[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Flavio Marcelo fmca at yahoo-inc.com
Tue Mar 20 19:34:30 BRT 2012


Holla Carlos,

Yo mirei tambien.

Mucho buena la herramienta.

Flávio

On 3/20/12 12:11 PM, Carlos Martinez-Cagnazzo wrote:
> Nosotros también podemos proveer un servicio similar a través del Origin
> Validation Looking Glass, incluyendo búsquedas por el ROA URI por ejemplo.
>
> La herramienta esta aquí:
> http://www.labs.lacnic.net/rpkitools/looking_glass/
>
> En este momento es 'beta quality', pero en el momento que madure pasará
> a ser un servicio de LACNIC con garantía de disponibilidad.
>
> slds
>
> Carlos
>
> On 3/20/12 11:40 AM, Arturo Servin wrote:
>>        BGPMon provee un servicio de whois donde se validan los ROAs y certificados:
>>
>> http://bgpmon.net/blog/?p=414
>>
>>        Este servicio lo hace para los 5 RIRs, de tal forma que pueden hacer el query de cualquier prefijo firmado en los diferentes RIRs.
>>
>> Slds
>> as
>>
>> On 20 Mar 2012, at 11:35, Ricardo Patara wrote:
>>
>>> Olá Flávio.
>>>
>>> Seguem as respostas abaixo:
>>>
>>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>>> específica?
>>> sim.
>>> Cada certificado CA emitido tem um campo chamado "Subject Information
>>> Access (SIA)", que pela RFC6487:
>>>
>>>    "In the context of the RPKI, this Subject Information Access (SIA)
>>>    extension identifies the publication point of products signed by the
>>>    subject of the certificate."
>>>
>>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>>> repositório.
>>>
>>> As ROAs seriam assinadas por outros certificados (end entities
>>> certificates) e não por esse do CA.
>>>
>>> Mas, as ROAs podem estar também nesse repositório.
>>> O repositório de cada CA deve publicar um "manifesto" identificando
>>> todos os objetos que está ali publicados. (RFC6486)
>>>
>>> Em se adotando esse método, cada "verificador" teria que buscar os
>>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>>> (com base na informação das ROAs encontradas).
>>>
>>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>>> consultando outra base de dados que não o diretório de alocações.
>>>
>>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>>> validados. E ter uma interface "whois" para essa base de dados, de forma
>>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>>> anunciados por um ASN.
>>>
>>> Abraços.
>>>
>>>> Abraços,
>>>>
>>>> Flávio
>>>>
>>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>>> Olá Flavio.
>>>>>
>>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>>> que não fui muito exitoso.
>>>>>
>>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>>> se há uma ROA para o recurso consultado e se é válida.
>>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>>> façam a partir dos objetos no repositório.
>>>>>
>>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>>> algo a se pensar. Que te parece?
>>>>>
>>>>> abraços
>>>>>    Ricardo Patara
>>>>>
>>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>>> Prezados Senhores,
>>>>>>
>>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>>> LACNIC.
>>>>>>
>>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>>
>>>>>> Obrigado,
>>>>>>
>>>>>> Flávio
>>>>>>
>>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>>> Perfecto,
>>>>>>>
>>>>>>> Entonces o que cambiou fue:
>>>>>>>
>>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>>> não
>>>>>>> devemos retornar nada.
>>>>>>>
>>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>>> Caso contrário, por favor avisem.
>>>>>>>
>>>>>>> Saludos,
>>>>>>>
>>>>>>> Flávio
>>>>>>>
>>>>>>>
>>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>>> Flavio,
>>>>>>>>
>>>>>>>>      Así es, porque el texto que se aprueba es el que está en la
>>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>>
>>>>>>>>      Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>>> es posible que no la acepten.
>>>>>>>>
>>>>>>>> Saludos!
>>>>>>>> .as
>>>>>>>>
>>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>>
>>>>>>>>> Hola Flavio,
>>>>>>>>>
>>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>>> tenido en
>>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>>> basta con
>>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>>
>>>>>>>>> Saludos,
>>>>>>>>> Nicolas
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>>
>>>>>>>>>> Arturo,
>>>>>>>>>>
>>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>>> evento?
>>>>>>>>>>
>>>>>>>>>> Saludos,
>>>>>>>>>>
>>>>>>>>>> Flávio
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>>
>>>>>>>>>>>          Asi es.
>>>>>>>>>>>
>>>>>>>>>>>          El certificado EE es el que tiene la validez. Si este
>>>>>>>>>>> expira el ROA
>>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>>
>>>>>>>>>>> Saludos,
>>>>>>>>>>> -as
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>>
>>>>>>>>>>> Hola...
>>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>>
>>>>>>>>>>>> Saludos
>>>>>>>>>>>> Ricardo
>>>>>>>>>>>>
>>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>>
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>>> melhor
>>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>          Si, lo mejor es no regresar nada.
>>>>>>>>>>>>>
>>>>>>>>>>>>>          El problema de regresar que está vencido es que no
>>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>>> es seguir
>>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Saludos,
>>>>>>>>>>>>> .as
>>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>>> --
>>>>>>>>>> Flavio
>>>>>>>>>> Amaral
>>>>>>>>>>
>>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>>
>>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>>> can not
>>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>>> DA29 7BF6
>>>>>>>>>>
>>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>>
>>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>> _______________________________________________
>>>>> Politicas mailing list
>>>>> Politicas at lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas

-- 
--
Flavio
Amaral

operations engineer - yahoo! brasil

Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can 
not be sure of his end" - Kingdom of Heaven
GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6

fmca at yahoo-inc.com
direct +55-11-3046-5470

r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
phone +55-11-3054-5200    fax +55-11-3054-5470



More information about the Politicas mailing list