[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Wed Aug 24 18:05:18 BRT 2011

Hola Gerardo,

Muito boa as sugestões.

Concordo 100% com elas.

O mais importante aqui é fornecer respostas consistentes em todos os 
tipos de consultas para facilitar a automatização das mesmas por 
programas/scripts.

Flávio

On 8/23/11 10:08 AM, Gerardo Rada wrote:
> Hola a todos me incorporé un poco tarde a la discusión, disculpas por eso :)
> Me parece muy interesante esta propuesta mi aporte es el siguiente:
>
> El 23/08/11 09:25, Ricardo Patara escribió:
>> Olá Flávio. Tudo bem por aqui.
>>
>> Comentários abaixo.
>>
>>> On 8/16/11 10:31 AM, Ricardo Patara wrote:
>>>> Flávio. Tudo bem?
>>>>
>>>> Imagino que o objetivo principal dessa implementação seria informativo,
>>>> correto?
>>> Sim. Correto. Seria inserir no Whois essa informação.
>> ok.
>>
>>>> Tentei ver outros aspectos e implicações da proposta e me veio as
>>>> seguintes dúvidas:
>>>>
>>>> - que passaria se o EE certificate que assinou a ROA expira ou é
>>>> revocado? Deve-se publicar a informação no Remark e indicar como
>>>> "invalido", ou se deixa de publicar tal informação?
>>> Sugiro colocar como inválido. É melhor colocar uma informação para
>>> facilitar a automatização da verificação dessa informação.
>
> Como yo  lo entiendo esta información debe ser consultada de los repositorios
> públicos de las CAs, así que en este caso si el EE de un ROA esta vencido o revocado
> ese ROA no se publica mas, así que el estado de esa consulta debería ser NOT-FOUND.
>
> Estaría bueno colocar ese estado porque es coherente con la siguiente propuesta.
> Incluir en el whois consultas de este tipo
>
> "whois -h whois.lacnic.net 200.7.85/24 AS28001"
>
> y el whois debe responder
> VALID AS28001 (existe el roa 200.7.85/24 y AS28001)
> NOT-FOUND (no existe ningún roa valido para el 200.7.85/24)
> INVALID AS28002 (existe un ROA con el bloque 200.7.85/24 pero el  ASN es 28002, como verán el AS del ROA no coincide con el AS de la consulta)
>
>> ok. me parece melhor assim, em especial se anteriormente havia a
>> informação e era válida.
>>
>>>> - que passa se para o bloco consultado houver mais de uma ROA válida?
>>> Estou tentando visualizar essa situação, mas estou na dúvida se estou
>>> entendendo mesmo a sua pergunta. Você poderia dar mais detalhes dessa
>>> situação?
>
> Con ejemplos: Asumimos que el bloque 200.7.85/24 tienen 2 ROAs uno con el AS28001 y otro con AS28003 si la consulta es
>
>
>
> "whois -h whois.lacnic.net 200.7.85/24"
> la respuesta debería ser algo como esto:
>
> /.
> .
> .
>
> ROA1
> //Origin ASN AS28001
> //Not valid Before 2011-01-07 02:00:00
> //Not valid After 2012-08-05 03:00:00
> //prefix 200.7.85.0/24 (max length /24)
> /
>
> /ROA2
> //Origin ASN AS28003
> //Not valid Before 2011-01-07 02:00:00
> //Not valid After 2012-08-05 03:00:00
> //prefix 200.7.85.0/24 (max length /24)
> /.
> .
> .
>
>
>
> Si la consulta es "whois -h whois.lacnic.net 200.7.85/24  AS28001"
> Respuesta: VALID AS28001
>
>
>
>
> Si la consulta es "whois -h whois.lacnic.net 200.7.85/24  AS28003"
> Respuesta: VALID AS28003
>
> Si la consulta es "whois -h whois.lacnic.net 200.7.85/24  AS28666"
>
> Respuesta: INVALID. AS authorized AS28001, AS28003
>
>
>
> Resumen:
>
> Siempre que haya AL MENOS UN ROA que cubra el bloque y el AS consultado coincide, la respuesta VALID.
> Si el bloque esta cubierto, pero el ASN no coincide, la respuesta es INVALID.
> Si no se encuentra el bloque en algún ROA, la respuesta es NOT-FOUND
>
>
>
