<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Durante el LACNIC 31 hubo una sesión interesantísima de orientación práctica de creación de ROAs para RPKI.<br><br>En esa sesión tuve la oportunidad de conocer la herramienta que LACNIC desarrolló para evitar que "RPKI noobies" cometan errores.<br>P.S .: Los desarrolladores de esta mágica herramienta merecen fuertes elogios! Excelente usabilidad.<br><br>En esta sesión también surgió una discusión interesante sobre el tamaño máximo de la máscara que se definió en la publicación del ROA.<br>En un ejemplo hipotético de un prefijo IPv4:<br>"X.Y.Z.0 /20 le /24" o "X.Y.Z.0/ 20 le /32"<br><br>La pregunta se deriva de la validación RPKI em sistemas de Remote Triggered Black Hole, generalmente a través de anuncios /32 con las respectivas communities.<br><br>¿Cómo sería la validación de origen de anûncios de blackhole, que generalmente son /32, considerando que la mayoría de los ROA se crean con LE /24?<br><br>El que está bajo algún tipo de ataque que dependa de Blackhole para amenizar los impactos de ese ataque, no puede esperar hasta 24h para que un ROA /32 criad de emergencia sea replicado por los cachés de los servidores de RTR.<br><br>Esto significa que los anuncios de BlackHole no podría pasar por la comprobación de RPKI?<br>Y su yo fuera un tipo malvado y quisiera usar eso para crear problemas con direcciones de alto uso como 8.8.8.8 1.1.1.1 4.2.2.2 9.9.9.9 y similares? ¿Cómo queda la validación de origen en este caso?<br><br>O la recomendación de que el LE maximo utilizado sea / 24 (v4) debería revisarse?<br>P.S .: Se debe tener en cuenta que permitir una máscara más grande, a pesar de resolver el problema de la validación RPKI de Blackhole / 32, crea el problema de secuestro a través de más específico en la disputa de AS-Path.<br><br><br>Ante estas dudas, me gustaría escuchar la opinión de los colegas.<br clear="all"></div><br>-- <br><div dir="ltr" class="gmail_signature"><font size="2"><span style="font-family:courier new,monospace">Douglas Fernando Fischer</span><br style="font-family:courier new,monospace"><span style="font-family:courier new,monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:courier new,monospace"></div></div></div></div>