<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">On 27/11/2018 14:31, Eduardo Cota
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:alpine.DEB.2.10.1811271318200.17422@ampere.fing.edu.uy">
<br>
De acuerdo, pero RIPE 690 NO DICE que hay que entregar /48 en
todos los casos. Si se puede leer que recomienda /48, pero /56 de
hecho está comentado como una opción válida (a diferencia de
asignaciones menores, que están "strongly discouraged").
<br>
</blockquote>
Exacto.<br>
<blockquote type="cite"
cite="mid:alpine.DEB.2.10.1811271318200.17422@ampere.fing.edu.uy">
<br>
Repito, no estoy entrando al fondo del asunto sobre si /48 para
todos o no. Pero a menos que estemos leyendo diferentes RIPE690,
esta NO tiene una recomendación que diga que /48 es la única
opción recomendada.
<br>
</blockquote>
La opción más recomendada y que siempre ha sido más utilizada es /
56 y me parece bastante razonable para la mayoría de los casos.
RFC7368 in Section 3.4.1 menciona los 3 tamaños de prefijos como
validos. Entonces nos tenemos otra más específica RFC6177 que
menciona que /48 era una recomendación en 2002 pero no es más.: "<i>Moreover,
this document clarifies that a one-size-fits-all recommendation of
/48 is not nuanced enough for the broad range of end sites and is
no longer recommended as a single default.</i>"<br>
Pero parece que existen intentos de devolver ese estándar, pero
apoyándose en justificaciones que no siempre se aplican la mayoría
de los casos para cambiar algo mucho mayor y que necesitan una
evaluación mucho más amplia que algunas justificaciones aisladas.<br>
<br>
Para hablar la verdad la parte de RIPE690 que habla sobre '/48 para
todos' es la más corta y no es muy concluyente sobre la
recoemendación y en qué casos se aplicaría. Al leer el texto
entiendo que es una forma de simplificar el plan de direcciones, no
mucho más que eso. Tal vez podría haber sido algo mejor revisado
antes de formar parte de este documento antes de su publicación.
<p>Si un día la región de LACNIC viene a trabajar en un documento
similar a este creo que necesitamos ser más específicos que el de
RIPE.</p>
<p><br>
</p>
<p>Acerca de los filtros bloqueando / 48<br>
Hoy en día la mayoría de los ataques se distribuyen (no sólo en el
origen sino también en el destino) entonces en la práctica
bloquear 1 único cliente atras de un / 48 o varios en varios / 48
o detrás de un /48 el efecto práctico acaba siendo el mismo.<br>
<br>
Por eso blackhole no es hoy un mecanismo tan efectivo de
protección contra ataques DDoS de manera aislada como era antes.
Es imprescindible utilizar también servicios de mitigación de
ataque DDos para un tratamiento más efectivo y granular.</p>
<p>Saludos<br>
Fernando<br>
</p>
On Tue, 27 Nov 2018, Ariel Weher wrote:
<br>
<blockquote type="cite"
cite="mid:alpine.DEB.2.10.1811271318200.17422@ampere.fing.edu.uy">
<br>
<blockquote type="cite">Con el comentario sobre el filtrado quise
dejar ver que estas
<br>
discusiones tienen aspectos mucho más amplios que solamente la
<br>
numeración que se entrega a los clientes.
<br>
<br>
Hace al menos 5 o 6 años que junto con Jordi venimos hablando en
los
<br>
tutoriales que se debe entregar /48 en todos los casos.
<br>
<br>
Entiendo que la única complicación real de entregar /48 para
todos los
<br>
clientes sería económica dado que quizás algunas organizaciones
deban
<br>
cambiar de categoría de membresía en LACNIC por tener más de 65K
<br>
clientes.
<br>
<br>
Si lo establecido en ripe-690 no es acorde a nuestra región, los
<br>
invito a formar un grupo de trabajo para hacer un BCOP que
especifique
<br>
cuál es el prefijo acorde para entregar en LAC, y de alguna
manera
<br>
rectificar todo lo que venimos enseñando a la gente desde hace
mucho
<br>
tiempo.