>> de acordo com a especificação, um mesmo bloco pode ter várias ROAs.
>> Vamos supor o caso (não muito comum, mas tecnicamente possível), de uma
>> organização com bloco IP a ser anunciado por dois ou mais ASs distintos
>> (multiplos upstreams).
>> No caso que o administrador da rede dessa organização tenha um
>> certificado RPKI para o bloco, ele geraria múltiplas ROAs para o bloco
>> em questão. Cada uma autorizando um ASN diferente como origem.
>>
>> E a razão da pergunta é para ver se não seria melhor ao invés de
>> publicar a ROA, publicar a URL do ponto de publicação do material desse
>> Certificado.
>>
>> sds
>> Ricardo Patara
>>
>>> Flávio
>>>
>>>> Sds
>>>> Ricardo Patara
>>>>
>>>> On Mon, 2011-08-15 at 19:21 -0300, Flavio Marcelo wrote:
>>>>> Arturo,
>>>>>
>>>>> Concordo.
>>>>>
>>>>> A validade é do ROA e a listagem é do conteúdo do ROA que "match" o prefixo.
>>>>>
>>>>> Flávio
>>>>>
>>>>> On 8/11/11 2:21 PM, Arturo Servin wrote:
>>>>>> 	Una nota con la validez que se pondría.
>>>>>>
>>>>>> 	Sería la validez del ROA, no del anuncio (esto se hace en los routers).
>>>>>>
>>>>>> 	En el caso del ROA se valida que efectivamente venga firmado por las entidades correspondientes con la cadena de confianza.
>>>>>>
>>>>>> 	De lo que pregunta Ricardo supongo que sería listar el contenido del ROA con el que el prefijo del query hace match.
>>>>>>
>>>>>> 	Por ejemplo: whois -h whois.lacnic.net 200.7.87.0/24
>>>>>>
>>>>>> inetnum:     200.7.86/23
>>>>>> status:      assigned
>>>>>> owner:       LACNIC - Latin American and Caribbean IP address
>>>>>> ownerid:     UY-LACN-LACNIC
>>>>>>
>>>>>> etc …
>>>>>>
>>>>>> remark: ROA
>>>>>> remark: Origin ASN AS28001
>>>>>> remark: Not valid Before 2011-01-07 02:00:00
>>>>>> remark: Not valid After 2012-08-05 03:00:00
>>>>>> remark: prefix 200.7.86.0/23 (max length /24)
>>>>>> remark: prefix 2001:13c7:7012::/47 (max length /47)
>>>>>> remark: prefix 200.3.12.0/22 (max length /24)
>>>>>> remark: prefix 2001:13c7:7002::/48 (max length /48)	
>>>>>>
>>>>>> Saludos,
>>>>>> .as
>>>>>>
>>>>>> On 11 Aug 2011, at 06:19, Ricardo Patara wrote:
>>>>>>
>>>>>>> Flavio,
>>>>>>> Me parece uma proposta muito interessante, mas tenho algumas dúvidas:
>>>>>>>
>>>>>>> - a ideia é mostrar a ROA em seu formato "blob" na saída do whois, ou um
>>>>>>> resumo legível da mesma (ASN origem, bloco, prefixo máximo permitido) e
>>>>>>> sua "validez" ?
>>>>>>>
>>>>>>> - o whois deverá mostrar essa informação para o bloco exatamente
>>>>>>> consultado ou caso bloco mais/menos específico tenha ROA mostrar então
>>>>>>> essa informação.
>>>>>>>
>>>>>>> Abraços
>>>>>>> --
>>>>>>> Ricardo Patara
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> DADOS DOS AUTORES:
>>>>>>> Nome:  Flavio Marcelo Amaral
>>>>>>> eMail:fmca at yahoo-inc.com
>>>>>>> Organização: Yahoo! Brasil Internet LTDA
>>>>>>>
>>>>>>> DADOS da PROPOSTA:
>>>>>>> Título da Proposta:  Inclusão de informações do ROA no whois
>>>>>>> quando a mesma estiver disponível
>>>>>>> Tipo de Proposta: LACNIC
>>>>>>> Id: LAC-2011-08
>>>>>>>
>>>>>>> RESUMO DA PROPOSTA:
>>>>>>> Inclusão de informações de ROAs (Route Origin Authorization)
>>>>>>> responsáveis por um prefixo nas informações de WHOIS de todos os
>>>>>>> prefixos recebidos pelo LACNIC.
>>>>>>>
>>>>>>> JUSTIFICAÇÃO:
>>>>>>> A proposta visa ajudar a identificar e validar a origem dos prefixos.
>>>>>>>
>>>>>>> TEXTO DA PROPOSTA:
>>>>>>> Visando a autenticação de prefixos utilizados na nossa região, sugiro
