<html>
<body>
At 08:34 p.m. 26/02/2008, Roque Gagliano wrote:<br>
<blockquote type=cite class=cite cite="">Hola,<br><br>
Solo queria comentarles sobre una herramienta desarrollada por RIPE que
les avisa si alguno de sus bloques esta siendo anunciado por algun ASN
que no deberia hacerlo (siempre que no sea vuestro servidor de correo!).
Seria bueno que todo el mundo con un ASN se asociara.<br><br>
<a href="http://www.ris.ripe.net/myasn.html">
http://www.ris.ripe.net/myasn.html</a><br><br>
Otra cosa, relacionada con esto. Alguno de ustedes usan plaquetas para
SMS para poder mandar SMS de alarmas cuendo no tienen acceso al mundo
desde su correo electronico?<br>
</blockquote><br>
Nosotros (NIC Mexico) estamos usando (Siemens TC65T) para envio de
mensajes de alerta SMS sobre nuestros servicios utilizando la red
GSM..<br><br>
Aqui
(<a href="http://www.cellular.co.za/at_etsi.htm" eudora="autourl">
http://www.cellular.co.za/at_etsi.htm</a>) puedes encontrar una
explicacion de las extensiones de comandos AT de la ETSI para envio de
mensajes SMS.<br><br>
Aqui
(<a href="http://www.gnokii.org/" eudora="autourl">
http://www.gnokii.org/</a>) puedes encontrar un software opensource que
estamos usando para no tener que implementar la comunicacion serial con
comandos AT.<br><br>
Al utilizar esta tecnologia simplemente copiamos las alertas que ya
enviamos via SMTP al servicio de envio SMS que no depende de
Internet.<br><br>
<blockquote type=cite class=cite cite="">Roque<br><br>
<br><br>
On Feb 26, 2008, at 6:52 PM, Nicolas Antoniello wrote:<br><br>
<blockquote type=cite class=cite cite="">Estimados,<br><br>
Es cierto que la versión actualmente más utilizada de BGP no es tan
segura como al parecer<br>
lo requiere el día de hoy... pero en este caso en particular (esto fue
ampliamente<br>
discutido en NANOG entre ayer y hoy), la solución más utilizada es la de
filtrar los<br>
prefijos recibidos de los ISP o clientes (esto no es algo
nuevo).<br><br>
Nosotros lo hacemos y la mayoría de nuestros carriers también. A pesar de
esto, es cierto<br>
que en el mundo no todos lo hacen (de hecho, algunos de nuestros
carriers, grandes<br>
carriers, no realizan filtrados de prefijos sino que filtran solo por AS
path), entonces,<br>
es aquí donde surge el problema.<br><br>
Es cierto que en muchos casos, donde un carrier recibe cientos de
prefijos de un cliente,<br>
se vuelve muy difícil mantener un filtrado que no sea
"automatizado".<br><br>
Creo que el filtrado por prefijo es algo indispensable, al menos en la
versión actual de<br>
BGP, no con la premisa de desconfiar de todos, sino por la premisa de que
siempre existe<br>
la posibilidad de equivocarse... y cualquiera de los que nos dedicamos a
la administración<br>
de redes, ya sea pequeñas o grandes, hemos tenido experiencias de esas...
