[lacnog] RPKI ROAs - Blackhole - Maximum prefix length

Douglas Fischer fischerdouglas en gmail.com
Vie Mayo 17 01:39:09 -03 2019


Durante el LACNIC 31 hubo una sesión interesantísima de orientación
práctica de creación de ROAs para RPKI.

En esa sesión tuve la oportunidad de conocer la herramienta que LACNIC
desarrolló para evitar que "RPKI noobies" cometan errores.
P.S .: Los desarrolladores de esta mágica herramienta merecen fuertes
elogios! Excelente usabilidad.

En esta sesión también surgió una discusión interesante sobre el tamaño
máximo de la máscara que se definió en la publicación del ROA.
En un ejemplo hipotético de un prefijo IPv4:
"X.Y.Z.0 /20 le /24" o "X.Y.Z.0/ 20 le /32"

La pregunta se deriva de la validación RPKI em sistemas de Remote Triggered
Black Hole, generalmente a través de anuncios /32 con las respectivas
communities.

¿Cómo sería la validación de origen de anûncios de blackhole, que
generalmente son /32, considerando que la mayoría de los ROA se crean con
LE /24?

El que está bajo algún tipo de ataque que dependa de Blackhole para
amenizar los impactos de ese ataque, no puede esperar hasta 24h para que un
ROA /32 criad de emergencia sea replicado por los cachés de los servidores
de RTR.

Esto significa que los anuncios de BlackHole no podría pasar por la
comprobación de RPKI?
Y su yo fuera un tipo malvado y quisiera usar eso para crear problemas con
direcciones de alto uso como 8.8.8.8 1.1.1.1 4.2.2.2 9.9.9.9 y similares?
¿Cómo queda la validación de origen en este caso?

O la recomendación de que el LE maximo utilizado sea / 24 (v4) debería
revisarse?
P.S .: Se debe tener en cuenta que permitir una máscara más grande, a pesar
de resolver el problema de la validación RPKI de Blackhole / 32, crea el
problema de secuestro a través de más específico en la disputa de AS-Path.


Ante estas dudas, me gustaría escuchar la opinión de los colegas.

-- 
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190517/a3021ee4/attachment.html>


Más información sobre la lista de distribución LACNOG