<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
<style>
div.plaintext { white-space: normal; }
body { font-family: sans-serif; }
div.plaintext h1 { font-size: 1.4em; }
div.plaintext h2 { font-size: 1.2em; }
div.plaintext h3 { font-size: 1.1em; }
blockquote.embedded,div.plaintext blockquote { margin: 0 0 5px; padding-left: 5px; border-left: 2px solid #777777; color: #777777; }
blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote { border-left-color: #999999; color: #999999; }
blockquote.embedded blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote blockquote { border-left-color: #BBBBBB; color: #BBBBBB; }
div.plaintext a { color: #3983C4; }
blockquote.embedded,div.plaintext blockquote a { color: #777777; }
blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote a { color: #999999; }
blockquote.embedded blockquote.embedded blockquote.embedded,div.plaintext blockquote blockquote blockquote a { color: #BBBBBB; }
div.plaintext math[display="inline"] > mrow { padding:5px; }
div.plaintext div.footnotes li p { margin: 0.2em 0; }
</style>
</head>
<body>
<div class="plaintext"><p dir="auto">Hola,</p>
<p dir="auto">Creo que lo que comenta Arturo es clave. Un IRR que no verifique la autoridad de crear objetos está condenado a, mas tarde o mas temprano, contener información como mínimo de mala calidad cuando no directamente maliciosa.</p>
<p dir="auto">El IRR de RIPE por ejemplo permitió durante muchos años la creación de objetos sin verificación, hasta que ellos mismos definieron que no podían continuar ofreciendo esa posibilidad. </p>
<p dir="auto">Sobre este último punto les recomiendo leer la justificación de este cambio:</p>
<p dir="auto"><a href="https://labs.ripe.net/Members/denis/out-of-region-route-6-and-aut-num-objects-in-the-ripe-database">https://labs.ripe.net/Members/denis/out-of-region-route-6-and-aut-num-objects-in-the-ripe-database</a></p>
<p dir="auto">LACNIC emitió un breve comunicado en su momento llamando la atención sobre este cambio:</p>
<p dir="auto"><a href="https://www.lacnic.net/3100/1/lacnic/cambio-de-politica-de-ripe-sobre-su-registro-de-rutas">https://www.lacnic.net/3100/1/lacnic/cambio-de-politica-de-ripe-sobre-su-registro-de-rutas</a></p>
<p dir="auto">El desarrollo que estamos llevando adelante en LACNIC consiste a grosso modo en tomar la información que ya tenemos de RPKI y exportarla de forma compatible para que sea consumida y replicada por otros IRRs ademas del nuestro. Cuando vean “origin: lacnic” en un route-object podrán estar seguros que ese route object esta respaldado por la base de datos de registro.</p>
<p dir="auto">S2</p>
<p dir="auto">Carlos</p>
<p dir="auto">On 11 Sep 2019, at 6:16, Arturo Servin wrote:</p>
</div>
<blockquote class="embedded"><div dir="ltr"><br><div>Creo que esto demuestra que es importante que el IRR sea operador por la entidad que pueda "asegurar" la "autoridad" sobre un prefijo (entre comillas porque no pude encontrar un termino mejor.)</div><div><br></div><div>RADB (o cualquier otro IRR) no tiene forma de validar la relación "prefijo - autoridad" y por eso existen estos problemas. </div><div><br></div><div>En el momento que RPKI además del origen pueda atestar quien puede anunciar un prefijo y quizás otras semánticas, estaremos cerca de olvidar el uso de IRR. Por ahora no nos queda mucho más que tratar de identificar anomalias y ver como las evitamos.</div><div><br></div><div>Saludos</div><div>as</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 11, 2019 at 12:44 AM Rubens Kuhl <<a href="mailto:rubensk@gmail.com">rubensk@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div>O que eu achei curioso é que eu imaginava que só os upstreams estariam nessa shame-list de proxy, mas o maior deles parece ser um caso de peering. </div><div><br></div><div>Algo a notar no caso de upstreams é que eles tinham a opção de cadastrar o AS do cliente sob sua administração, mas cadastram só os blocos do do cliente. </div><div>Isso é um problema self-inflicted, e o ponto é como a comunidade pode amplificar essa dor para mudar esse comportamento. </div><div><br></div><div><br></div><div>Rubens</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 10, 2019 at 1:37 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">TL-DR;</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Vários ASNs registrando em IRRs prefixos de seus clientes como se fosse de seus ASNs.</span></div><span style="font-family:monospace"> - Principalmente no RADB.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Está gerando sujeira nas bases de IRR.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Prefix-lists geradas automaticamente estão ficando muito longas, consumindo recurso do routers.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Impossibilita a validação de AS-Path.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Fizemos uma consulta nos IRR dos prefixos delegados pelo <a href="http://NIC.BR" target="_blank">NIC.BR</a> que estavam registrados para outros ASNs.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Agrupamos esses prefixos pelo campo maintainer e contamos a quantidade. Segue a lista dos mais significativos:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Quantidade - Maintainer <br> 2686 - MAINT-AS8966<br></span></div><div class="gmail_default" style="font-size:small"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 865 - MAINT-AS18678<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 604 - MAINT-AS28283<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 494 - MAINT-AS28329<br></span></div><span style="font-family:monospace"> 453 - MAINT-AS20473</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Este é o Link para a planilha com as informações.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><a href="https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing" target="_blank">https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing</a><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Lá consta uma planilha dinâmica, e também planilhas com o detalhado dos 5 Mantainers com mais registro errados.<br></span></div><span style="font-family:monospace"><br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Contando a historinha do</span><span class="gmail_default" style="font-size:small"> problema</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">-----------------------------------<br></span></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Há cerca de uns 4 meses, um amigo identificou que algumas empresas brasileiras estavam fazendo registros ERRADOS nos IRRs.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Ele me passou a informação e eu fiquei bastante triste com o que vi.<br></span></div><div><span style="font-family:monospace"><br></span></div></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O procedimento deles era:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Listar todos os prefixos do cone de AS do cliente deles</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Registrar como sendo de seu próprio ASN.