[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Flavio Marcelo fmca at yahoo-inc.com
Mon Apr 9 18:21:18 BRT 2012


Hola Roque,

Gracias por su comentários.

Minha sugestão é que los ISPs busquem en la base de datos de LACNIC a 
informação para criar ferramantas de validação.

Como LACNIC possui as informações dos recursos administrados por ele, 
pode ser fácil apontar para onde obter as informações de RPKI de forma 
oficial e confiável.

No modo hospedado, a URL abaixo apontará para um repositório do LACNIC. 
Já no modo delegado, para a entidade que possui a autorização.

 > RPKI Status:         [http://rir.org/my-company-roa/ | " "]


Acredito que isso ajude a obter informações da fonte oficialmente.

Gostaria de ouvir sua opinião sobre se essa validação pelo LANIC da 
informação não seria válido e importante.

Saludos,

Flávio

On 4/5/12 9:11 AM, Roque Gagliano (rogaglia) wrote:
> Oi Flavio,
>
> No creo que sea bueno para LACNIC de incluir en el whois información que no está en la base de datos de registro de
> LACNIC (aunque sea un repositorio administrado por LACNIC).
>
> Particularmente, esta información ya está disponible en los software de validación de RPKI que los ISPs puede correr localmente.
> Siento volver ahora sobre este tema, pero el "use-case" no está claro para mí. Todos los ISPs que yo he hablado, buscan que estas >
interfaces (JSON, XML, Whois, CSV) estén disponibles en el software de 
validación y no consumirlos de otro fuente.
>
> Slds,
> Roque
>
>
>
>
> On Mar 30, 2012, at 8:53 PM, Ricardo Patara wrote:
>
>> OI Flávio,
>> Eu acho que é uma muito boa idéia. Estou de acordo com o que você propõe.
>>
>> abraços
>> --
>> Ricardo Patara
>>
>> Em 30/03/2012, às 15:12, Flavio Marcelo escreveu:
>>
>>> Boa tarde a todos,
>>>
>>> Dando continuidade às discussões da política, gostaria de apresentar minhas sugestões.
>>>
>>> Quando uma consulta via WHOIS for feita, o campo RPKI Status enviaria uma url do repositório do CA RPKI onde estão os ROAs para o recurso. A ausência dessa URL indica que não há CA RPKI para esse recurso.
>>>
>>>
>>> Abaixo está um exemplo de como seria na prática.
>>>
>>> <15:02:25>     fmca at artpicture-lm~ [11]$ whois 10.0.0.0
>>> Prefix:              10.0.0.0/21
>>> Prefix description:  my company
>>> Country code:       BR
>>> Origin AS:           0000
>>> Origin AS Name:      my company AS
>>> Coordination Centre  my company NOC
>>> RPKI Status:         [http://rir.org/my-company-roa/ | " "]
>>> First seen:          2011-10-19
>>> Last seen:           2012-3-26
>>> Seen by #peers:      127
>>>
>>>
>>> Dessa forma, ferramentas poderiam ser construídas para usar a URL e validar recursos.
>>>
>>>
>>> Aguardo sugestões e comentários.
>>>
>>> Flávio
>>>
>>>
>>> On 3/20/12 11:35 AM, Ricardo Patara wrote:
>>>> Olá Flávio.
>>>>
>>>> Seguem as respostas abaixo:
>>>>
>>>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>>>> específica?
>>>>
>>>> sim.
>>>> Cada certificado CA emitido tem um campo chamado "Subject Information
>>>> Access (SIA)", que pela RFC6487:
>>>>
>>>>    "In the context of the RPKI, this Subject Information Access (SIA)
>>>>    extension identifies the publication point of products signed by the
>>>>    subject of the certificate."
>>>>
>>>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>>>> repositório.
>>>>
>>>> As ROAs seriam assinadas por outros certificados (end entities
>>>> certificates) e não por esse do CA.
>>>>
>>>> Mas, as ROAs podem estar também nesse repositório.
>>>> O repositório de cada CA deve publicar um "manifesto" identificando
>>>> todos os objetos que está ali publicados. (RFC6486)
>>>>
>>>> Em se adotando esse método, cada "verificador" teria que buscar os
>>>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>>>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>>>> (com base na informação das ROAs encontradas).
>>>>
>>>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>>>>
>>>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>>>> consultando outra base de dados que não o diretório de alocações.
>>>>
>>>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>>>> validados. E ter uma interface "whois" para essa base de dados, de forma
>>>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>>>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>>>> anunciados por um ASN.
>>>>
>>>> Abraços.
>>>>
>>>>> Abraços,
>>>>>
>>>>> Flávio
>>>>>
>>>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>>>> Olá Flavio.
>>>>>>