<br>
<br>
Saludos!
<br>
On Tue, Nov 27, 2018 at 12:54 PM JORDI PALET MARTINEZ
<br>
<a class="moz-txt-link-rfc2396E" href="mailto:jordi.palet@consulintel.es"><jordi.palet@consulintel.es></a> wrote:
<br>
<blockquote type="cite">
<br>
Sisi, lo había entendido, pero en cualquier caso creo que mi
aclaración es buena.
<br>
<br>
Entiendo que quien encuentra algo en un archivo, lee el
contexto, sino mal hace ...
<br>
<br>
Saludos,
<br>
Jordi
<br>
<br>
<br>
<br>
-----Mensaje original-----
<br>
De: LACNOG <a class="moz-txt-link-rfc2396E" href="mailto:lacnog-bounces@lacnic.net"><lacnog-bounces@lacnic.net></a> en nombre de
Eduardo Cota <a class="moz-txt-link-rfc2396E" href="mailto:cota@fing.edu.uy"><cota@fing.edu.uy></a>
<br>
Responder a: Latin America and Caribbean Region Network
Operators Group <a class="moz-txt-link-rfc2396E" href="mailto:lacnog@lacnic.net"><lacnog@lacnic.net></a>
<br>
Fecha: martes, 27 de noviembre de 2018, 15:10
<br>
Para: Latin America and Caribbean Region Network Operators
Group <a class="moz-txt-link-rfc2396E" href="mailto:lacnog@lacnic.net"><lacnog@lacnic.net></a>
<br>
Asunto: Re: [lacnog] Consulta Delegacion prefijos a abonados
<br>
<br>
Hola Jordy,
<br>
Lo mío no iba a la discusión de fondo de tamaño
de bloque a
<br>
asignar, sino al comentario sobre el filtrado ("Si me
ataca una ip filtro
<br>
todo el /48").
<br>
<br>
No me gusta que queden en los archivos de las listas un
comentario tan
<br>
genérico que alguien que lee sin mucho contexto puede
interpretarse como
<br>
"es razonable filtrar a nivel de /48 apoyándome en la BCP
RIPE 690". La
<br>
BCP no dice que todas las redes son /48.
<br>
<br>
Saludos,
<br>
Eduardo.
<br>
<br>
<br>
On Tue, 27 Nov 2018, JORDI PALET MARTINEZ wrote:
<br>
<br>
> Hola Eduardo,
<br>
>
<br>
> Entiendo que estábamos hablando de usuarios
residenciales, pero en
<br>
> cualquier caso, lo normal es que los operadores
asignen /64 a los
<br>
> celulares de un bloque concreto, separado del plan de
direccionamiento
<br>
> de los residenciales, con lo cual, en ese caso, si
aplicas filtros a ese
<br>
> bloque, lo haces sobre todo el bloque asignado a los
celulares (por
<br>
> ejemplo cuando el operador responsable no esta
respondiendo a los casos
<br>
> de abuso), o bien en ese bloque, filtras en base a
/64.
<br>
>
<br>
> La diferencia es que en PDP context de una red
celular, si o si, hoy por
<br>
> hoy, sabemos que todo el mundo usa /64.
<br>
>
<br>
> En cambio en residencial, si cada cual hace lo que
quiere, es difícil
<br>
> saber (o encontrar incluso la información), de lo que
filtrar en cada
<br>
> red, y además no tienes una forma de hacerlo
"automáticamente".
