[lacnog] Consulta Delegacion prefijos a abonados

Carlos M. Martinez carlosm3011 en gmail.com
Mar Nov 27 14:22:45 -02 2018


Arielitus,

Hay una cierta inconsistencia en estas politicas de filtrado. Si le 
asignás a “todo el mundo” un /48, igual no sabes, al filtrar un 
/48, si estas filtrando a toda una organización de 10.000 empleados o 
filtrando solamente a la casa de Doña María. Puede ser cualquiera de 
los dos.

Cierto que podrías tratar de inferir del WHOIS en caso estás, pero en 
la práctica, esto puede no ser tan obvio y seguro si vas a tratar de 
automatizar algo, puede ser arriesgado.

Una politica de asignacion uniforme de /48s a todos los usuarios, sin 
importar su calidad, de hecho a mí me convence más de que filtrar en 
la frontera del /48 es excesivamente riesgoso. Imaginate ademas, que si 
estamos hablando de un ISP que asigna IPs que rotan con la hora del día 
(una práctica infame, pero que se aplica y mucho), una persona capaz 
que solo tendría que esperar un rato para obtener un /48 nuevo. ¿Ahí 
cual sería la estrategia? ¿Filtrar el /32 entero? Si el residencial 
recibe un /56 o un /60, el filtrado por /48 es más sostenible al darte 
una protección mayor.

Como hay casos para todos, bueno, hay gente a la que no le importa. En 
una época de en que me toco administrar una serie de portales para 
varias organizaciones llegué a filtrar /8s de IPv4 enteros y no me 
importó. Ahora, si soy un ISP o un hosting, creo que hay que ser un 
poco más quirúrgico.

Resumiendo, porque me quedó el correo un poco entreverado, creo que la 
politica de filtrado no es un argumento en un sentido u otro. Y creo que 
cada organización tiene que ser libre de tomar la decisión que mas se 
ajuste a su situación.

Salute

/Carlos

On 27 Nov 2018, at 13:08, Ariel Weher wrote:

