[LACNIC/Politicas] New Proposal / Nueva Propuesta / Nova Proposta - LAC-2011-08

Ricardo Patara patara at registro.br
Fri Mar 30 15:53:21 BRT 2012


OI Flávio,
Eu acho que é uma muito boa idéia. Estou de acordo com o que você propõe.

abraços
--
Ricardo Patara

Em 30/03/2012, às 15:12, Flavio Marcelo escreveu:

> Boa tarde a todos,
> 
> Dando continuidade às discussões da política, gostaria de apresentar minhas sugestões.
> 
> Quando uma consulta via WHOIS for feita, o campo RPKI Status enviaria uma url do repositório do CA RPKI onde estão os ROAs para o recurso. A ausência dessa URL indica que não há CA RPKI para esse recurso.
> 
> 
> Abaixo está um exemplo de como seria na prática.
> 
> <15:02:25>    fmca at artpicture-lm~ [11]$ whois 10.0.0.0
> Prefix:              10.0.0.0/21
> Prefix description:  my company
> Country code:       BR
> Origin AS:           0000
> Origin AS Name:      my company AS
> Coordination Centre  my company NOC
> RPKI Status:         [http://rir.org/my-company-roa/ | " "]
> First seen:          2011-10-19
> Last seen:           2012-3-26
> Seen by #peers:      127
> 
> 
> Dessa forma, ferramentas poderiam ser construídas para usar a URL e validar recursos.
> 
> 
> Aguardo sugestões e comentários.
> 
> Flávio
> 
> 
> On 3/20/12 11:35 AM, Ricardo Patara wrote:
>> Olá Flávio.
>> 
>> Seguem as respostas abaixo:
>> 
>>> Sobre a URL do repositório. Ela funcionaria como um local onde uma
>>> entidade(CA) colocaria todos os seus objetos lá? E cada um teria uma ROA
>>> específica?
>> 
>> sim.
>> Cada certificado CA emitido tem um campo chamado "Subject Information
>> Access (SIA)", que pela RFC6487:
>> 
>>    "In the context of the RPKI, this Subject Information Access (SIA)
>>    extension identifies the publication point of products signed by the
>>    subject of the certificate."
>> 
>> ou seja, todos os objetos assinados por esse CA estarão nessa URL do
>> repositório.
>> 
>> As ROAs seriam assinadas por outros certificados (end entities
>> certificates) e não por esse do CA.
>> 
>> Mas, as ROAs podem estar também nesse repositório.
>> O repositório de cada CA deve publicar um "manifesto" identificando
>> todos os objetos que está ali publicados. (RFC6486)
>> 
>> Em se adotando esse método, cada "verificador" teria que buscar os
>> objetos do repositório, validar-los e em seguida gerar, por exemplo, um
>> relatório indicando quais ASNs podem publicar determinados blocos IPs
>> (com base na informação das ROAs encontradas).
>> 
>>> Sobre o serviço de diretórios, também não lembro, mas podemos
>>> desenvolver a idéia. Que estrutura você tem em mente para esse recurso?
>> 
>> Isso seria uma ideia para obter informação sobre blocos IPs ou ASNs, mas
>> consultando outra base de dados que não o diretório de alocações.
>> 
>> Imagino algo do tipo. Construir uma base de dados com os objetos (ROAs)
>> validados. E ter uma interface "whois" para essa base de dados, de forma
>> que ao se consultar um IP ou ASN se obtenha informação se há ROA e em
>> caso afirmativo qual ASN pode anunciar ou quais IPs podem ser
>> anunciados por um ASN.
>> 
>> Abraços.
>> 
>>> Abraços,
>>> 
>>> Flávio
>>> 
>>> On 3/13/12 1:45 PM, Ricardo Patara wrote:
>>>> Olá Flavio.
>>>> 
>>>> Tentei recordar o que se discutiu durante o fórum passado, mas confesso
>>>> que não fui muito exitoso.
>>>> 
>>>> Lembro de ter comentado algo sobre indicar por exemplo a URL do