<br>
>
<br>
> Saludos,
<br>
> Jordi
<br>
>
<br>
>
<br>
>
<br>
> -----Mensaje original-----
<br>
> De: LACNOG <a class="moz-txt-link-rfc2396E" href="mailto:lacnog-bounces@lacnic.net"><lacnog-bounces@lacnic.net></a> en nombre
de Eduardo Cota <a class="moz-txt-link-rfc2396E" href="mailto:cota@fing.edu.uy"><cota@fing.edu.uy></a>
<br>
> Responder a: Latin America and Caribbean Region
Network Operators Group <a class="moz-txt-link-rfc2396E" href="mailto:lacnog@lacnic.net"><lacnog@lacnic.net></a>
<br>
> Fecha: lunes, 26 de noviembre de 2018, 23:29
<br>
> Para: Latin America and Caribbean Region Network
Operators Group <a class="moz-txt-link-rfc2396E" href="mailto:lacnog@lacnic.net"><lacnog@lacnic.net></a>
<br>
> Asunto: Re: [lacnog] Consulta Delegacion prefijos a
abonados
<br>
>
<br>
> Que tal, buenas.
<br>
>
<br>
> Interesante política.... sobre todo si tu sitio es
accedido por clientes
<br>
> desde sus celulares, recomiendo leer el punto 4.2.4
de la propia ripe 690.
<br>
> "Considerations for Cellular Operators".
<br>
>
<br>
> Para quienes no vayan a leerlo,
<br>
> "There is a clear exception to the rule described
above when assigning
<br>
> prefixes in a cellular network. In this case, a /64
will need to be
<br>
> provided for each PDP context for cellular phones,
...."
<br>
>
<br>
> Aclaro que esto no es para los servicios broadband
sobre red de celular,
<br>
> sino para los teléfonos, pero dependiendo de tu red
claramente este
<br>
> filtrado puede afectar una porción posiblemente
importante de quienes
<br>
> acceden a tus servicios.
<br>
>
<br>
> Saludos,
<br>
> Eduardo.
<br>
>
<br>
>
<br>
> On Mon, 26 Nov 2018, Ariel Weher wrote:
<br>
>
<br>
> > Que tal buenas noches.
<br>
> >
<br>
> > Una consulta:
<br>
> >
<br>
> > Todo esto es por el día del inocente, ¿no?.
<br>
> >
<br>
> > Por otro lado:
<br>
> >
<br>
> > Cuando en mis redes encuentro ataques y cosas
non-sanctas desde redes
<br>
> > externas, en primera instancia para IPv4 se
bloquea /32 y en IPv6 el
<br>
> > /48.
<br>
> > En el caso de los "disidentes del ripe-690" van
a verse afectados
<br>
> > varios clientes.
<br>
> >
<br>
> > El que avisa no traiciona.
<br>
> >
<br>
> > Saludos!
<br>
> >
<br>
> >
<br>
> > On Fri, Nov 23, 2018 at 10:40 PM Fernando Gont
<a class="moz-txt-link-rfc2396E" href="mailto:fgont@si6networks.com"><fgont@si6networks.com></a> wrote:
<br>
> >>
<br>
> >> On 23/11/18 12:15, JORDI PALET MARTINEZ
wrote:
<br>
> >>> Totalmente de acuerdo contigo que las
aplicaciones deben trabajar con nombres, pero si no tienes
direcciones estables, es difícil que los nombres hagan
referencia a direcciones, y si usas DNS dinámico, los caches
no sirven, y por tanto lo que ganas en RTT (como tu decías
antes), lo pierdes en consultas a DNS ...
<br>
> >>
<br>
> >> Me parece que estas haciendo un analisis
equivocado.
<br>
> >>
<br>
> >> 1) Respecto de las direcciones/prefijos
estables, es usual que cuando
<br>
> >> los mismos no son estables, cambien a lo
sumo una o dos veces al dia, o
<br>
> >> bien cuando reinicias el CPE. *No* estan
cambiando ni siquiera una vez
<br>
> >> por hora.
<br>
> >>
<br>
> >> 2) El TTL del DNS uno lo configura de
manera acorde. Inclusive eligiendo
<br>
> >> algo estilo "30 segundos" uno tiene un
nivel de responsivenes mas que
<br>
> >> aceptable. Y el unico "glitch" puede
ocurrir justamente para ese momento
<br>
> >> en el cual la IP/prefijo cambia, y
asumiendo que la aplicaciòn *justo*
<br>
> >> haga un query al DNS un instante antes de
dicho cambio.
