[lacnog] Efectividad de bloqueos usando RPKI

Job Snijders job en ntt.net
Mar Ene 28 21:37:58 GMT+3 2020


Dear Fernando,

On Tue, Jan 28, 2020 at 01:18:21PM -0300, Fernando Frediani wrote:
> Sin embargo, queda una pregunta si en el caso de los NIR, que tienen
> delegación de los RIRs, ya que es lo caso aquí en América Latina, estos NIR
> también están autorizados por defecto para emitir ROA para cualquier
> dirección o solo para direcciones delegadas, es decir, para cada
> asignación/registro realizado ¿el RIR debe hacer una delegación específica
> al NIR?
> Pregunto esto porque en la región de Asia hay un mayor número de NIR y si
> afectaría este tema de alguna manera.

Replying to a small piece of the email:

The RPKI Certificate Authoritities (CAs) that NIRs operate (such as
NICMX, JPNIC, NIC.BR, etc) are operationally restricted to just the
number resources they are responsible for. This is possible because of
the mechanism described in https://tools.ietf.org/html/rfc6487#section-7
(says "must be covered/equal to delegated INR from parent cert")

So things are set up in such a way that an RIR can delegate a /16 to a
NIR, and then the NIR can only create ROAs (or create further
delegations) within that /16 - anything the NIR publishes outside that
/16 would not pass the certificate validation procedure and therefor be
ignored.

Kind regards,

Job


Más información sobre la lista de distribución LACNOG