en las que nos<br>
equivocamos y decimos: "por suerte estaba esto que evito que pasara
aquello"...<br><br>
Hay que condenar al que se equivoca? No, hay que fomentar e impulsar
ciertas prácticas que<br>
en caso de errores o accidentes, eviten la propagación del
desastre.<br><br>
Si bien creo que todo lo que se ha dicho es cierto, tengo dos reflexiones
personales sobre<br>
algunos puntos en particular:<br>
* En este caso, si existe la posibilidad de en cierta manera
"asegurar" el continuo de<br>
funcionamiento en un caso como el que se dio que es el viejo y nunca bien
ponderado<br>
filtrado de prefijos recibidos.<br>
* En cuanto a "hacer cosas mal por parte de administradores de
ASN", creo que esto es<br>
relativo, ya que estos acontecimientos pueden suceder no solo por
"errores graves" por<br>
parte de los administradores, sino por una suma de aspectos que por
alguna razón no se<br>
tuvieron en cuenta antes, que individualmente pueden parecer menores,
pero que "alineados"<br>
provocan un desastre.<br>
Soy resistente a creer que CUALQUIER administrador de CUALQUIER red por
mas titulos que<br>
tenga o red mas grande que administre, nunca cometa errores que alguno
puede catalogar de<br>
"graves"... hagamos una reflexión personal a ver si NUNCA nos
mandamos una grande !!  :)<br>
Creo que eso no hace al "profesionalismo" o "calidad"
del administrador, pero si el<br>
reflexionar luego de lo sucedido, para que no se repita con el mismo
patrón o secuencia de<br>
eventos.<br>
<br>
Por cierto, la opción de filtrado, previene también un caso de "mala
intención".<br><br>
La pregunta entonces, es: que mecanismos hay hoy en día, para verificar
que los prefijos<br>
que me pasan los clientes, son efectivamente de ellos y así armar el
filtro? Bueno, la<br>
respuesta es que existen varias formas (con pros y contras)... pero eso
da para otra<br>
discusión.  :)<br><br>
Saludos,<br>
Nicolas.<br><br>
<br><br>
Ricardo Patara wrote:<br>
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">Hugo,<br><br>
Estoy de acuerdo contigo, pero creo que lo quiso destacar Francisco es
que el<br>
sistema BGP por si tiene fragilidades de seguridad.<br><br>
Se verifica con eso como es fácil perjudicar un sitio (mismo que esa no
haya<br>
sido la intención de los de PCCW).<br><br>
uno con intención puede hacer lo mismo para secuestrar el trafico de un
sitio,<br>
pues el bgp actual no se garantiza que quien hace un anuncio tiene
derecho de<br>
hacerlo.<br><br>
saludos<br>
Ricardo<br><br>
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">Yo creo que este tipo de
problemas se van a<br>
seguir presentando siempre que el adminstrador de un ASN haga las cosas
mal.<br><br>
BGP tiene caracterisiticas que lo hacen<br>
loop-free, pero no es inmune a errores graves en configuración.<br><br>
Saludos<br><br>
Hugo Zamora<br><br>
<br>
At 12:57 p.m. 25/02/2008, Francisco Arias wrote:<br><br>
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">
        Por si no han visto la noticia
del<br>
problema que tuvo ayer el sitio de YouTube por un<br>
filtrado de ruteo mal hecho, les paso un par de ligas.<br><br>
        En español, la reseña de
Arturo Servín:<br>
<a href="http://arturo-servin.blogspot.com/2008/02/rutas-envenenadas-route-poisoning.html">
http://arturo-servin.blogspot.com/2008/02/rutas-envenenadas-route-poisoning.html</a>
<br><br>
        En inglés con la explicación
detallada de lo que sucedió:<br>
</blockquote></blockquote></blockquote></blockquote></blockquote>
</blockquote>
<a href="http://arstechnica.com/news.ars/post/20080225-insecure-routing-redirects-youtube-to-pakistan.html">
http://arstechnica.com/news.ars/post/20080225-insecure-routing-redirects-youtube-to-pakistan.html</a>
<br>
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite="">
<blockquote type=cite class=cite cite=""><br>
        Lo interesante es que se trata
del<br>
primer caso de un ataque (aunque al parecer<br>
involuntario) en el sistema de ruteo a un portal<br>
de primer nivel mostrando la fragilidad del<br>
sistema ante la falta de una opción para<br>
asegurarlo. Si esta noticia llega a los titulares<br>
de los medios masivos, quizá podríamos tener<br>
pronto apoyo verdadero a los trabajos para asegurar el ruteo en
Internet.<br><br>
fjac<br><br>
<br>
_______________________________________________<br>
lacnog mailing list<br>
<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">
https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote>
</blockquote><br>
_______________________________________________<br>
lacnog mailing list<br>
<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">
https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote>
</blockquote>_______________________________________________<br>
lacnog mailing list<br>
<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">
https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
</blockquote></blockquote><br><br>
_______________________________________________<br>
lacnog mailing list<br>
<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">
https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote><br><br>
_______________________________________________<br>
lacnog mailing list<br>
lacnog@lacnic.net<br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" eudora="autourl">
https://mail.lacnic.net/mailman/listinfo/lacnog</a></blockquote></body>
<br>
</html>