>>>>>>> a inclusão obrigatória de de informações de ROAs (Route Origin
>>>>>>> Authorization) nas informações de WHOIS de todos os prefixos
>>>>>>> recebidos do LACNIC. Nas situações onde essa informação não estiver
>>>>>>> especificada, a resposta do WHOIS deve indicar o fato.
>>>>>>> O campo remarks deve conter informações sobre el prefixo de como
>>>>>>> ele é exportado (tamanho máximo).
>>>>>>> Isso ajudaria em ferramentas e em verificações de propriedades de
>>>>>>> prefixos.
>>>>>>>
>>>>>>>
>>>>>>> On Wed, 2011-08-10 at 13:40 -0300, Sofia Silva wrote:
>>>>>>>> Dear Policy-list Members,
>>>>>>>>
>>>>>>>> There is a new Policy Proposal; it was assigned the number 2011-08:
>>>>>>>>
>>>>>>>> [LAC-2011-08] Including ROA data in the Whois database when available
>>>>>>>>
>>>>>>>> http://lacnic.net/documentos/politicas/LAC-2011-08-EN.pdf
>>>>>>>>
>>>>>>>> Your comments are welcome.
>>>>>>>> =====================================================================
>>>>>>>> Estimados suscriptores de la lista de políticas de LACNIC,
>>>>>>>>
>>>>>>>> Se recibió una nueva propuesta de Política; se le asignó el número 2011-08:
>>>>>>>>
>>>>>>>> [LAC-2011-08] Inclusión de datos de los ROA en el whois cuando estuviera
>>>>>>>> disponible
>>>>>>>>
>>>>>>>> http://lacnic.net/documentos/politicas/LAC-2011-08-SP.pdf
>>>>>>>>
>>>>>>>> Esperamos sus comentarios.
>>>>>>>> =====================================================================
>>>>>>>> Prezados membros da lista políticas do LACNIC,
>>>>>>>>
>>>>>>>> Se recebeu a seguinte proposta de Política se lhe designo o numero 2011-08:
>>>>>>>>
>>>>>>>> [LAC-2011-08] Inclusão de informações do ROA no whois quando a mesma
>>>>>>>> estiver disponível
>>>>>>>>
>>>>>>>> http://lacnic.net/documentos/politicas/LAC-2011-08-PT.pdf
>>>>>>>>
>>>>>>>> Esperamos seus comentários.
>>>>>>>> =====================================================================
>>>>>>>> AUTHOR DATA:
>>>>>>>>
>>>>>>>> Name: Flavio Marcelo Amaral
>>>>>>>> Email:fmca at yahoo-inc.com
>>>>>>>> Organization: Yahoo! Brasil Internet LTDA
>>>>>>>>
>>>>>>>>
>>>>>>>> PROPOSAL DATA:
>>>>>>>>
>>>>>>>> Policy Proposal Title: Including ROA data in the Whois database when
>>>>>>>> available
>>>>>>>>
>>>>>>>> Policy Proposal Type: LACNIC
>>>>>>>>
>>>>>>>> Id: LAC-2011-08
>>>>>>>>
>>>>>>>>
>>>>>>>> Proposal Summary:
>>>>>>>>
>>>>>>>> Including data of the ROAs (Route Origin Authorizations) covering a
>>>>>>>> prefix as part of the WHOIS data of all prefixes received from LACNIC.
>>>>>>>>
>>>>>>>>
>>>>>>>> Rationale:
>>>>>>>>
>>>>>>>> The proposal seeks to help identify and validate prefix origins.
>>>>>>>>
>>>>>>>>
>>>>>>>> Proposal Text:
>>>>>>>>
>>>>>>>> With the purpose of authenticating the prefixes used in our region, we
>>>>>>>> suggest the mandatory inclusion of ROA (Route Origin Authorization) data
>>>>>>>> as part of the WHOIS data of all prefixes received from LACNIC. If this
>>>>>>>> information is not available, the WHOIS response shall explicitly state
>>>>>>>> this fact.
>>>>>>>>
>>>>>>>> The remarks field should contain information about the prefix and how it
>>>>>>>> is exported (maximum size).
>>>>>>>>
>>>>>>>> This would help tools verify prefix properties.
>>>>>>>> =====================================================================
>>>>>>>> DATOS DE LOS AUTORES:
>>>>>>>>
>>>>>>>> Nombre: Flavio Marcelo Amaral
>>>>>>>> Email:fmca at yahoo-inc.com
>>>>>>>> Organización: Yahoo! Brasil Internet LTDA
>>>>>>>>
>>>>>>>>
>>>>>>>> DATOS de la PROPUESTA:
>>>>>>>>