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><span style="font-family:monospace">E<span class="gmail_default" style="font-size:small">u pessoalmente entrei em contato por telefone com algumas dessas empresas, e questionei o porque de eles fazerem isso.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">A resposta deles foi:<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">"Muitos desses prefixos já estão registrados como proxyed por outros ASNs, e quando tentamos registrar esses prefixos, não conseguimos... Então registramos como nossos."<br> - Eu expliquei a eles porque fazer esse registro como seu próprio ASN era errado, que era uma solução grosseira e de força bruta.<br> - Mencionei que dependendo de como as empresas consultem as bases de IRR isso iria fazer com que os as prefix-Lists geradas automaticamente ficassem com entradas duplicadas, muito longas, aumentando os recursos de processamento dos routers para processar as mensagens de anúncio de rotas.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> - E expliquei também que isso iria prejudicar os próximos passos de segurança de roteamento, que é a validação de caminho(além da de origem).<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Felizmente por algumas empresas essa informação foi muito bem recebida.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Inclusive desenvolvi relação de amizade por conta disso com um técnico dessas empresas.<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> Tive a oportunidade de sugerir que no script de automação deles incluíssem o teste:</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> (Se prefixo já existe registrado, usa registro atual.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> Se prefixo não existe registrado, cria registro como proxyed.)<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Infelizmente, algumas poucas empresas encararam a crítica negativamente.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns me atenderam, fizeram mil elogios por telefone, se comprometeram a corrigir, e não fizeram nada.<br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns se sentiram ofendidos com </span><span class="gmail_default" style="font-size:small">a crítica(se sentiram ofendidos, e me ofenderam).<br></span></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- Alguns nem se deram ao trabalho de responder.</span></div><div><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default"><span style="font-family:monospace"><font size="2">O problema só está aumentando!</font></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">------------------------------</span></div></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Observando a lista dos TOP-5, podemos ver que o MAINT-AS8966 - Emix - Emirates Telecommunications - está no topo da lista, com mais do que 3 vezes mais prefixos errados que o segundo colocado.<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Bom, eu confesso que não entendi direito qual é o objetivo desses registros...<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Mas a grande maioria(talvez até a totalidade) dos prefixos estão com a "descr: ChinaTel via EMIX".<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Outra coisa que só aumentou as minhas dúvidas é que existem casos em que o MAINT-AS8966 registrou um prefixos para vários Origin.</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Como é o caso do prefixo <a href="http://45.70.72.0/22" target="_blank">45.70.72.0/22</a>, que está registrado pela EMIX para AS266319, AS52965, AS53144.<br><a href="https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=" target="_blank">https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=</a></span></div></div><div><span style="font-family:monospace"><br></span></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Segue uma lista dos Prefixos Brasileiros registrados pelo MAINT-AS8966.<br>Quantidade AS-Origin IRR<br> 773 AS61832 RADB<br> 475 AS53144 RADB<br> 450 AS52965 RADB<br> 313 AS52551 RADB<br> 154 AS52720 RADB<br></span></div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Alguém conseguiu entender a lógica disso?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Isso está correto?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Se não está correto, quem deve ser acionado para corrigir?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Porque estou cutucando isso agora?</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------------------------------</span><span style="font-family:monospace">----</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O Google, em seus GGCs e PNIs, começou a fazer filtrar prefixos baseado em registros de IRR.<br>Isso foi informado em maio [1][2] deste ano no Lacnic 31 pelo Sr. Arturo.<br>E os triangulozinhos de alerta nos prefixos mostrados em <a href="https://peering.google.com/" target="_blank">https://peering.google.com/</a> estão gerando um alvoroço entre os ISPs.<br>E eu estou feliz por isso!<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Depois de 20 anos de RPSL, os ASNs estão se preocupando em cadastrar seus prefixos corretamente nos IRRs.<br><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Eu acredito que o medo de ficar sem acesso ao ASN do Google é que está desencadeando essas ações um pouco desesperadas...<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.1: Tenham calma!</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Segundo informações do próprio Google, por enquanto esses prefixos estão apenas sendo tageados.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Apenas
no futuro, depois de ter uma melhor referência de qual o tamanho do
dragão com que terão que lutar, é que decidirão como esses prefixos
serão descartados.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.2: Reitero meu agradecimento ao Google por isso!<br>E aproveito para provocar Facebook, Cloudflare, Netflix, e até o ICCAN, a fazerem o mesmo.</span></div></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">[1] <a href="https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf" target="_blank">https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf</a><br>[2] <a href="https://youtu.be/OT9at07N7qM" target="_blank">https://youtu.be/OT9at07N7qM</a></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace">-- <br></span><div dir="ltr" class="gmail-m_-1482898776181012225gmail-m_-5733343991988144518m_9050076165786791467gmail_signature"><span style="font-family:monospace"><font size="2">Douglas Fernando Fischer<br>Engº de Controle e Automação</font></span><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%"></div></div></div></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div></blockquote>
<div class="plaintext"><blockquote>
</blockquote><blockquote><p dir="auto">_______________________________________________<br>
LACNOG mailing list<br>
LACNOG@lacnic.net<br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></p>
</blockquote></div>
</body>
</html>