[lacnog] IETF SIDR WG - BGPsec RFC

Douglas Fischer fischerdouglas en gmail.com
Lun Oct 9 09:29:49 BRT 2017


Compartilho de sua opinião @luisbalbinot

Já ví muitas discussões sobre técnicas para solucionar o que o BGPSec
resolveria, com outros subterfúgios.

Uma possibilidade que eu acho interessante é uma base
centralizada/replicada/distribuída onde:
- Constem os blocos IP delegados pelos RIRs para cada ASN
- Registros de todos os Peerings entre todos os ASNs

Consultas a essa base hipotética poderiam resultar no equivalente ao
Origin-Validation e ao Path-Validation.

Nesse caso, os mecanismos de roteamento continuariam como os atuais, e os
recursos de Origin-Validation e Path-Validation seriam feitos "por fora".

Não pensei em quais seriam os recursos perdidos em relação ao BGPSec.
E também percebo que isso possa adicionar pontos centralizados de falha.
Mas imagino que desonerar processamento e memória dos mecanismos de
roteamento possa compensar esse pontos negativos.






Em 6 de outubro de 2017 22:22, Luis Balbinot <luis en luisbalbinot.com>
escreveu:

> BGPsec pode ter virado RFC, mas o grupo se arrasta há anos e vem batendo
> em situações sem soluções consideradas ótimas ou plausíveis pela comunidade
> operacional (e até mesmo dentro do grupo não há consenso sobre alguns
> assuntos). Eu mesmo desisti de ir às sessões do sidr durante os IETFs.
>
> Pessoalmente, eu duvido que vamos ver algum deployment de BGPsec em curto
> prazo.
>
> Luís
>
> On Thu, 5 Oct 2017 at 21:02 Rogerio Mariano <rsouza.rjo en gmail.com> wrote:
>
>> Olá Douglas,
>>
>> Espero que você esteja bem.
>>
>> Sim, o RPKI tem ganho muita força desde seu "deploy" em 2011. Creio que
>> não exista um dado empírico sobre RPKI, mas podemos ter uma boa ideia pelo
>> "MANRS - Mutually Agreed Norms for Routing Security" da Internet Society
>> que é um processo de adesão gratuita e uma boa solução para os ISPs,
>> empresas como NTT, LEVEL3, COMCAST,SKY, Algar estão no MANRS.
>>
>>
>> https://www.routingmanifesto.org/manrs/
>>
>> https://www.routingmanifesto.org/participants/
>>
>>
>> Um outra maneira seria tentar procurar (talvez uma forma mais complexa)
>> seja através de um IRR  - Internet Routing Registry em ferramentas como IRR
>> Explorer, IRR Power Tools, IRRToolSet, BGPQ3....
>>
>> Este foi um assunto bem debatido no LACNOG 2017 em Montevideo. Segue uma
>> palestra da Erika Vega (LACNOG & RENATA) feita pelo grande mestre Alvaro
>> Retana (Diretor da Area de Roteamento do IETF).
>>
>> http://slides.lacnic.net/wp-content/uploads/2017/09/
>> resultados-seguridad-bgp-en-la-infraestructura-de-renata.pdf
>>
>> Sobre o AS-Path Validation vou verificar junto ao Alvaro Retana e a Alia
>> Atlas que sao os diretores do RTG do IETF se existe algum draft, BoF ou
>> alguma iniciativa andamento.
>>
>>
>> Um abraço,
>> Rogerio Mariano
>>
>> 2017-10-05 14:14 GMT-03:00 Douglas Fischer <fischerdouglas en gmail.com>:
>>
>>> ​Uma curiosidade:
>>> RPKI se não me engano e​stá publicado desde 2011, certo?
>>>  - Quantos Peerings com fins produtivos já estão com RPKI ativado?
>>>
>>>
>>> Não li os documentos(ainda), mas me bateu outra curiosidade:
>>> Pelo que pude entender, essa novas RFCs garantem Origin-Validation...
>>> Mas não garantem AS-Path Validation.
>>> Está certo esse entendimento?
>>> Existe alguma coisa no forno sobre Path-Validation?
>>>
>>>
>>> 2017-10-05 12:04 GMT-03:00 Eduardo Ascenço Reis <eduardo en intron.com.br>:
>>>
>>>> Aos Colegas,
>>>>
>>>> Acredito que vale reforçar a divulgação da recente publicação das RFC
>>>> relacionadas ao protocolo BGPsec feitas pelo grupo de trabalho SIDR (Secure
>>>> Inter-Domain Routing).
>>>>
>>>> Segue abaixo:
>>>>
>>>> ---------- Forwarded message ----------
>>>> From: Sandra Murphy <sandy en tislabs.com>
>>>> Date: 2017-10-03 19:00 GMT-03:00
>>>> Subject: [sidr] congratulations to the wg and the RFC authors
>>>> To: sidr <sidr en ietf.org>
>>>>
>>>>
>>>> Speaking as one of the wg co-chairs:
>>>>
>>>> We would like to congratulate the wg and the RFC editors, authors and
>>>> contributors on the publication of the suite of RFCs related to BGPsec.
>>>>
>>>> Everyone stand up and take a bow, you’ve all earned it.
>>>>
>>>> There’s no way to list everyone involved without making this sound like
>>>> a long Oscar acceptance speech.  But just the editors can be called out:
>>>>
>>>>        RFC 8205
>>>>
>>>>        Title:      BGPsec Protocol Specification
>>>>        Author:     M. Lepinski, Ed.,
>>>>                    K. Sriram, Ed.
>>>>
>>>>        RFC 8206
>>>>
>>>>        Title:      BGPsec Considerations for Autonomous System (AS)
>>>> Migration
>>>>        Author:     W. George
>>>>
>>>>        BCP 211
>>>>        RFC 8207
>>>>
>>>>        Title:      BGPsec Operational Considerations
>>>>        Author:     R. Bush
>>>>
>>>>
>>>>        RFC 8208
>>>>
>>>>        Title:      BGPsec Algorithms, Key Formats, and Signature Formats
>>>>        Author:     S. Turner,
>>>>                    O. Borchers
>>>>
>>>>        RFC 8209
>>>>
>>>>        Title:      A Profile for BGPsec Router Certificates, Certificate
>>>>                    Revocation Lists, and Certification Requests
>>>>        Author:     M. Reynolds,
>>>>                    S. Turner,
>>>>                    S. Kent
>>>>
>>>>        RFC 8210
>>>>
>>>>        Title:      The Resource Public Key Infrastructure (RPKI) to
>>>> Router
>>>>                    Protocol, Version 1
>>>>        Author:     R. Bush,
>>>>                    R. Austein
>>>>
>>>>        RFC 8211
>>>>
>>>>        Title:      Adverse Actions by a Certification Authority (CA) or
>>>>                    Repository Manager in the Resource Public Key
>>>>                    Infrastructure (RPKI)
>>>>        Author:     S. Kent,
>>>>                    D. Ma
>>>>
>>>> —Sandy, speaking as one of the wg co-chairs
>>>> _______________________________________________
>>>> sidr mailing list
>>>> sidr en ietf.org
>>>> https://www.ietf.org/mailman/listinfo/sidr
>>>>
>>>> Eduardo Ascenço Reis
>>>> <eduardo en intron.com.br>
>>>>
>>>> +55 11 99643-3082 <(11)%2099643-3082>
>>>>
>>>> https://br.linkedin.com/in/eascenco
>>>>
>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>>
>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20171009/4376f477/attachment.html>


Más información sobre la lista de distribución LACNOG