>>>>>>>> Título de la Propuesta: Inclusión de datos de los ROA en el whois cuando
>>>>>>>> estuviera disponible
>>>>>>>>
>>>>>>>> Tipo de Propuesta: LACNIC
>>>>>>>>
>>>>>>>> Id: LAC-2011-08
>>>>>>>>
>>>>>>>>
>>>>>>>> Resumen de la Propuesta:
>>>>>>>>
>>>>>>>> Inclusión de datos de los ROA (Route Origin Authorization) responsables
>>>>>>>> por un prefijo en los datos del WHOIS de todos los prefijos recibidos de
>>>>>>>> LACNIC.
>>>>>>>>
>>>>>>>>
>>>>>>>> Justificación:
>>>>>>>>
>>>>>>>> La propuesta busca ayudar a identificar y validar el origen de los prefijos.
>>>>>>>>
>>>>>>>>
>>>>>>>> Texto de la Propuesta:
>>>>>>>>
>>>>>>>> Con el objetivo de autenticar los prefijos utilizados en nuestra región,
>>>>>>>> se sugiere la inclusión obligatoria de datos de los ROA (Route Origin
>>>>>>>> Authorization) en las informaciones de WHOIS de todos los prefijos
>>>>>>>> recibidos de LACNIC. En las situaciones en las que esta información no
>>>>>>>> estuviera especificada, la respuesta del WHOIS deberá indicar ese hecho.
>>>>>>>>
>>>>>>>> El campo remarks debe contener datos sobre el prefijo y sobre cómo el
>>>>>>>> mismo es exportado (tamaño máximo).
>>>>>>>>
>>>>>>>> Esto ayudaría a las herramientas a verificar las propiedades de los
>>>>>>>> prefijos.
>>>>>>>> =====================================================================
>>>>>>>> DADOS DOS AUTORES:
>>>>>>>>
>>>>>>>> Nome:  Flavio Marcelo Amaral
>>>>>>>> eMail:fmca at yahoo-inc.com
>>>>>>>> Organização: Yahoo! Brasil Internet LTDA
>>>>>>>>
>>>>>>>>
>>>>>>>> DADOS da PROPOSTA:
>>>>>>>>
>>>>>>>> Título da Proposta:  Inclusão de informações do ROA no whois quando a
>>>>>>>> mesma estiver disponível
>>>>>>>>
>>>>>>>> Tipo de Proposta: LACNIC
>>>>>>>>
>>>>>>>> Id: LAC-2011-08
>>>>>>>>
>>>>>>>>
>>>>>>>> Resumo da Proposta:
>>>>>>>>
>>>>>>>> Inclusão de informações de ROAs (Route Origin Authorization)
>>>>>>>> responsáveis por um prefixo nas informações de WHOIS de todos os
>>>>>>>> prefixos recebidos pelo LACNIC.
>>>>>>>>
>>>>>>>>
>>>>>>>> Justificação:
>>>>>>>>
>>>>>>>> A proposta visa ajudar a identificar e validar a origem dos prefixos.
>>>>>>>>
>>>>>>>>
>>>>>>>> Texto da Proposta:
>>>>>>>>
>>>>>>>> Visando a autenticação de prefixos utilizados na nossa região, sugiro a
>>>>>>>> inclusão obrigatória de de informações de ROAs (Route Origin
>>>>>>>> Authorization) nas informações de WHOIS de todos os prefixos recebidos
>>>>>>>> do LACNIC. Nas situações onde essa informação não estiver especificada,
>>>>>>>> a resposta do WHOIS deve indicar o fato.
>>>>>>>>
>>>>>>>> O campo remarks deve conter informações sobre el prefixo de como ele é
>>>>>>>> exportado (tamanho máximo).
>>>>>>>>
>>>>>>>> Isso ajudaria em ferramentas e em verificações de propriedades de prefixos.
>>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Politicas mailing list
>>>>>>> Politicas at lacnic.net
>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>> _______________________________________________
>>>>>> Politicas mailing list
>>>>>> Politicas at lacnic.net
>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>
>
> --
> Gerardo Rada.
> Ingeniero de software
> LACNIC -http://www.lacnic.net
>

-- 
--
Flavio
Amaral

operations engineer - yahoo! brasil

Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can 
not be sure of his end" - Kingdom of Heaven
GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6

fmca at yahoo-inc.com
direct +55-11-3046-5470

r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
phone +55-11-3054-5200    fax +55-11-3054-5470