[lacnog] Efectividad de bloqueos usando RPKI

Carlos M. Martinez carlosm3011 en gmail.com
Mar Ene 28 14:01:13 GMT+3 2020


Hola Fernando,

El riesgo que mencionas es real. Nunca ha ocurrido, pero no quiere decir 
que nunca vaya a ocurrir.

Algo similar pasa con la firma de la raíz del DNS, incluso diría que 
en ese caso el riesgo es mayor. También es un problema que afecta a 
todo proveedor de Cloud, como se ve en los recientes choques entre Apple 
y el FBI.

Han habido dos lineas de trabajo en este tema, que quizás tu mismo nos 
puedes ayudar a profundizar :-)

1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con 
bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al 
menos en reuniones informales se ha hablado.

2- dotar al sistema de RPKI de una propiedad que se conoce como la de 
ser “tamper evident”, es decir, que si el sistema es alterado por 
mecanismos fuera de los carriles normales, cualquier observador externo 
sepa que justamente, el sistema fue alterado

Este ultimo punto para mi es particularmente interesante, ya que creo 
que tiene aplicabilidad mas allá de RPKI.

Hay un paper de Sharon Goldberg en el que ella discute algunas de estas 
amenazas y hace algunas propuestas que van de la mano de (2).

http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf

(Este paper ganó en 2014 el ANRP, Applied Networking Research Prize, 
que organiza el IETF)

S2

/Carlos

On 28 Jan 2020, at 13:18, Fernando Frediani wrote:

> Pensé antes de escribir este mensaje porque es un tema delicado, pero 
> creo que esta lista es uno de los lugares más apropiados para esta 
> discusión y me gustaría conocer la opinión de los colegas al 
> respecto.
>
> Hasta entonces, para bloquear una organización que es un sistema 
> autónomo en Internet, había medidas con baja efectividad que los 
> tribunales de los países podían usar. Con el advenimiento de RPKI 
> esto puede cambiar un poco.
>
> Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0||||, es 
> decir, cualquier rango de IP incluso si no está registrado en su 
> whois, ¿cuál es la posibilidad en su opinión de que las Autoridades 
> Judiciales de los países donde se encuentran los 5 RIR puedan 
> ¿emitir órdenes para que el RIR se vea obligado a emitir un ROA con 
> AS0 para bloquear una empresa en Internet por alguna razón?
>
> Sé que es muy excepcional, pero cuando se trata de la judicatura, 
> podemos esperar todo.
>
> Sin embargo, creo que si consideramos solo los 5 RIR, esta posibilidad 
> se reduce al Poder Judicial de 5 países: Estados Unidos, Uruguay, 
> Países Bajos, Mauricius y Australia.
>
> Sin embargo, queda una pregunta si en el caso de los NIR, que tienen 
> delegación de los RIRs, ya que es lo caso aquí en América Latina, 
> estos NIR también están autorizados por defecto para emitir ROA para 
> cualquier dirección o solo para direcciones delegadas, es decir, para 
> cada asignación/registro realizado ¿el RIR debe hacer una 
> delegación específica al NIR?
> Pregunto esto porque en la región de Asia hay un mayor número de NIR 
> y si afectaría este tema de alguna manera.
>
> Saludos
> Fernando Frediani


> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200128/552462dd/attachment-0001.html>


Más información sobre la lista de distribución LACNOG