> Con el comentario sobre el filtrado quise dejar ver que estas
> discusiones tienen aspectos mucho más amplios que solamente la
> numeración que se entrega a los clientes.
>
> Hace al menos 5 o 6 años que junto con Jordi venimos hablando en los
> tutoriales que se debe entregar /48 en todos los casos.
>
> Entiendo que la única complicación real de entregar /48 para todos 
> los
> clientes sería económica dado que quizás algunas organizaciones 
> deban
> cambiar de categoría de membresía en LACNIC por tener más de 65K
> clientes.
>
> Si lo establecido en ripe-690 no es acorde a nuestra región, los
> invito a formar un grupo de trabajo para hacer un BCOP que especifique
> cuál es el prefijo acorde para entregar en LAC, y de alguna manera
> rectificar todo lo que venimos enseñando a la gente desde hace mucho
> tiempo.
>
> Saludos!
> On Tue, Nov 27, 2018 at 12:54 PM JORDI PALET MARTINEZ
> <jordi.palet en consulintel.es> wrote:
>>
>> Sisi, lo había entendido, pero en cualquier caso creo que mi 
>> aclaración es buena.
>>
>> Entiendo que quien encuentra algo en un archivo, lee el contexto, 
>> sino mal hace ...
>>
>> Saludos,
>> Jordi
>>
>>
>>
>> -----Mensaje original-----
>> De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Eduardo Cota 
>> <cota en fing.edu.uy>
>> Responder a: Latin America and Caribbean Region Network Operators 
>> Group <lacnog en lacnic.net>
>> Fecha: martes, 27 de noviembre de 2018, 15:10
>> Para: Latin America and Caribbean Region Network Operators Group 
>> <lacnog en lacnic.net>
>> Asunto: Re: [lacnog] Consulta Delegacion prefijos a abonados
>>
>>     Hola Jordy,
>>              Lo mío no iba a la discusión de fondo de tamaño de 
>> bloque a
>>     asignar, sino al comentario sobre el filtrado ("Si me ataca una 
>> ip filtro
>>     todo el /48").
>>
>>     No me gusta que queden en los archivos de las listas un 
>> comentario tan
>>     genérico que alguien que lee sin mucho contexto puede 
>> interpretarse como
>>     "es razonable filtrar a nivel de /48 apoyándome en la BCP RIPE 
>> 690". La
>>     BCP no dice que todas las redes son /48.
>>
>>     Saludos,
>>                    Eduardo.
>>
>>
>>     On Tue, 27 Nov 2018, JORDI PALET MARTINEZ wrote:
>>
>>     > Hola Eduardo,
>>     >
>>     > Entiendo que estábamos hablando de usuarios residenciales, 
>> pero en
>>     > cualquier caso, lo normal es que los operadores asignen /64 a 
>> los
>>     > celulares de un bloque concreto, separado del plan de 
>> direccionamiento
>>     > de los residenciales, con lo cual, en ese caso, si aplicas 
>> filtros a ese
>>     > bloque, lo haces sobre todo el bloque asignado a los celulares 
>> (por
>>     > ejemplo cuando el operador responsable no esta respondiendo a 
>> los casos
>>     > de abuso), o bien en ese bloque, filtras en base a /64.
>>     >
>>     > La diferencia es que en PDP context de una red celular, si o 
>> si, hoy por
>>     > hoy, sabemos que todo el mundo usa /64.
>>     >
>>     > En cambio en residencial, si cada cual hace lo que quiere, es 
>> difícil
>>     > saber (o encontrar incluso la información), de lo que filtrar 
>> en cada
>>     > red, y además no tienes una forma de hacerlo 
>> "automáticamente".
>>     >
>>     > Saludos,
>>     > Jordi
>>     >
>>     >
>>     >
>>     > -----Mensaje original-----
>>     > De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Eduardo 
>> Cota <cota en fing.edu.uy>
>>     > Responder a: Latin America and Caribbean Region Network 
>> Operators Group <lacnog en lacnic.net>
>>     > Fecha: lunes, 26 de noviembre de 2018, 23:29
>>     > Para: Latin America and Caribbean Region Network Operators 
>> Group <lacnog en lacnic.net>
>>     > Asunto: Re: [lacnog] Consulta Delegacion prefijos a abonados
>>     >
>>     >    Que tal, buenas.
>>     >
>>     >    Interesante política.... sobre todo si tu sitio es accedido 
>> por clientes
>>     >    desde sus celulares, recomiendo leer el punto 4.2.4 de la 
>> propia ripe 690.
>>     >    "Considerations for Cellular Operators".
>>     >
>>     >    Para quienes no vayan a leerlo,
>>     >    "There is a clear exception to the rule described above when 
>> assigning
>>     >    prefixes in a cellular network. In this case, a /64 will 
>> need to be
>>     >    provided for each PDP context for cellular phones, ...."
>>     >
>>     >    Aclaro que esto no es para los servicios broadband sobre red 
>> de celular,
>>     >    sino para los teléfonos, pero dependiendo de tu red 
>> claramente este
>>     >    filtrado puede afectar una porción posiblemente importante 
>> de quienes
>>     >    acceden a tus servicios.
>>     >
>>     >    Saludos,
>>     >             Eduardo.
>>     >
>>     >
>>     >    On Mon, 26 Nov 2018, Ariel Weher wrote:
>>     >
>>     >    > Que tal buenas noches.
>>     >    >
>>     >    > Una consulta:
>>     >    >
>>     >    > Todo esto es por el día del inocente, ¿no?.
>>     >    >
>>     >    > Por otro lado:
>>     >    >
>>     >    > Cuando en mis redes encuentro ataques y cosas non-sanctas 
>> desde redes
>>     >    > externas, en primera instancia para IPv4 se bloquea /32 y 
>> en IPv6 el
>>     >    > /48.
>>     >    > En el caso de los "disidentes del ripe-690" van a verse 
>> afectados
>>     >    > varios clientes.
>>     >    >
>>     >    > El que avisa no traiciona.
>>     >    >
>>     >    > Saludos!
>>     >    >
>>     >    >
>>     >    > On Fri, Nov 23, 2018 at 10:40 PM Fernando Gont 
>> <fgont en si6networks.com> wrote:
>>     >    >>
>>     >    >> On 23/11/18 12:15, JORDI PALET MARTINEZ wrote:
>>     >    >>> Totalmente de acuerdo contigo que las aplicaciones deben 
