<html>

<body>

At 08:34 p.m. 26/02/2008, Roque Gagliano wrote:<br>

<blockquote type=cite class=cite cite="">Hola,<br><br>

Solo queria comentarles sobre una herramienta desarrollada por RIPE que

les avisa si alguno de sus bloques esta siendo anunciado por algun ASN

que no deberia hacerlo (siempre que no sea vuestro servidor de correo!).

Seria bueno que todo el mundo con un ASN se asociara.<br><br>

<a href="http://www.ris.ripe.net/myasn.html">

http://www.ris.ripe.net/myasn.html</a><br><br>

Otra cosa, relacionada con esto. Alguno de ustedes usan plaquetas para

SMS para poder mandar SMS de alarmas cuendo no tienen acceso al mundo

desde su correo electronico?<br>

</blockquote><br>

Nosotros (NIC Mexico) estamos usando (Siemens TC65T) para envio de

mensajes de alerta SMS sobre nuestros servicios utilizando la red

GSM..<br><br>

Aqui

(<a href="http://www.cellular.co.za/at_etsi.htm" eudora="autourl">

http://www.cellular.co.za/at_etsi.htm</a>) puedes encontrar una

explicacion de las extensiones de comandos AT de la ETSI para envio de

mensajes SMS.<br><br>

Aqui

(<a href="http://www.gnokii.org/" eudora="autourl">

http://www.gnokii.org/</a>) puedes encontrar un software opensource que

estamos usando para no tener que implementar la comunicacion serial con

comandos AT.<br><br>

Al utilizar esta tecnologia simplemente copiamos las alertas que ya

enviamos via SMTP al servicio de envio SMS que no depende de

Internet.<br><br>

<blockquote type=cite class=cite cite="">Roque<br><br>

<br><br>

On Feb 26, 2008, at 6:52 PM, Nicolas Antoniello wrote:<br><br>

<blockquote type=cite class=cite cite="">Estimados,<br><br>

Es cierto que la versión actualmente más utilizada de BGP no es tan

segura como al parecer<br>

lo requiere el día de hoy... pero en este caso en particular (esto fue

ampliamente<br>

discutido en NANOG entre ayer y hoy), la solución más utilizada es la de

filtrar los<br>

prefijos recibidos de los ISP o clientes (esto no es algo

nuevo).<br><br>

Nosotros lo hacemos y la mayoría de nuestros carriers también. A pesar de

esto, es cierto<br>

que en el mundo no todos lo hacen (de hecho, algunos de nuestros

carriers, grandes<br>

carriers, no realizan filtrados de prefijos sino que filtran solo por AS

path), entonces,<br>

es aquí donde surge el problema.<br><br>

Es cierto que en muchos casos, donde un carrier recibe cientos de

prefijos de un cliente,<br>

se vuelve muy difícil mantener un filtrado que no sea

"automatizado".<br><br>

Creo que el filtrado por prefijo es algo indispensable, al menos en la

versión actual de<br>

BGP, no con la premisa de desconfiar de todos, sino por la premisa de que

siempre existe<br>

la posibilidad de equivocarse... y cualquiera de los que nos dedicamos a

la administración<br>

de redes, ya sea pequeñas o grandes, hemos tenido experiencias de esas...

en las que nos<br>

equivocamos y decimos: "por suerte estaba esto que evito que pasara

aquello"...<br><br>

Hay que condenar al que se equivoca? No, hay que fomentar e impulsar

ciertas prácticas que<br>

en caso de errores o accidentes, eviten la propagación del

desastre.<br><br>

Si bien creo que todo lo que se ha dicho es cierto, tengo dos reflexiones

personales sobre<br>

algunos puntos en particular:<br>

* En este caso, si existe la posibilidad de en cierta manera

"asegurar" el continuo de<br>

funcionamiento en un caso como el que se dio que es el viejo y nunca bien

ponderado<br>

filtrado de prefijos recibidos.<br>

* En cuanto a "hacer cosas mal por parte de administradores de

ASN", creo que esto es<br>

relativo, ya que estos acontecimientos pueden suceder no solo por

"errores graves" por<br>

parte de los administradores, sino por una suma de aspectos que por

alguna razón no se<br>

tuvieron en cuenta antes, que individualmente pueden parecer menores,

pero que "alineados"<br>

provocan un desastre.<br>

Soy resistente a creer que CUALQUIER administrador de CUALQUIER red por

mas titulos que<br>

tenga o red mas grande que administre, nunca cometa errores que alguno

puede catalogar de<br>

"graves"... hagamos una reflexión personal a ver si NUNCA nos

mandamos una grande !!  :)<br>

Creo que eso no hace al "profesionalismo" o "calidad"