>>>> repositorio onde estaria os "objetos" desse "CA", e não somente colocar
>>>> se há uma ROA para o recurso consultado e se é válida.
>>>> Dando assim oportunidade para quem tem as ferramentas de verificação que
>>>> façam a partir dos objetos no repositório.
>>>> 
>>>> E também não me recordo se foi proposto algo de ter um serviço de
>>>> diretório para os objetos que estão nos repositórios. Mas talvez fosse
>>>> algo a se pensar. Que te parece?
>>>> 
>>>> abraços
>>>>    Ricardo Patara
>>>> 
>>>> On 12-03-2012 17:27, Flavio Marcelo wrote:
>>>>> Prezados Senhores,
>>>>> 
>>>>> Gostaria de enviar novamente esta política para votação no evento
>>>>> LACNIC.
>>>>> 
>>>>> Como não houve concenso no evento passado, gostaria de discutir com
>>>>> vocês que pontos posso melhorar para poder conseguir aprovar a política.
>>>>> 
>>>>> Obrigado,
>>>>> 
>>>>> Flávio
>>>>> 
>>>>> On 9/8/11 7:49 PM, Flavio Marcelo wrote:
>>>>>> Perfecto,
>>>>>> 
>>>>>> Entonces o que cambiou fue:
>>>>>> 
>>>>>> - Para ROAs que estão vencidos, revogados ou nunca foram cadastrados
>>>>>> não
>>>>>> devemos retornar nada.
>>>>>> 
>>>>>> Tentei ver as outras mensagens e acredito que essa é a única mudança.
>>>>>> Caso contrário, por favor avisem.
>>>>>> 
>>>>>> Saludos,
>>>>>> 
>>>>>> Flávio
>>>>>> 
>>>>>> 
>>>>>> On 9/3/11 9:05 AM, Arturo Servin wrote:
>>>>>>> Flavio,
>>>>>>> 
>>>>>>>      Así es, porque el texto que se aprueba es el que está en la
>>>>>>> política. La presentación en el foro es un apoya al texto.
>>>>>>> 
>>>>>>>      Si la gente hizo recomendaciones que no se reflejan en el texto,
>>>>>>> es posible que no la acepten.
>>>>>>> 
>>>>>>> Saludos!
>>>>>>> .as
>>>>>>> 
>>>>>>> On 2 Sep 2011, at 18:18, Nicolas Antoniello wrote:
>>>>>>> 
>>>>>>>> Hola Flavio,
>>>>>>>> 
>>>>>>>> Si deseas realizar un cambio en la política y que este pueda ser
>>>>>>>> tenido en
>>>>>>>> cuenta para la votación de la misma en el próximo Foro Público, debes
>>>>>>>> completar el formulario y remitir la nueva versión de la misma (no
>>>>>>>> basta con
>>>>>>>> presentar una nueva versión en el Foro).
>>>>>>>> 
>>>>>>>> Saludos,
>>>>>>>> Nicolas
>>>>>>>> 
>>>>>>>> 
>>>>>>>> 
>>>>>>>> 2011/9/2 Flavio Marcelo<fmca at yahoo-inc.com>
>>>>>>>> 
>>>>>>>>> Arturo,
>>>>>>>>> 
>>>>>>>>> Devo atualizar a política com as sugestões? Ou apenas apresentar no
>>>>>>>>> evento?
>>>>>>>>> 
>>>>>>>>> Saludos,
>>>>>>>>> 
>>>>>>>>> Flávio
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> On 8/30/11 10:05 AM, Arturo Servin wrote:
>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>>          Asi es.
>>>>>>>>>> 
>>>>>>>>>>          El certificado EE es el que tiene la validez. Si este
>>>>>>>>>> expira el ROA
>>>>>>>>>> ya no se toma como válido para mostrar el estado de la ruta.
>>>>>>>>>> 
>>>>>>>>>> Saludos,
>>>>>>>>>> -as
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> On 30 Aug 2011, at 08:50, Ricardo Patara wrote:
>>>>>>>>>> 
>>>>>>>>>> Hola...
>>>>>>>>>>> Lo se que es un detalle pero es importante destacar.
>>>>>>>>>>> Las ROAs no tienen expiración.
>>>>>>>>>>> El controle se hace a través del certificado EE que firma la ROA.
>>>>>>>>>>> 
>>>>>>>>>>> Saludos
>>>>>>>>>>> Ricardo
>>>>>>>>>>> 
>>>>>>>>>>> On Mon, 2011-08-29 at 16:04 -0300, Arturo Servin wrote:
>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>>>> 
>>>>>>>>>>>>>> 
