<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 13, 2018 at 8:11 PM, Roque Gagliano <span dir="ltr"><<a href="mailto:rgaglian@gmail.com" target="_blank">rgaglian@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">hi Rubens,<span class="gmail-"><br><br><div>"RPKI has a know limitation regarding path validation. Origin 
validation is the main feature of RPKI, but that address some mostly 
unusual cases like the Pakistan/Youtube issue (IGP to EGP 
redistribution). Most real life problems occur when people redistribute 
BGP to BGP creating paths that cause issues, and that's something 
current RPKI can't address. "</div><div><br></div></span><div>And are you stating that IRR/RPSL can solve path validation? <br></div></div></blockquote><div><br></div><div>Yes, it's one solution. There can be others, though... I hope a different, simpler solution comes along. But so far it's the one available. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><br></div><div>I believe the discussion here refers to the "ROUTE/ROUTE6" RPSL objects (which are the objects people outside of your ASN care about). For either of these objects, the only mandatory attribute is the "origin". That is why there has been the proposal for many years to convert RPKI/ROA objects to ROUTE/ROUTE6 RPSL objects and that is what Carlos is probably talking about.<br></div></div></blockquote><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><br></div>Finally, I believe your data on the impact of RPKI to day-to-day operations is wrong. Sharon Goldberg has studied this topic extensively with real data from global routing tables internal to many SPs during a long period of time and concluded that origin validation can mitigate the large majority of the observed incidents. See some of her research here: <a href="http://www.cs.bu.edu/~goldbe/pub-index.html" target="_blank">http://www.cs.bu.edu/~goldbe/<wbr>pub-index.html</a><br><div><div><br></div><div><br></div></div></div></blockquote><div><br></div><div>She probably missed networks in countries with large number of autonomous systems with IX interconnections like Brazil.  And frankly, even for global routing most of what happened lately would require path validation. ISOC/MANRS review of 2017 routing incidents, <a href="https://www.manrs.org/2018/01/14000-incidents-a-2017-routing-security-year-in-review/">https://www.manrs.org/2018/01/14000-incidents-a-2017-routing-security-year-in-review/</a> , mostly mentions BGP leaks, which require path validation to be mitigated. Both my personal experience and ISOC's suggest that any data in this area is in need of refreshing and more distributed data collection. </div><div><br></div><div><br></div><div><br></div><div>Rubens</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div></div>