del administrador, pero si el<br>

reflexionar luego de lo sucedido, para que no se repita con el mismo

patrón o secuencia de<br>

eventos.<br>

<br>

Por cierto, la opción de filtrado, previene también un caso de "mala

intención".<br><br>

La pregunta entonces, es: que mecanismos hay hoy en día, para verificar

que los prefijos<br>

que me pasan los clientes, son efectivamente de ellos y así armar el

filtro? Bueno, la<br>

respuesta es que existen varias formas (con pros y contras)... pero eso

da para otra<br>

discusión.  :)<br><br>

Saludos,<br>

Nicolas.<br><br>

<br><br>

Ricardo Patara wrote:<br>

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">Hugo,<br><br>

Estoy de acuerdo contigo, pero creo que lo quiso destacar Francisco es

que el<br>

sistema BGP por si tiene fragilidades de seguridad.<br><br>

Se verifica con eso como es fácil perjudicar un sitio (mismo que esa no

haya<br>

sido la intención de los de PCCW).<br><br>

uno con intención puede hacer lo mismo para secuestrar el trafico de un

sitio,<br>

pues el bgp actual no se garantiza que quien hace un anuncio tiene

derecho de<br>

hacerlo.<br><br>

saludos<br>

Ricardo<br><br>

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">Yo creo que este tipo de

problemas se van a<br>

seguir presentando siempre que el adminstrador de un ASN haga las cosas

mal.<br><br>

BGP tiene caracterisiticas que lo hacen<br>

loop-free, pero no es inmune a errores graves en configuración.<br><br>

Saludos<br><br>

Hugo Zamora<br><br>

<br>

At 12:57 p.m. 25/02/2008, Francisco Arias wrote:<br><br>

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">

        Por si no han visto la noticia

del<br>

problema que tuvo ayer el sitio de YouTube por un<br>

filtrado de ruteo mal hecho, les paso un par de ligas.<br><br>

        En español, la reseña de

Arturo Servín:<br>

<a href="http://arturo-servin.blogspot.com/2008/02/rutas-envenenadas-route-poisoning.html">

http://arturo-servin.blogspot.com/2008/02/rutas-envenenadas-route-poisoning.html</a>

<br><br>

        En inglés con la explicación

detallada de lo que sucedió:<br>

</blockquote></blockquote></blockquote></blockquote></blockquote>

</blockquote>

<a href="http://arstechnica.com/news.ars/post/20080225-insecure-routing-redirects-youtube-to-pakistan.html">

http://arstechnica.com/news.ars/post/20080225-insecure-routing-redirects-youtube-to-pakistan.html</a>

<br>

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite="">

<blockquote type=cite class=cite cite=""><br>

        Lo interesante es que se trata

del<br>

primer caso de un ataque (aunque al parecer<br>

involuntario) en el sistema de ruteo a un portal<br>

de primer nivel mostrando la fragilidad del<br>

sistema ante la falta de una opción para<br>

asegurarlo. Si esta noticia llega a los titulares<br>

de los medios masivos, quizá podríamos tener<br>

pronto apoyo verdadero a los trabajos para asegurar el ruteo en

Internet.<br><br>

fjac<br><br>

<br>

_______________________________________________<br>

lacnog mailing list<br>

<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">

https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote>

</blockquote><br>

_______________________________________________<br>

lacnog mailing list<br>

<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">

https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote>

</blockquote>_______________________________________________<br>

lacnog mailing list<br>

<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">

https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>

</blockquote></blockquote><br><br>

_______________________________________________<br>

lacnog mailing list<br>

<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">

https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote><br><br>

_______________________________________________<br>

lacnog mailing list<br>

lacnog@lacnic.net<br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">

https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote></body>

<br>

</html>