[lacnog] Efectividad de bloqueos usando RPKI

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mar Ene 28 16:08:53 GMT+3 2020


Hola a todos,

 

Aparte de que como dice Carlos, no ha ocurrido, la verdad es que creo que es muy difícil que ocurra. Pienso que ninguna autoridad judicial podría dar una orden así a ningún RIR y que este no demorara su ejecución, mediante la propia vía judicial.

Creo que daría tiempo a reaccionar con alguna solución o incluso avisar a la comunidad de medidas para evitar efectos indeseados, etc.

Dudo mucho que haya acuerdos entre países, tan específicos y claros de tal forma que, si (por poner un ejemplo) desde España se pide a Uruguay, concretamente a LACNIC, ni siquiera mediante comunicación justicia-de-España a justicia-de-Uruguay, se tenga que cumplir.

Y precisamente creo que todos los RIRs están en países con un sistema fundado y neutral.

Fijaros en cuestiones como el GDPR. Aunque haya una “sentencia” de incumplimiento en un país *no adherido* a los convenios del mismo, aunque haya una multa de 20 millones de euros, es muy difícil, que se pueda ejecutar, salvo que los “condenados”, pisen territorio europeo o tengan allí bienes, cuentas bancarias, etc.

O si queréis verlo de forma mas sencilla, un ciudadano de cualquier parte del mundo comete un delito, o falta de cualquier tipo en otro país, diferente del suyo, y en la mayoría de los casos, la “extradición” (y por tanto la obligación de unas autoridades hacia otras autoridades), no aplica salvo para delitos muy concretos, y a veces incluso no coinciden los “ámbitos de interpretación” (por llamarlo de algún modo) de esos casos.

Nos esta ocurriendo incluso habiendo *acuerdos vinculantes*, dentro de la EU, con crímenes tan graves como la sedición o rebelión, contra todo un país, no son comprendidos igual y por tanto, no se admite la extradición.

De todos modos, si es una orden judicial, hasta que punto tenemos derecho a incumplirla?

Si hay un AS o un prefijo que esta provocando cualquier tipo de males, incluso cosas como pornografía infantil, etc., o violando la ley de un país de la forma que sea, no creéis que es aceptable ese filtrado si es con una orden judicial?

Esta claro que podría ser usado maliciosamente, imaginemos un golpe de estado en un país que aloja un RIR, y que se quiebra la separación de poderes. Creo que, en esa situación, y posiblemente antes de que llegue ninguna orden al RIR … esté (o el conjunto de ellos) tendrán un plan de contingencia para evitar ser influido por tal situación.

No recuerdo haber oído hablar de ello, pero si no lo hay, creo que es una tarea urgente para el NRO. Igual los root DNS, incluso ICANN, tienen planteamientos similares.

La parte de los NIRs, la verdad es que tengo dudas, porque no tengo claro ahora mismo si una orden judicial en un país donde está ubicado un NIR, que no le llegue también al RIR correspondiente, puede tener impacto real.

 

 

 

 

El 28/1/20 18:01, "LACNOG en nombre de Carlos M. Martinez" <lacnog-bounces en lacnic.net en nombre de carlosm3011 en gmail.com> escribió:

 

Hola Fernando,

El riesgo que mencionas es real. Nunca ha ocurrido, pero no quiere decir que nunca vaya a ocurrir.

Algo similar pasa con la firma de la raíz del DNS, incluso diría que en ese caso el riesgo es mayor. También es un problema que afecta a todo proveedor de Cloud, como se ve en los recientes choques entre Apple y el FBI.

Han habido dos lineas de trabajo en este tema, que quizás tu mismo nos puedes ayudar a profundizar :-)

1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al menos en reuniones informales se ha hablado.

2- dotar al sistema de RPKI de una propiedad que se conoce como la de ser “tamper evident”, es decir, que si el sistema es alterado por mecanismos fuera de los carriles normales, cualquier observador externo sepa que justamente, el sistema fue alterado

Este ultimo punto para mi es particularmente interesante, ya que creo que tiene aplicabilidad mas allá de RPKI.

Hay un paper de Sharon Goldberg en el que ella discute algunas de estas amenazas y hace algunas propuestas que van de la mano de (2).

http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf

(Este paper ganó en 2014 el ANRP, Applied Networking Research Prize, que organiza el IETF)

S2

/Carlos

On 28 Jan 2020, at 13:18, Fernando Frediani wrote:

Pensé antes de escribir este mensaje porque es un tema delicado, pero creo que esta lista es uno de los lugares más apropiados para esta discusión y me gustaría conocer la opinión de los colegas al respecto.

Hasta entonces, para bloquear una organización que es un sistema autónomo en Internet, había medidas con baja efectividad que los tribunales de los países podían usar. Con el advenimiento de RPKI esto puede cambiar un poco.

Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0, es decir, cualquier rango de IP incluso si no está registrado en su whois, ¿cuál es la posibilidad en su opinión de que las Autoridades Judiciales de los países donde se encuentran los 5 RIR puedan ¿emitir órdenes para que el RIR se vea obligado a emitir un ROA con AS0 para bloquear una empresa en Internet por alguna razón?

Sé que es muy excepcional, pero cuando se trata de la judicatura, podemos esperar todo.

Sin embargo, creo que si consideramos solo los 5 RIR, esta posibilidad se reduce al Poder Judicial de 5 países: Estados Unidos, Uruguay, Países Bajos, Mauricius y Australia.

Sin embargo, queda una pregunta si en el caso de los NIR, que tienen delegación de los RIRs, ya que es lo caso aquí en América Latina, estos NIR también están autorizados por defecto para emitir ROA para cualquier dirección o solo para direcciones delegadas, es decir, para cada asignación/registro realizado ¿el RIR debe hacer una delegación específica al NIR?
Pregunto esto porque en la región de Asia hay un mayor número de NIR y si afectaría este tema de alguna manera.

Saludos
Fernando Frediani

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200128/b38fc2a0/attachment.html>


Más información sobre la lista de distribución LACNOG