>> trabajar con nombres, pero si no tienes direcciones estables, es 
>> difícil que los nombres hagan referencia a direcciones, y si usas 
>> DNS dinámico, los caches no sirven, y por tanto lo que ganas en RTT 
>> (como tu decías antes), lo pierdes en consultas a DNS ...
>>     >    >>
>>     >    >> Me parece que estas haciendo un analisis equivocado.
>>     >    >>
>>     >    >> 1) Respecto de las direcciones/prefijos estables, es 
>> usual que cuando
>>     >    >> los mismos no son estables, cambien a lo sumo una o dos 
>> veces al dia, o
>>     >    >> bien cuando reinicias el CPE. *No* estan cambiando ni 
>> siquiera una vez
>>     >    >> por hora.
>>     >    >>
>>     >    >> 2) El TTL del DNS uno lo configura de manera acorde. 
>> Inclusive eligiendo
>>     >    >> algo estilo "30 segundos" uno tiene un nivel de 
>> responsivenes mas que
>>     >    >> aceptable. Y el unico "glitch" puede ocurrir justamente 
>> para ese momento
>>     >    >> en el cual la IP/prefijo cambia, y asumiendo que la 
>> aplicaciòn *justo*
>>     >    >> haga un query al DNS un instante antes de dicho cambio.
>>     >    >>
>>     >    >> 3) Comparar el RTT en un query DNS con el RTT de un tunel 
>> es equivocado.
>>     >    >> El RTT que tenes en un query DNS es una ùnica 
>> penalizaciòn que, de
>>     >    >> maximo, puede afectarte en el tiempo de respuesta para el 
>> caso de
>>     >    >> aplicaciones interactivas (y ni eso, ya que en casos como 
>> el de la web,
>>     >    >> muchos browsers (e.g. Chrome) hacen prefetch de los 
>> dominios). El RTT de
>>     >    >> un tunel te afecta de manera permanente, ya que tiene una 
>> implicancia
>>     >    >> directa, por ejemplo, en el "tamaño del pipe" 
>> (bandwidth-delay product)
>>     >    >> que afecta entre otras cosas a la performance de 
>> protocolos como TCP,
>>     >    >> buffer overbloat, y otros.
>>     >    >>
>>     >    >>
>>     >    >> Saludos,
>>     >    >> --
>>     >    >> Fernando Gont
>>     >    >> SI6 Networks
>>     >    >> e-mail: fgont en si6networks.com
>>     >    >> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 
>> 1D4E 7492
>>     >    >>
>>     >    >>
>>     >    >>
>>     >    >>
>>     >    >> _______________________________________________
>>     >    >> LACNOG mailing list
>>     >    >> LACNOG en lacnic.net
>>     >    >> https://mail.lacnic.net/mailman/listinfo/lacnog
>>     >    >> Cancelar suscripcion: 
>> https://mail.lacnic.net/mailman/options/lacnog
>>     >    > _______________________________________________
>>     >    > LACNOG mailing list
>>     >    > LACNOG en lacnic.net
>>     >    > https://mail.lacnic.net/mailman/listinfo/lacnog
>>     >    > Cancelar suscripcion: 
>> https://mail.lacnic.net/mailman/options/lacnog
>>     >    >_______________________________________________
>>     >    LACNOG mailing list
>>     >    LACNOG en lacnic.net
>>     >    https://mail.lacnic.net/mailman/listinfo/lacnog
>>     >    Cancelar suscripcion: 
>> https://mail.lacnic.net/mailman/options/lacnog
>>     >
>>     >
>>     >
>>     >
>>     > **********************************************
>>     > IPv4 is over
>>     > Are you ready for the new Internet ?
>>     > http://www.theipv6company.com
>>     > The IPv6 Company
>>     >
>>     > This electronic message contains information which may be 
>> privileged or confidential. The information is intended to be for the 
>> exclusive use of the individual(s) named above and further 
>> non-explicilty authorized disclosure, copying, distribution or use of 
>> the contents of this information, even if partially, including 
>> attached files, is strictly prohibited and will be considered a 
>> criminal offense. If you are not the intended recipient be aware that 
>> any disclosure, copying, distribution or use of the contents of this 
>> information, even if partially, including attached files, is strictly 
>> prohibited, will be considered a criminal offense, so you must reply 
>> to the original sender to inform about this communication and delete 
>> it.
>>     >
>>     >
>>     >
>>     > _______________________________________________
>>     > LACNOG mailing list
>>     > LACNOG en lacnic.net
>>     > https://mail.lacnic.net/mailman/listinfo/lacnog
>>     > Cancelar suscripcion: 
>> https://mail.lacnic.net/mailman/options/lacnog
>>     >_______________________________________________
>>     LACNOG mailing list
>>     LACNOG en lacnic.net
>>     https://mail.lacnic.net/mailman/listinfo/lacnog
>>     Cancelar suscripcion: 
>> https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>>
>>
>> **********************************************
>> IPv4 is over
>> Are you ready for the new Internet ?
>> http://www.theipv6company.com
>> The IPv6 Company
>>
>> This electronic message contains information which may be privileged 
>> or confidential. The information is intended to be for the exclusive 
>> use of the individual(s) named above and further non-explicilty 
>> authorized disclosure, copying, distribution or use of the contents 
>> of this information, even if partially, including attached files, is 
>> strictly prohibited and will be considered a criminal offense. If you 
>> are not the intended recipient be aware that any disclosure, copying, 
>> distribution or use of the contents of this information, even if 
>> partially, including attached files, is strictly prohibited, will be 
>> considered a criminal offense, so you must reply to the original 
>> sender to inform about this communication and delete it.
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog


Más información sobre la lista de distribución LACNOG