<div dir="ltr">By the way...<div><br></div><div>Me parece oportuno volver a mencionar un "viejo sueño" de que LACNIC monte un IRR, que a esta altura es <span style="color:rgb(38,50,56);font-size:13px;line-height:16px">basicamente (so pena de sonar simplista) dar una "vista" de consulta a la base RPKI con formato de IRR... con la ventaja no menor de que los bloques aunque no estén firmados SABEMOS que son de quien dicen ser pues los ingresa LACNIC en forma automática (al menos para los de nuestra región, a los que exclusivamente estaría habilitado el uso de este IRR).</span></div><div><span style="color:rgb(38,50,56);font-size:13px;line-height:16px"><br></span></div><div><span style="color:rgb(38,50,56);font-size:13px;line-height:16px">Saludos,</span></div><div><span style="color:rgb(38,50,56);font-size:13px;line-height:16px">Nico</span></div><div><span style="color:rgb(38,50,56);font-size:13px;line-height:16px"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-22 17:40 GMT-03:00 Nicolas Antoniello <span dir="ltr"><<a href="mailto:nantoniello@gmail.com" target="_blank">nantoniello@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Arturo,</div><div><br></div>... y... de la misma forma que ha funcionado hasta ahora y como seguirá funcionando hasta que todos implementemos RPKI: utilizando un IRR y haciendo acto de fe.<div><br></div><div>Bien sabemos que hasta ahora BGP, en muchos aspectos y no solo en este, funciona basados en la buena voluntad técnica de quienes lo administran en los diferentes ISPs, Carriers, y redes en general.</div><div><br></div><div>Saludos,</div><div>Nico</div><div><br></div><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">2015-12-21 15:53 GMT-03:00 Arturo Servin <span dir="ltr"><<a href="mailto:arturo.servin@gmail.com" target="_blank">arturo.servin@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Nico</p>
<p dir="ltr">Y como Level3 puede revisar (de forma práctica) el origen de la ruta si esta no esta firmada?</p><span><font color="#888888">
<p dir="ltr">as</p>
<br></font></span><div class="gmail_quote"><div><div><div dir="ltr">On Mon, Dec 21, 2015, 9:14 AM Gustavo Rodrigues Ramos <<a href="mailto:gustavo@nexthop.com.br" target="_blank">gustavo@nexthop.com.br</a>> wrote:<br></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Olá,<div><br></div><div class="gmail_extra"><div class="gmail_quote"></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2015-12-21 14:20 GMT-02:00 Nicolas Antoniello <span dir="ltr"><<a href="mailto:nantoniello@gmail.com" target="_blank">nantoniello@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hola Carlos y todos,<div><br></div><div>Yo "casi" me paso al lado de Christian, excepto por un detalle no menor.</div><div><br></div><div>Primero, estoy de acuerdo con el razonamiento de Carlos y pienso exactamente lo mismo sobre que los bloqueos ante ataques que no saturan los enlaces de tránsito deben ser bloqueados dentro del mismo proveedor preferentemente (incluso cuando son distribuidos).</div><div><br></div><div>Por otro lado, L3 debería chequear que lo que publica Telefónica (o cualquiera) por RTBH sea del cliente o de un cliente del cliente... me explico?</div><div>Por ello es que mencioné varias veces la necesidad de que quien implementa RTBH haga un chequeo en algún IRR para confirmar que nadie ponga a NULL rutas que no son de el... y en este caso, no creo que las rutas de Facebook (o Whatsapp) sean de Telefónica. :)</div><div>En resumen, creo que no me equivoco al decir que el error es compartido entre los 2. </div><div>O si me equivoco?</div></div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Você está correto. Por isso mencionei o ASN 18881. Não podemos afirmar que foi uma RTBH a configuração escolhida para implementar o bloqueio. Por exemplo, se foi configurado uma rota /32 para null0 e o filtro para anúncio de RTBH não está corretamente configurado, então a rota RTBH será anunciada para upstreams como efeito colateral - de qualquer forma, vale deixar registrado aqui para referencias futuras os *dois casos*.</div><div><br></div><div>Um ASN não deveria aceitar um anúncio RTBH de um IP que não esteja alocado para o ASN que está originando o anúncio. Essa "regra" parece muito simples de implementar em redes >= tier 3. Em redes < tier 2 fica muito complicado quando o provedor não utiliza IRR (como parece ser o caso do ASN 3549 em nossa região).<br></div><div><br></div><div>Outro fato importante é que a rota /32 não foi anunciada pelo ASN 3549 para a tabela global (não encontrei nenhum anúncio no histórico da tabela global no routeviews ou no ripe database). Por isso o problema de acesso ao whatsapp ficou contido na região dos clientes diretos do ASN 3549 e não tivemos um caso pakistan "con estilo brasileño".</div><div><br></div><div>Abraços,</div><div>Gustavo.</div></div></div></div></div></div><span>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</span></blockquote></div>
<br>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>