[lacnog] Efectividad de bloqueos usando RPKI

Fernando Frediani fhfrediani en gmail.com
Mar Ene 28 19:54:00 GMT+3 2020


Hola Carlos

On 28/01/2020 14:01, Carlos M. Martinez wrote:
>
> 1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con 
> bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al 
> menos en reuniones informales se ha hablado.
>
Pensando brevemente aquí, quizás una forma sería algún mecanismo que los 
validator puedan validar cuando más de 1 de los otros 4 RIRs emita algo 
contrario al ROA con AS0 para "invalidarlo". Aunque esto puede requerir 
cierta complejidad, puede ser una "válvula de escape" para eliminar la 
efectividad de un orden tan excepcional como esta.
Otra cuestión que debe abordarse es también cómo manejar esto de manera 
efectiva si hay un aumento significativo en las ocurrencias, dada la 
coordinación necesaria que tendría que ocurrir con los otros RIR.
>
> 2- dotar al sistema de RPKI de una propiedad que se conoce como la de 
> ser “tamper evident”, es decir, que si el sistema es alterado por 
> mecanismos fuera de los carriles normales, cualquier observador 
> externo sepa que justamente, el sistema fue alterado
>
O algo más simple como eso, donde otro tipo de ROA emitido por 
cualquiera de los otros 4 RIRs puede enseñar a los validator que ese ROA 
con AS0 debe ser ignorado.

Saludos
Fernando

>
> S2
>
> /Carlos
>
> On 28 Jan 2020, at 13:18, Fernando Frediani wrote:
>
>     Pensé antes de escribir este mensaje porque es un tema delicado,
>     pero creo que esta lista es uno de los lugares más apropiados para
>     esta discusión y me gustaría conocer la opinión de los colegas al
>     respecto.
>
>     Hasta entonces, para bloquear una organización que es un sistema
>     autónomo en Internet, había medidas con baja efectividad que los
>     tribunales de los países podían usar. Con el advenimiento de RPKI
>     esto puede cambiar un poco.
>
>     Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0||||,
>     es decir, cualquier rango de IP incluso si no está registrado en
>     su whois, ¿cuál es la posibilidad en su opinión de que las
>     Autoridades Judiciales de los países donde se encuentran los 5 RIR
>     puedan ¿emitir órdenes para que el RIR se vea obligado a emitir un
>     ROA con AS0 para bloquear una empresa en Internet por alguna razón?
>
>     Sé que es muy excepcional, pero cuando se trata de la judicatura,
>     podemos esperar todo.
>
>     Sin embargo, creo que si consideramos solo los 5 RIR, esta
>     posibilidad se reduce al Poder Judicial de 5 países: Estados
>     Unidos, Uruguay, Países Bajos, Mauricius y Australia.
>
>     Sin embargo, queda una pregunta si en el caso de los NIR, que
>     tienen delegación de los RIRs, ya que es lo caso aquí en América
>     Latina, estos NIR también están autorizados por defecto para
>     emitir ROA para cualquier dirección o solo para direcciones
>     delegadas, es decir, para cada asignación/registro realizado ¿el
>     RIR debe hacer una delegación específica al NIR?
>     Pregunto esto porque en la región de Asia hay un mayor número de
>     NIR y si afectaría este tema de alguna manera.
>
>     Saludos
>     Fernando Frediani
>
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200128/92ae56a8/attachment.html>


Más información sobre la lista de distribución LACNOG