[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Carlos Martinez-Cagnazzo carlosm3011 at gmail.com
Tue Mar 20 12:11:36 BRT 2012


Nosotros también podemos proveer un servicio similar a través del Origin
Validation Looking Glass, incluyendo búsquedas por el ROA URI por ejemplo.

La herramienta esta aquí:
http://www.labs.lacnic.net/rpkitools/looking_glass/

En este momento es 'beta quality', pero en el momento que madure pasará
a ser un servicio de LACNIC con garantía de disponibilidad.

slds

Carlos

On 3/20/12 11:40 AM, Arturo Servin wrote:
> 	BGPMon provee un servicio de whois donde se validan los ROAs y certificados:
>
> http://bgpmon.net/blog/?p=414
>
> 	Este servicio lo hace para los 5 RIRs, de tal forma que pueden hacer el query de cualquier prefijo firmado en los diferentes RIRs.
>
> Slds
> as
>
> On 20 Mar 2012, at 11:35, Ricardo Patara wrote:
>
>> Olá Flávio.
>>
>> Seguem as respostas abaixo:
>>
>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>> específica?
>> sim.
>> Cada certificado CA emitido tem um campo chamado "Subject Information
>> Access (SIA)", que pela RFC6487:
>>
>>   "In the context of the RPKI, this Subject Information Access (SIA)
>>   extension identifies the publication point of products signed by the
>>   subject of the certificate."
>>
>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>> repositório.
>>
>> As ROAs seriam assinadas por outros certificados (end entities
>> certificates) e não por esse do CA.
>>
>> Mas, as ROAs podem estar também nesse repositório.
>> O repositório de cada CA deve publicar um "manifesto" identificando
>> todos os objetos que está ali publicados. (RFC6486)
>>
>> Em se adotando esse método, cada "verificador" teria que buscar os
>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>> (com base na informação das ROAs encontradas).
>>
>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>> consultando outra base de dados que não o diretório de alocações.
>>
>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>> validados. E ter uma interface "whois" para essa base de dados, de forma
>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>> anunciados por um ASN.
>>
>> Abraços.
>>
>>> Abraços,
>>>
>>> Flávio
>>>
>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>> Olá Flavio.
>>>>
>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>> que não fui muito exitoso.
>>>>
>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>> se há uma ROA para o recurso consultado e se é válida.
>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>> façam a partir dos objetos no repositório.
>>>>
>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>> algo a se pensar. Que te parece?
>>>>
>>>> abraços
>>>>   Ricardo Patara
>>>>
>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>> Prezados Senhores,
>>>>>
>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>> LACNIC.
>>>>>
>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>
>>>>> Obrigado,
>>>>>
>>>>> Flávio
>>>>>
>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>> Perfecto,
>>>>>>
>>>>>> Entonces o que cambiou fue:
>>>>>>
>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>> não
>>>>>> devemos retornar nada.
>>>>>>
>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>> Caso contrário, por favor avisem.
>>>>>>
>>>>>> Saludos,
>>>>>>
>>>>>> Flávio
>>>>>>
>>>>>>
>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>> Flavio,
>>>>>>>
>>>>>>>     Así es, porque el texto que se aprueba es el que está en la
>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>
>>>>>>>     Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>> es posible que no la acepten.
>>>>>>>
>>>>>>> Saludos!
>>>>>>> .as
>>>>>>>
>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>
>>>>>>>> Hola Flavio,
>>>>>>>>
>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>> tenido en
>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>> basta con
>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>
>>>>>>>> Saludos,
>>>>>>>> Nicolas
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>
>>>>>>>>> Arturo,
>>>>>>>>>
>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>> evento?
>>>>>>>>>
>>>>>>>>> Saludos,
>>>>>>>>>
>>>>>>>>> Flávio
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>
>>>>>>>>>>         Asi es.
>>>>>>>>>>
>>>>>>>>>>         El certificado EE es el que tiene la validez. Si este
>>>>>>>>>> expira el ROA
>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>
>>>>>>>>>> Saludos,
>>>>>>>>>> -as
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>
>>>>>>>>>> Hola...
>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>
>>>>>>>>>>> Saludos
>>>>>>>>>>> Ricardo
>>>>>>>>>>>
>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>> melhor
>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>
>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>         Si, lo mejor es no regresar nada.
>>>>>>>>>>>>
>>>>>>>>>>>>         El problema de regresar que está vencido es que no
>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>> es seguir
>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>
>>>>>>>>>>>> Saludos,
>>>>>>>>>>>> .as
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>> -- 
>>>>>>>>> -- 
>>>>>>>>> Flavio
>>>>>>>>> Amaral
>>>>>>>>>
>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>
>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>> can not
>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>> DA29 7BF6
>>>>>>>>>
>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>
>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>> ______________________________**_________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>> _______________________________________________
>>>>>>> Politicas mailing list
>>>>>>> Politicas at lacnic.net
>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas



More information about the Politicas mailing list