[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Arturo Servin aservin at lacnic.net
Wed Mar 21 09:33:13 BRT 2012 

Flavio,

	Si, bgpmon baja y valida los 4 repositorios en produccion (LACNIC, RIPE, APNIC y AFRINIC). En base a eso supongo construye los datos de prefijos y ROAs que alimentan al whois.

Slds
as
	

On 20 Mar 2012, at 19:31, Flavio Marcelo wrote:

> Hola Arturo,
> 
> Yo mirei ahora.
> 
> <19:00:01> fmca at artpicture-lm~ [15]$ whois -h whois.bgpmon.net 200.152.160.0
> 
> % This is the BGPmon.net whois Service
> % You can use this whois gateway to retrieve information
> % about an IP adress or prefix
> % We support both IPv4 and IPv6 address.
> %
> % For more information visit:
> % http://bgpmon.net/bgpmonapi.php
> 
> Prefix:              200.152.160.0/20
> Prefix description:  Yahoo BR1 block
> Country code:        BR
> Origin AS:           28122
> Origin AS Name:      Yahoo-BR1 --  Yahoo! Brasil Production ASN
> RPKI status:         No ROA found
> First seen:          2011-10-19
> Last seen:           2012-3-20
> Seen by #peers:      118
> 
> 
> Pelo que compreendi, la herramienta tambem hace consultas ao repositório de LACNIC buscando ROAs?
> 
> Flávio
> 
> On 3/20/12 11:40 AM, Arturo Servin wrote:
>> 
>>         BGPMon provee un servicio de whois donde se validan los ROAs y certificados:
>> 
>> http://bgpmon.net/blog/?p=414
>> 
>>         Este servicio lo hace para los 5 RIRs, de tal forma que pueden hacer el query de cualquier prefijo firmado en los diferentes RIRs.
>> 
>> Slds
>> as
>> 
>> On 20 Mar 2012, at 11:35, Ricardo Patara wrote:
>> 
>>> Olá Flávio.
>>> 
>>> Seguem as respostas abaixo:
>>> 
>>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>>> específica?
>>> 
>>> sim.
>>> Cada certificado CA emitido tem um campo chamado "Subject Information
>>> Access (SIA)", que pela RFC6487:
>>> 
>>>   "In the context of the RPKI, this Subject Information Access (SIA)
>>>   extension identifies the publication point of products signed by the
>>>   subject of the certificate."
>>> 
>>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>>> repositório.
>>> 
>>> As ROAs seriam assinadas por outros certificados (end entities
>>> certificates) e não por esse do CA.
>>> 
>>> Mas, as ROAs podem estar também nesse repositório.
>>> O repositório de cada CA deve publicar um "manifesto" identificando
>>> todos os objetos que está ali publicados. (RFC6486)
>>> 
>>> Em se adotando esse método, cada "verificador" teria que buscar os
>>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>>> (com base na informação das ROAs encontradas).
>>> 
>>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>>> 
>>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>>> consultando outra base de dados que não o diretório de alocações.
>>> 
>>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>>> validados. E ter uma interface "whois" para essa base de dados, de forma
>>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>>> anunciados por um ASN.
>>> 
>>> Abraços.
>>> 
>>>> Abraços,
>>>> 
>>>> Flávio
>>>> 
>>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>>> Olá Flavio.
>>>>> 
>>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>>> que não fui muito exitoso.
>>>>> 
>>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>>> se há uma ROA para o recurso consultado e se é válida.
>>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>>> façam a partir dos objetos no repositório.
>>>>> 
>>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>>> algo a se pensar. Que te parece?
>>>>> 
>>>>> abraços
>>>>>   Ricardo Patara
>>>>> 
>>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>>> Prezados Senhores,
>>>>>> 
>>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>>> LACNIC.
>>>>>> 
>>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>> 
>>>>>> Obrigado,
>>>>>> 
>>>>>> Flávio
>>>>>> 
>>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>>> Perfecto,
>>>>>>> 
>>>>>>> Entonces o que cambiou fue:
>>>>>>> 
>>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>>> não
>>>>>>> devemos retornar nada.
>>>>>>> 
>>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>>> Caso contrário, por favor avisem.
>>>>>>> 
>>>>>>> Saludos,
>>>>>>> 
>>>>>>> Flávio
>>>>>>> 
>>>>>>> 
>>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>>> Flavio,
>>>>>>>> 
>>>>>>>>     Así es, porque el texto que se aprueba es el que está en la
>>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>> 
>>>>>>>>     Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>>> es posible que no la acepten.
>>>>>>>> 
>>>>>>>> Saludos!
>>>>>>>> .as
>>>>>>>> 
>>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>> 
>>>>>>>>> Hola Flavio,
>>>>>>>>> 
>>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>>> tenido en
>>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>>> basta con
>>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>> 
>>>>>>>>> Saludos,
>>>>>>>>> Nicolas
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>> 
>>>>>>>>>> Arturo,
>>>>>>>>>> 
>>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>>> evento?
>>>>>>>>>> 
>>>>>>>>>> Saludos,
>>>>>>>>>> 
>>>>>>>>>> Flávio
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>>         Asi es.
>>>>>>>>>>> 
>>>>>>>>>>>         El certificado EE es el que tiene la validez. Si este
>>>>>>>>>>> expira el ROA
>>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>> 
>>>>>>>>>>> Saludos,
>>>>>>>>>>> -as
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>> 
>>>>>>>>>>> Hola...
>>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>> 
>>>>>>>>>>>> Saludos
>>>>>>>>>>>> Ricardo
>>>>>>>>>>>> 
>>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>>>> 
>>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>>> melhor
>>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>         Si, lo mejor es no regresar nada.
>>>>>>>>>>>>> 
>>>>>>>>>>>>>         El problema de regresar que está vencido es que no
>>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>>> es seguir
>>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Saludos,
>>>>>>>>>>>>> .as
>>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> --
>>>>>>>>>> --
>>>>>>>>>> Flavio
>>>>>>>>>> Amaral
>>>>>>>>>> 
>>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>> 
>>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>>> can not
>>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>>> DA29 7BF6
>>>>>>>>>> 
>>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>> 
>>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>> _______________________________________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>> 
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>> 
>>>>>> 
>>>>> _______________________________________________
>>>>> Politicas mailing list
>>>>> Politicas at lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>> 
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> 
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> 
> -- 
> --
> Flavio
> Amaral
> 
> operations engineer - yahoo! brasil
> 
> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can not be sure of his end" - Kingdom of Heaven
> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6
> 
> fmca at yahoo-inc.com
> direct +55-11-3046-5470
> 
> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
> phone +55-11-3054-5200    fax +55-11-3054-5470
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas

More information about the Politicas mailing list