GMT-03:00 Eduardo Ascenço Reis <eduardo en intron.com.br>:
>>>
>>>> Aos Colegas,
>>>>
>>>> Acredito que vale reforçar a divulgação da recente publicação das RFC
>>>> relacionadas ao protocolo BGPsec feitas pelo grupo de trabalho SIDR (Secure
>>>> Inter-Domain Routing).
>>>>
>>>> Segue abaixo:
>>>>
>>>> ---------- Forwarded message ----------
>>>> From: Sandra Murphy <sandy en tislabs.com>
>>>> Date: 2017-10-03 19:00 GMT-03:00
>>>> Subject: [sidr] congratulations to the wg and the RFC authors
>>>> To: sidr <sidr en ietf.org>
>>>>
>>>>
>>>> Speaking as one of the wg co-chairs:
>>>>
>>>> We would like to congratulate the wg and the RFC editors, authors and
>>>> contributors on the publication of the suite of RFCs related to BGPsec.
>>>>
>>>> Everyone stand up and take a bow, you’ve all earned it.
>>>>
>>>> There’s no way to list everyone involved without making this sound like
>>>> a long Oscar acceptance speech. But just the editors can be called out:
>>>>
>>>> RFC 8205
>>>>
>>>> Title: BGPsec Protocol Specification
>>>> Author: M. Lepinski, Ed.,
>>>> K. Sriram, Ed.
>>>>
>>>> RFC 8206
>>>>
>>>> Title: BGPsec Considerations for Autonomous System (AS)
>>>> Migration
>>>> Author: W. George
>>>>
>>>> BCP 211
>>>> RFC 8207
>>>>
>>>> Title: BGPsec Operational Considerations
>>>> Author: R. Bush
>>>>
>>>>
>>>> RFC 8208
>>>>
>>>> Title: BGPsec Algorithms, Key Formats, and Signature Formats
>>>> Author: S. Turner,
>>>> O. Borchers
>>>>
>>>> RFC 8209
>>>>
>>>> Title: A Profile for BGPsec Router Certificates, Certificate
>>>> Revocation Lists, and Certification Requests
>>>> Author: M. Reynolds,
>>>> S. Turner,
>>>> S. Kent
>>>>
>>>> RFC 8210
>>>>
>>>> Title: The Resource Public Key Infrastructure (RPKI) to
>>>> Router
>>>> Protocol, Version 1
>>>> Author: R. Bush,
>>>> R. Austein
>>>>
>>>> RFC 8211
>>>>
>>>> Title: Adverse Actions by a Certification Authority (CA) or
>>>> Repository Manager in the Resource Public Key
>>>> Infrastructure (RPKI)
>>>> Author: S. Kent,
>>>> D. Ma
>>>>
>>>> —Sandy, speaking as one of the wg co-chairs
>>>> _______________________________________________
>>>> sidr mailing list
>>>> sidr en ietf.org
>>>> https://www.ietf.org/mailman/listinfo/sidr
>>>>
>>>> Eduardo Ascenço Reis
>>>> <eduardo en intron.com.br>
>>>>
>>>> +55 11 99643-3082 <(11)%2099643-3082>
>>>>
>>>> https://br.linkedin.com/in/eascenco
>>>>
>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>>
>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20171009/4376f477/attachment.html>
Más información sobre la lista de distribución LACNOG