>>>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>>>> que não fui muito exitoso.
>>>>>>
>>>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>>>> se há uma ROA para o recurso consultado e se é válida.
>>>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>>>> façam a partir dos objetos no repositório.
>>>>>>
>>>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>>>> algo a se pensar. Que te parece?
>>>>>>
>>>>>> abraços
>>>>>>    Ricardo Patara
>>>>>>
>>>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>>>> Prezados Senhores,
>>>>>>>
>>>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>>>> LACNIC.
>>>>>>>
>>>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>>>
>>>>>>> Obrigado,
>>>>>>>
>>>>>>> Flávio
>>>>>>>
>>>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>>>> Perfecto,
>>>>>>>>
>>>>>>>> Entonces o que cambiou fue:
>>>>>>>>
>>>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>>>> não
>>>>>>>> devemos retornar nada.
>>>>>>>>
>>>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>>>> Caso contrário, por favor avisem.
>>>>>>>>
>>>>>>>> Saludos,
>>>>>>>>
>>>>>>>> Flávio
>>>>>>>>
>>>>>>>>
>>>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>>>> Flavio,
>>>>>>>>>
>>>>>>>>>      Así es, porque el texto que se aprueba es el que está en la
>>>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>>>
>>>>>>>>>      Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>>>> es posible que no la acepten.
>>>>>>>>>
>>>>>>>>> Saludos!
>>>>>>>>> .as
>>>>>>>>>
>>>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>>>
>>>>>>>>>> Hola Flavio,
>>>>>>>>>>
>>>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>>>> tenido en
>>>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>>>> basta con
>>>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>>>
>>>>>>>>>> Saludos,
>>>>>>>>>> Nicolas
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>>>
>>>>>>>>>>> Arturo,
>>>>>>>>>>>
>>>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>>>> evento?
>>>>>>>>>>>
>>>>>>>>>>> Saludos,
>>>>>>>>>>>
>>>>>>>>>>> Flávio
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>          Asi es.
>>>>>>>>>>>>
>>>>>>>>>>>>          El certificado EE es el que tiene la validez. Si este
>>>>>>>>>>>> expira el ROA
>>>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>>>
>>>>>>>>>>>> Saludos,
>>>>>>>>>>>> -as
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>>>
>>>>>>>>>>>> Hola...
>>>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Saludos
>>>>>>>>>>>>> Ricardo
>>>>>>>>>>>>>
>>>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>>>> melhor
>>>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>          Si, lo mejor es no regresar nada.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>          El problema de regresar que está vencido es que no
>>>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>>>> es seguir
>>>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Saludos,
>>>>>>>>>>>>>> .as
>>>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> --
>>>>>>>>>>> --
>>>>>>>>>>> Flavio
>>>>>>>>>>> Amaral
>>>>>>>>>>>
>>>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>>>
>>>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>>>> can not
>>>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>>>> DA29 7BF6
>>>>>>>>>>>
>>>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>>>
>>>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>> _______________________________________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>>
>>>>>>>
>>>>>> _______________________________________________
>>>>>> Politicas mailing list
>>>>>> Politicas at lacnic.net
>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>
>>> --
>>> --
>>> Flavio
>>> Amaral
>>>
>>> operations engineer - yahoo! brasil
>>>
>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can not be sure of his end" - Kingdom of Heaven
>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6
>>>
>>> fmca at yahoo-inc.com
>>> direct +55-11-3046-5470
>>>
>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>

-- 
--
Flavio
Amaral

operations engineer - yahoo! brasil

Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can 
not be sure of his end" - Kingdom of Heaven
GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6

fmca at yahoo-inc.com
direct +55-11-3046-5470

r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
phone +55-11-3054-5200    fax +55-11-3054-5470



More information about the Politicas mailing list