[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Arturo Servin aservin at lacnic.net
Tue Mar 20 11:40:33 BRT 2012 

	BGPMon provee un servicio de whois donde se validan los ROAs y certificados:

http://bgpmon.net/blog/?p=414

	Este servicio lo hace para los 5 RIRs, de tal forma que pueden hacer el query de cualquier prefijo firmado en los diferentes RIRs.

Slds
as

On 20 Mar 2012, at 11:35, Ricardo Patara wrote:

> Olá Flávio.
> 
> Seguem as respostas abaixo:
> 
>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>> específica?
> 
> sim.
> Cada certificado CA emitido tem um campo chamado "Subject Information
> Access (SIA)", que pela RFC6487:
> 
>   "In the context of the RPKI, this Subject Information Access (SIA)
>   extension identifies the publication point of products signed by the
>   subject of the certificate."
> 
> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
> repositório.
> 
> As ROAs seriam assinadas por outros certificados (end entities
> certificates) e não por esse do CA.
> 
> Mas, as ROAs podem estar também nesse repositório.
> O repositório de cada CA deve publicar um "manifesto" identificando
> todos os objetos que está ali publicados. (RFC6486)
> 
> Em se adotando esse método, cada "verificador" teria que buscar os
> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
> relatório indicando quais ASNs podem publicar determinados blocos IPs
> (com base na informação das ROAs encontradas).
> 
>> Sobre o serviço de diretórios, também não lembro, mas podemos
>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
> 
> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
> consultando outra base de dados que não o diretório de alocações.
> 
> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
> validados. E ter uma interface "whois" para essa base de dados, de forma
> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
> anunciados por um ASN.
> 
> Abraços.
> 
>> Abraços,
>> 
>> Flávio
>> 
>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>> Olá Flavio.
>>> 
>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>> que não fui muito exitoso.
>>> 
>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>> se há uma ROA para o recurso consultado e se é válida.
>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>> façam a partir dos objetos no repositório.
>>> 
>>> E também não me recordo se foi proposto algo de ter um serviço de
>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>> algo a se pensar. Que te parece?
>>> 
>>> abraços
>>>   Ricardo Patara
>>> 
>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>> Prezados Senhores,
>>>> 
>>>> Gostaria de enviar novamente esta política para votação no evento
>>>> LACNIC.
>>>> 
>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>> 
>>>> Obrigado,
>>>> 
>>>> Flávio
>>>> 
>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>> Perfecto,
>>>>> 
>>>>> Entonces o que cambiou fue:
>>>>> 
>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>> não
>>>>> devemos retornar nada.
>>>>> 
>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>> Caso contrário, por favor avisem.
>>>>> 
>>>>> Saludos,
>>>>> 
>>>>> Flávio
>>>>> 
>>>>> 
>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>> Flavio,
>>>>>> 
>>>>>>     Así es, porque el texto que se aprueba es el que está en la
>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>> 
>>>>>>     Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>> es posible que no la acepten.
>>>>>> 
>>>>>> Saludos!
>>>>>> .as
>>>>>> 
>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>> 
>>>>>>> Hola Flavio,
>>>>>>> 
>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>> tenido en
>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>> basta con
>>>>>>> presentar una nueva versión en el Foro).
>>>>>>> 
>>>>>>> Saludos,
>>>>>>> Nicolas
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>> 
>>>>>>>> Arturo,
>>>>>>>> 
>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>> evento?
>>>>>>>> 
>>>>>>>> Saludos,
>>>>>>>> 
>>>>>>>> Flávio
>>>>>>>> 
>>>>>>>> 
>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>> 
>>>>>>>>> 
>>>>>>>>>         Asi es.
>>>>>>>>> 
>>>>>>>>>         El certificado EE es el que tiene la validez. Si este
>>>>>>>>> expira el ROA
>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>> 
>>>>>>>>> Saludos,
>>>>>>>>> -as
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>> 
>>>>>>>>> Hola...
>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>> 
>>>>>>>>>> Saludos
>>>>>>>>>> Ricardo
>>>>>>>>>> 
>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>> 
>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>> melhor
>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>> 
>>>>>>>>>>>> Flávio
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>         Si, lo mejor es no regresar nada.
>>>>>>>>>>> 
>>>>>>>>>>>         El problema de regresar que está vencido es que no
>>>>>>>>>>> tenemos forma
>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>> es seguir
>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>> Si un ROA
>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>> 
>>>>>>>>>>> Saludos,
>>>>>>>>>>> .as
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> ______________________________**_________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>> 
>>>>>>>> -- 
>>>>>>>> -- 
>>>>>>>> Flavio
>>>>>>>> Amaral
>>>>>>>> 
>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>> 
>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>> can not
>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>> DA29 7BF6
>>>>>>>> 
>>>>>>>> fmca at yahoo-inc.com
>>>>>>>> direct +55-11-3046-5470
>>>>>>>> 
>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>> ______________________________**_________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>> 
>>>>>>>> 
>>>>>>>> 
>>>>>>> _______________________________________________
>>>>>>> Politicas mailing list
>>>>>>> Politicas at lacnic.net
>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>> 
>>>>>> _______________________________________________
>>>>>> Politicas mailing list
>>>>>> Politicas at lacnic.net
>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>> 
>>>> 
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> 
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas

More information about the Politicas mailing list