[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Roque Gagliano (rogaglia) rogaglia at cisco.com
Thu Apr 5 09:11:34 BRT 2012


Oi Flavio,

No creo que sea bueno para LACNIC de incluir en el whois información que no está en la base de datos de registro de LACNIC (aunque sea un repositorio administrado por LACNIC).

Particularmente, esta información ya está disponible en los software de validación de RPKI que los ISPs puede correr localmente. Siento volver ahora sobre este tema, pero el "use-case" no está claro para mí. Todos los ISPs que yo he hablado, buscan que estas interfaces (JSON, XML, Whois, CSV) estén disponibles en el software de validación y no consumirlos de otro fuente.

Slds,
Roque




On Mar 30, 2012, at 8:53 PM, Ricardo Patara wrote:

> OI Flávio,
> Eu acho que é uma muito boa idéia. Estou de acordo com o que você propõe.
> 
> abraços
> --
> Ricardo Patara
> 
> Em 30/03/2012, às 15:12, Flavio Marcelo escreveu:
> 
>> Boa tarde a todos,
>> 
>> Dando continuidade às discussões da política, gostaria de apresentar minhas sugestões.
>> 
>> Quando uma consulta via WHOIS for feita, o campo RPKI Status enviaria uma url do repositório do CA RPKI onde estão os ROAs para o recurso. A ausência dessa URL indica que não há CA RPKI para esse recurso.
>> 
>> 
>> Abaixo está um exemplo de como seria na prática.
>> 
>> <15:02:25>    fmca at artpicture-lm~ [11]$ whois 10.0.0.0
>> Prefix:              10.0.0.0/21
>> Prefix description:  my company
>> Country code:       BR
>> Origin AS:           0000
>> Origin AS Name:      my company AS
>> Coordination Centre  my company NOC
>> RPKI Status:         [http://rir.org/my-company-roa/ | " "]
>> First seen:          2011-10-19
>> Last seen:           2012-3-26
>> Seen by #peers:      127
>> 
>> 
>> Dessa forma, ferramentas poderiam ser construídas para usar a URL e validar recursos.
>> 
>> 
>> Aguardo sugestões e comentários.
>> 
>> Flávio
>> 
>> 
>> On 3/20/12 11:35 AM, Ricardo Patara wrote:
>>> Olá Flávio.
>>> 
>>> Seguem as respostas abaixo:
>>> 
>>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>>> específica?
>>> 
>>> sim.
>>> Cada certificado CA emitido tem um campo chamado "Subject Information
>>> Access (SIA)", que pela RFC6487:
>>> 
>>>   "In the context of the RPKI, this Subject Information Access (SIA)
>>>   extension identifies the publication point of products signed by the
>>>   subject of the certificate."
>>> 
>>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>>> repositório.
>>> 
>>> As ROAs seriam assinadas por outros certificados (end entities
>>> certificates) e não por esse do CA.
>>> 
>>> Mas, as ROAs podem estar também nesse repositório.
>>> O repositório de cada CA deve publicar um "manifesto" identificando
>>> todos os objetos que está ali publicados. (RFC6486)
>>> 
>>> Em se adotando esse método, cada "verificador" teria que buscar os
>>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>>> (com base na informação das ROAs encontradas).
>>> 
>>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>>> 
>>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>>> consultando outra base de dados que não o diretório de alocações.
>>> 
>>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>>> validados. E ter uma interface "whois" para essa base de dados, de forma
>>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>>> anunciados por um ASN.
>>> 
>>> Abraços.
>>> 
>>>> Abraços,
>>>> 
>>>> Flávio
>>>> 
>>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>>> Olá Flavio.
>>>>> 
>>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>>> que não fui muito exitoso.
>>>>> 
>>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>>> se há uma ROA para o recurso consultado e se é válida.
>>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>>> façam a partir dos objetos no repositório.
>>>>> 
>>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>>> algo a se pensar. Que te parece?
>>>>> 
>>>>> abraços
>>>>>   Ricardo Patara
>>>>> 
>>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>>> Prezados Senhores,
>>>>>> 
>>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>>> LACNIC.
>>>>>> 
>>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>> 
>>>>>> Obrigado,
>>>>>> 
>>>>>> Flávio
>>>>>> 
>>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>>> Perfecto,
>>>>>>> 
>>>>>>> Entonces o que cambiou fue:
>>>>>>> 
>>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>>> não
>>>>>>> devemos retornar nada.
>>>>>>> 
>>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>>> Caso contrário, por favor avisem.
>>>>>>> 
>>>>>>> Saludos,
>>>>>>> 
>>>>>>> Flávio
>>>>>>> 
>>>>>>> 
>>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>>> Flavio,
>>>>>>>> 
>>>>>>>>     Así es, porque el texto que se aprueba es el que está en la
>>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>> 
>>>>>>>>     Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>>> es posible que no la acepten.
>>>>>>>> 
>>>>>>>> Saludos!
>>>>>>>> .as
>>>>>>>> 
>>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>> 
>>>>>>>>> Hola Flavio,
>>>>>>>>> 
>>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>>> tenido en
>>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>>> basta con
>>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>> 
>>>>>>>>> Saludos,
>>>>>>>>> Nicolas
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>> 
>>>>>>>>>> Arturo,
>>>>>>>>>> 
>>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>>> evento?
>>>>>>>>>> 
>>>>>>>>>> Saludos,
>>>>>>>>>> 
>>>>>>>>>> Flávio
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>>         Asi es.
>>>>>>>>>>> 
>>>>>>>>>>>         El certificado EE es el que tiene la validez. Si este
>>>>>>>>>>> expira el ROA
>>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>> 
>>>>>>>>>>> Saludos,
>>>>>>>>>>> -as
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>> 
>>>>>>>>>>> Hola...
>>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>> 
>>>>>>>>>>>> Saludos
>>>>>>>>>>>> Ricardo
>>>>>>>>>>>> 
>>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>>>> 
>>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>>> melhor
>>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>         Si, lo mejor es no regresar nada.
>>>>>>>>>>>>> 
>>>>>>>>>>>>>         El problema de regresar que está vencido es que no
>>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>>> es seguir
>>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Saludos,
>>>>>>>>>>>>> .as
>>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> --
>>>>>>>>>> --
>>>>>>>>>> Flavio
>>>>>>>>>> Amaral
>>>>>>>>>> 
>>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>> 
>>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>>> can not
>>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>>> DA29 7BF6
>>>>>>>>>> 
>>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>> 
>>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>> _______________________________________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>> 
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>> 
>>>>>> 
>>>>> _______________________________________________
>>>>> Politicas mailing list
>>>>> Politicas at lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>> 
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> 
>> -- 
>> --
>> Flavio
>> Amaral
>> 
>> operations engineer - yahoo! brasil
>> 
>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can not be sure of his end" - Kingdom of Heaven
>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6
>> 
>> fmca at yahoo-inc.com
>> direct +55-11-3046-5470
>> 
>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>> phone +55-11-3054-5200    fax +55-11-3054-5470
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> 
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4389 bytes
Desc: not available
URL: <https://mail.lacnic.net/pipermail/politicas/attachments/20120405/28323fff/attachment.bin>


More information about the Politicas mailing list