<br>
> >>
<br>
> >> 3) Comparar el RTT en un query DNS con el
RTT de un tunel es equivocado.
<br>
> >> El RTT que tenes en un query DNS es una
ùnica penalizaciòn que, de
<br>
> >> maximo, puede afectarte en el tiempo de
respuesta para el caso de
<br>
> >> aplicaciones interactivas (y ni eso, ya que
en casos como el de la web,
<br>
> >> muchos browsers (e.g. Chrome) hacen
prefetch de los dominios). El RTT de
<br>
> >> un tunel te afecta de manera permanente, ya
que tiene una implicancia
<br>
> >> directa, por ejemplo, en el "tamaño del
pipe" (bandwidth-delay product)
<br>
> >> que afecta entre otras cosas a la
performance de protocolos como TCP,
<br>
> >> buffer overbloat, y otros.
<br>
> >>
<br>
> >>
<br>
> >> Saludos,
<br>
> >> --
<br>
> >> Fernando Gont
<br>
> >> SI6 Networks
<br>
> >> e-mail: <a class="moz-txt-link-abbreviated" href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>
<br>
> >> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1
E3C4 AE25 0D55 1D4E 7492
<br>
> >>
<br>
> >>
<br>
> >>
<br>
> >>
<br>
> >>
_______________________________________________
<br>
> >> LACNOG mailing list
<br>
> >> <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
> >>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
> >> Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
> > _______________________________________________
<br>
> > LACNOG mailing list
<br>
> > <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
> > <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
> > Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
> >_______________________________________________
<br>
> LACNOG mailing list
<br>
> <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
> <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
> Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
>
<br>
>
<br>
>
<br>
>
<br>
> **********************************************
<br>
> IPv4 is over
<br>
> Are you ready for the new Internet ?
<br>
> <a class="moz-txt-link-freetext" href="http://www.theipv6company.com">http://www.theipv6company.com</a>
<br>
> The IPv6 Company
<br>
>
<br>
> This electronic message contains information which may
be privileged or confidential. The information is intended to
be for the exclusive use of the individual(s) named above and
further non-explicilty authorized disclosure, copying,
distribution or use of the contents of this information, even
if partially, including attached files, is strictly prohibited
and will be considered a criminal offense. If you are not the
intended recipient be aware that any disclosure, copying,
distribution or use of the contents of this information, even
if partially, including attached files, is strictly
prohibited, will be considered a criminal offense, so you must
reply to the original sender to inform about this
communication and delete it.
<br>
>
<br>
>
<br>
>
<br>
> _______________________________________________
<br>
> LACNOG mailing list
<br>
> <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
> <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
> Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
>_______________________________________________
<br>
LACNOG mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
<br>
<br>
<br>
<br>
**********************************************
<br>
IPv4 is over
<br>
Are you ready for the new Internet ?
<br>
<a class="moz-txt-link-freetext" href="http://www.theipv6company.com">http://www.theipv6company.com</a>
<br>
The IPv6 Company
<br>
<br>
This electronic message contains information which may be
privileged or confidential. The information is intended to be
for the exclusive use of the individual(s) named above and
further non-explicilty authorized disclosure, copying,
distribution or use of the contents of this information, even
if partially, including attached files, is strictly prohibited
and will be considered a criminal offense. If you are not the
intended recipient be aware that any disclosure, copying,
distribution or use of the contents of this information, even
if partially, including attached files, is strictly
prohibited, will be considered a criminal offense, so you must
reply to the original sender to inform about this
communication and delete it.
<br>
<br>
<br>
<br>
_______________________________________________
<br>
LACNOG mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
</blockquote>
_______________________________________________
<br>
LACNOG mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<br>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
<br>
Cancelar suscripcion:
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
<br>
<br>
</blockquote>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
</body>
</html>