>>>>>>>>>>>>> Compreendo o que você falou, hoje não há uma forma de
>>>>>>>>>>>>> diferenciar um
>>>>>>>>>>>>> ROA vencido ou revogado de um ROA que nunca existiu. Se
>>>>>>>>>>>>> retornarmos o
>>>>>>>>>>>>> resultado inválido para todos os casos, estaremos informando
>>>>>>>>>>>>> que ROAs que
>>>>>>>>>>>>> nunca existiram são inválidos, o que não é muito bem verdade.
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Dito isto, você acha que para ROAs sem informação ou vencidos a
>>>>>>>>>>>>> melhor
>>>>>>>>>>>>> forma de informar seria não retornar nada?
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Flávio
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>          Si, lo mejor es no regresar nada.
>>>>>>>>>>>> 
>>>>>>>>>>>>          El problema de regresar que está vencido es que no
>>>>>>>>>>>> tenemos forma
>>>>>>>>>>>> de validarlo adecuadamente como dice Gerardo. Además, si la idea
>>>>>>>>>>>> es seguir
>>>>>>>>>>>> la cadena de información de RPKI creo que esto es lo adecuado.
>>>>>>>>>>>> Si un ROA
>>>>>>>>>>>> está vencido en RPKI no se toma en cuenta.
>>>>>>>>>>>> 
>>>>>>>>>>>> Saludos,
>>>>>>>>>>>> .as
>>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> ______________________________**_________________
>>>>>>>>>>> Politicas mailing list
>>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> ______________________________**_________________
>>>>>>>>>> Politicas mailing list
>>>>>>>>>> Politicas at lacnic.net
>>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> --
>>>>>>>>> --
>>>>>>>>> Flavio
>>>>>>>>> Amaral
>>>>>>>>> 
>>>>>>>>> operations engineer - yahoo! brasil
>>>>>>>>> 
>>>>>>>>> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he
>>>>>>>>> can not
>>>>>>>>> be sure of his end" - Kingdom of Heaven
>>>>>>>>> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20
>>>>>>>>> DA29 7BF6
>>>>>>>>> 
>>>>>>>>> fmca at yahoo-inc.com
>>>>>>>>> direct +55-11-3046-5470
>>>>>>>>> 
>>>>>>>>> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
>>>>>>>>> phone +55-11-3054-5200    fax +55-11-3054-5470
>>>>>>>>> ______________________________**_________________
>>>>>>>>> Politicas mailing list
>>>>>>>>> Politicas at lacnic.net
>>>>>>>>> https://mail.lacnic.net/**mailman/listinfo/politicas<https://mail.lacnic.net/mailman/listinfo/politicas>
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>> _______________________________________________
>>>>>>>> Politicas mailing list
>>>>>>>> Politicas at lacnic.net
>>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>>> 
>>>>>>> _______________________________________________
>>>>>>> Politicas mailing list
>>>>>>> Politicas at lacnic.net
>>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>> 
>>>>> 
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>> 
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> 
> -- 
> --
> Flavio
> Amaral
> 
> operations engineer - yahoo! brasil
> 
> Yahoo! Messenger ID: flavio_marcelo - "Once a man starts moving he can not be sure of his end" - Kingdom of Heaven
> GPG - Key fingerprint = 9FE0 1B34 34BA C3CE F68F 3BAE AC81 ED20 DA29 7BF6
> 
> fmca at yahoo-inc.com
> direct +55-11-3046-5470
> 
> r fidencio ramos 195 - 12o andar, sao paulo, 04551-010, br
> phone +55-11-3054-5200    fax +55-11-3054-5470
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas




More information about the Politicas mailing list