<div dir="ltr"><div>Hi,</div><div><br></div><div>Personally, I think increasing awareness is always possitibe. However, my prefer path would be to include these sort of reports in the already existing inter-domain reporting systems so operator do not need to subscribe to "yet another report". I know BGPMON does provide RPKI analysis but I do not have a view on the rest of th popular tools out there.<br></div><div><br></div><div>Particularly, it has been under debate for many years if RIR should have some sort of "routing police" role and asking members with an official communication could generate some noise at the policy layer.<br></div><div><br></div><div>Maybe if you could make sure that all these existing reporting systems do include alerts on RPKI invalid announcements.</div><div><br></div><div>Regards,</div><div>Roque</div><div><br></div><div>Disclaim: I now work at Cisco who now manages BGPMon.</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Sep 20, 2018 at 9:27 AM nusenu <<a href="mailto:nusenu-lists@riseup.net">nusenu-lists@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I'm currently engaging with RIRs globally about rising awareness<br>
for broken ROAs that result in unreachable IP prefixes.<br>
<br>
As part of that I also reached out to LACNIC last week (see email bellow), but since I haven't heard<br>
back yet and LACNIC30 is just around the corner (next week) it is probably a good time to reach<br>
out to the broader community in the region.<br>
<br>
The problem:<br>
Misconfigured RPKI ROAs result in unreachable prefixes<br>
<br>
Solution:<br>
Update RPKI ROAs so they match your BGP announcements<br>
<br>
More information can be found on this page:<br>
<a href="https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c" rel="noreferrer" target="_blank">https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c</a><br>
<br>
<br>
My question to LACNIC (since not every affected LACNIC member will see this email):<br>
Would you be open to reach out to your affected members to inform them about <br>
their affected unreachable IP prefixes?<br>
<br>
For Operators:<br>
To see if you are affected you can search the following CSV file for your prefixes:<br>
<a href="https://gist.github.com/nusenu/74e03bdbe9a2201dfd086f8fe9301300#file-2018-09-14-unreachable_invalids_prefix-origin-pairs-txt" rel="noreferrer" target="_blank">https://gist.github.com/nusenu/74e03bdbe9a2201dfd086f8fe9301300#file-2018-09-14-unreachable_invalids_prefix-origin-pairs-txt</a><br>
(this is a snapshot from last week, if you changed your ROAs since then consider it outdated)<br>
<br>
<br>
Coincidentally Cloudflare announced yesterday (as already noted on this mailing list)<br>
that they will enforce RPKI route origin validation, which makes this issue<br>
even more important since affected prefixes will no longer be able to communicate<br>
with Cloudflare after the end of the year [1] <br>
(or any other network that performs route origin validation _now_).<br>
<br>
It would be great if this issue could be also mentioned on next week's RPKI tutorials held at LACNIC30 [2].<br>
<br>
Looking forward to hearing your feedback.<br>
<br>
kind regards,<br>
nusenu<br>
<br>
<br>
nusenu wrote (to <a href="mailto:comunicaciones@lacnic.net" target="_blank">comunicaciones@lacnic.net</a> on 2018-09-15):<br>
> Dear LACNIC,<br>
> <br>
> I care about routing security (RPKI) and would like to encourage RIRs to<br>
> contact their members about their RPKI ROAs that result in many INVALIDs prefixes.<br>
> <br>
> Would you be open to reach out to your affected members to inform them about <br>
> their affected IP prefixes?<br>
> <br>
> some more background:<br>
> <a href="https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c" rel="noreferrer" target="_blank">https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c</a><br>
> <br>
> Looking forward to your feedback!<br>
> nusenu<br>
<br>
[1] <a href="https://blog.cloudflare.com/rpki-details/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/rpki-details/</a><br>
<a href="https://twitter.com/Jerome_UZ/status/1042433414371205120" rel="noreferrer" target="_blank">https://twitter.com/Jerome_UZ/status/1042433414371205120</a><br>
<br>
[2] <a href="http://www.lacnic.net/3135/46/evento/tutoriales#bgp-rpki" rel="noreferrer" target="_blank">www.lacnic.net/3135/46/evento/tutoriales#bgp-rpki</a><br>
<br>
-- <br>
<a href="https://twitter.com/nusenu_" rel="noreferrer" target="_blank">https://twitter.com/nusenu_</a><br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><br><br>At least I did something<br>Don Draper - Mad Men</div>