[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08
Ricardo Patara
patara at registro.br
Fri Mar 30 15:53:21 BRT 2012
OI Flávio,
Eu acho que é uma muito boa idéia. Estou de acordo com o que você propõe.
abraços
--
Ricardo Patara
Em 30/03/2012, às 15:12, Flavio Marcelo escreveu:
> Boa tarde a todos,
>
> Dando continuidade às discussões da política, gostaria de apresentar minhas sugestões.
>
> Quando uma consulta via WHOIS for feita, o campo RPKI Status enviaria uma url do repositório do CA RPKI onde estão os ROAs para o recurso. A ausência dessa URL indica que não há CA RPKI para esse recurso.
>
>
> Abaixo está um exemplo de como seria na prática.
>
> <15:02:25> fmca at artpicture-lm~ [11]$ whois 10.0.0.0
> Prefix: 10.0.0.0/21
> Prefix description: my company
> Country code: BR
> Origin AS: 0000
> Origin AS Name: my company AS
> Coordination Centre my company NOC
> RPKI Status: [http://rir.org/my-company-roa/ | " "]
> First seen: 2011-10-19
> Last seen: 2012-3-26
> Seen by #peers: 127
>
>
> Dessa forma, ferramentas poderiam ser construídas para usar a URL e validar recursos.
>
>
> Aguardo sugestões e comentários.
>
> Flávio
>
>
> On 3/20/12 11:35 AM, Ricardo Patara wrote:
>> Olá Flávio.
>>
>> Seguem as respostas abaixo:
>>
>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>> específica?
>>
>> sim.
>> Cada certificado CA emitido tem um campo chamado "Subject Information
>> Access (SIA)", que pela RFC6487:
>>
>> "In the context of the RPKI, this Subject Information Access (SIA)
>> extension identifies the publication point of products signed by the
>> subject of the certificate."
>>
>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>> repositório.
>>
>> As ROAs seriam assinadas por outros certificados (end entities
>> certificates) e não por esse do CA.
>>
>> Mas, as ROAs podem estar também nesse repositório.
>> O repositório de cada CA deve publicar um "manifesto" identificando
>> todos os objetos que está ali publicados. (RFC6486)
>>
>> Em se adotando esse método, cada "verificador" teria que buscar os
>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>> (com base na informação das ROAs encontradas).
>>
>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>>
>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>> consultando outra base de dados que não o diretório de alocações.
>>
>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>> validados. E ter uma interface "whois" para essa base de dados, de forma
>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>> anunciados por um ASN.
>>
>> Abraços.
>>
>>> Abraços,
>>>
>>> Flávio
>>>
>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>> Olá Flavio.
>>>>
>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>> que não fui muito exitoso.
>>>>
>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>> se há uma ROA para o recurso consultado e se é válida.
>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>> façam a partir dos objetos no repositório.
>>>>
>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>> algo a se pensar. Que te parece?
>>>>
>>>> abraços
>>>> Ricardo Patara
>>>>
>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>> Prezados Senhores,
>>>>>
>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>> LACNIC.
>>>>>
>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>>
>>>>> Obrigado,
>>>>>
>>>>> Flávio
>>>>>
>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>> Perfecto,
>>>>>>
>>>>>> Entonces o que cambiou fue:
>>>>>>
>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>> não
>>>>>> devemos retornar nada.
>>>>>>
>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>> Caso contrário, por favor avisem.
>>>>>>
>>>>>> Saludos,
>>>>>>
>>>>>> Flávio
>>>>>>
>>>>>>
>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>> Flavio,
>>>>>>>
>>>>>>> Así es, porque el texto que se aprueba es el que está en la
>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>>
>>>>>>> Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>> es posible que no la acepten.
>>>>>>>
>>>>>>> Saludos!
>>>>>>> .as
>>>>>>>
>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>>
>>>>>>>> Hola Flavio,
>>>>>>>>
>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>> tenido en
>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>> basta con
>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>>
>>>>>>>> Saludos,
>>>>>>>> Nicolas
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>>
>>>>>>>>> Arturo,
>>>>>>>>>
>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>> evento?
>>>>>>>>>
>>>>>>>>> Saludos,
>>>>>>>>>
>>>>>>>>> Flávio
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Asi es.
>>>>>>>>>>
>>>>>>>>>> El certificado EE es el que tiene la validez. Si este
>>>>>>>>>> expira el ROA
>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>>
>>>>>>>>>> Saludos,
>>>>>>>>>> -as
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>>
>>>>>>>>>> Hola...
>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>>
>>>>>>>>>>> Saludos
>>>>>>>>>>> Ricardo
>>>>>>>>>>>
>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>>>
>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>> melhor
>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>>
>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>> Si, lo mejor es no regresar nada.
>>>>>>>>>>>>
>>>>>>>>>>>> El problema de regresar que está vencido es que no
>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>> es seguir
>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>>
>>>>>>>>>>>> Saludos,
>>>>>>>>>>>> .as
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> --
>>>>>>>>> Flavio
>>>>>>>>> Amaral
>>>>>>>>>
>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>>
>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>> can not
>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>> DA29 7BF6
>>>>>>>>>
>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>>
>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>> phone +55-11-3054-5200 fax +55-11-3054-5470
>>>>>>>>> ______________________________**_________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Politicas mailing list
>>>>>>> Politicas at lacnic.net
>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>
>>>>>
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>
> --
> --
> Flavio
> Amaral
>
> operations engineer - yahoo! brasil
>
> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can not be sure of his end" - Kingdom of Heaven
> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6
>
> fmca at yahoo-inc.com
> direct +55-11-3046-5470
>
> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
> phone +55-11-3054-5200 fax +55-11-3054-5470
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
More information about the Politicas
mailing list