[LACNIC/Politicas] LAC-2011-08 - Nueva versión (3) / Nova versão (3) / New version (3)
gerardo
gerardo at lacnic.net
Fri May 11 14:48:38 BRT 2012
Hola Flavio, no estaba seguro si como staff de LACNIC podía dar mi posición a favor o en contra de las políticas que se presentan por eso me abstuve de opinar durante tu presentación. Pero bueno utilizo esta vía para dar recomendaciones técnicas y opiniones sobre tu propuesta.
Mi opinión personal sobre la propuesta que has hecho sobre RPKI y Whois es la siguiente. Creo que es sumamente valioso dar la oportunidad a las personas que consulten la información generada en RPKI , el whois es un mecanismos sencillo y muy conocido por todos pero como ya opinaron algunos en el el evento anterior LACNIC XVI, no es un medio seguro para mostrar este tipo de información, por ejemplo el whois tradicional puede permitir ataques de "hombre en el medio" creo que este eslabón debilita toda la cadena robusta y fuere que es RPKI.
Creo que una alternativa a esto es mostrar la información de RPKI en el RestFullWhois podríamos utilizar una BPKI para asegurar que la información viaje segura y toda la cadena desde la creación del material hasta la presentación quedaría segura. El RestFull Whois (ver info aqui) esta en pleno desarrollo, estamos definiendo que campos van, como se presentan, como es el formato de las rutas, etc, creo que el hecho de que el restfullwhois nazca con información de RPKI seria valioso para todos los que quieran utilizar RPKI o utilizar el Restfull y si ademas esta respaldado en una política pienso motivaría al staff a trabajar en esto y a los usuarios a utilizarlo.
Ideas.
Las consultas al restfull podrian ser cosas como esta (hay que definir bien el formato es solo para ejemplificar la idea):
http://restwhois.lacnic.net/restfullwhois/ip/200.7.85.0/
Acá mostrar la información del bloque y de roa si existe
http://restwhois.lacnic.net/restfullwhois/ip/200.7.85.0/roa
http://restwhois.lacnic.net/restfullwhois/ip/200.7.85.0/originvalidation
OO Acá mostrar la información de los posibles asn autorizados a originar rutas.
Pueden haber varios niveles de detalle quizás en un primer nivel solo mostrar la ruta donde esta el ROA y un segundo nivel mostrar la información completa del roa, fechas, ASN, bloques.
O quizás no haga falta el niveles :)
Volviendo a tu propuesta, creo que no es relevante saber si es hosteado o delegado, tampoco creo que es importante saber rpki-repository ya que esta información la puedes deducir al visualizar el ROA. El roa tiene embebido un certificado, y este tiene unas rutas llamadas AIA, SIA, URL publication point, con estas rutas puedes saber si es alojado, delegado, la ruta del repositorio etc, Quizas si hay un segundo nivel de información podemos mostrar un montón de datos y pensar de incluir esa información.
Otro comentario técnico, SI es posible acceder a la información de los ROAs de las entidades bajo la modalidad delegada, cuando se construye la cadena de certificación las rutas contenidas en los certificados te permite llegar desde una hoja hasta la raíz, (de un ROA hasta el trustanchor) o desde la raíz hasta todas las hojas (desde el trustancho hasta todos los roas sean hosteados o delegados)
Ya finalizando me gustaría felicitarte por el interes que has mostrado en que la información de RPKI se de a conocer y creo que si corregimos algunos detalles en un par de eventos podremos tener una politica que ampare la presentación de la información de RPKI.
Abrazo y quedo tu disposición.
On May 7, 2012, at 8:07 AM, Arturo Servin wrote:
>
> Excelente!
>
> Gracias!
>
> .as
>
> On 7 May 2012, at 07:50, Flavio Amaral wrote:
>
>> Hola Arturo,
>>
>>
>> Un exemplo que yo pensei sobre como seria una consulta whois seria assi:
>>
>>
>> <15:02:25> user at host~ [11]$ whois 10.0.0.0
>> Prefix: 10.0.0.0/21
>> Prefix description: my company
>> Country code: BR
>> Origin AS: 0000
>> Origin AS Name: my company AS
>> Coordination Centre my company NOC
>> ...
>> rpki-status: none|hosted|delegated [campo siempre presente]
>> rpki-roa: rsync://rir.org/rir/...../xxxxxxxx.roa [campo presente si hay
>> ROA que cubre y si el status es 'hosted']
>> rpki-repository: rsync://member.com/rpki/ [campo solo presente si el
>> status es 'delegated']
>>
>>
>> Saludos,
>>
>>
>> Flávio
>>
>> ________________________________
>> De: Arturo Servin <aservin at lacnic.net>
>> Para: Lista para discusion de politicas de la comunidad de LACNIC <politicas at lacnic.net>
>> Enviadas: Sábado, 5 de Maio de 2012 19:53
>> Assunto: Re: [LACNIC/Politicas] LAC-2011-08 - Nueva versión (3) / Nova versão (3) / New version (3)
>>
>> Flavio,
>>
>> Creo que entiendo la implementación de la propuesta, pero podrías incluir un ejemplo de la salida que daría el whois con cada uno de los estados para entenderlo mejor?
>>
>> (no en la política, aquí en la lista nada más)
>>
>> Gracias!
>> /as
>>
>>
>> On 4 May 2012, at 13:03, Sofía SIlva wrote:
>>
>>> Estimados suscriptores de la lista de políticas de LACNIC,
>>>
>>> Se recibió una nueva versión (3) de la propuesta de Política LAC-2011-08:
>>>
>>> LAC-2011-08 Inclusión de datos de repositorios RPKI en el whois cuando
>>> estuviera disponible
>>> http://www.lacnic.net/documentos/politicas/lac-2011-08-SPv3.pdf
>>>
>>> -----------------------------------------
>>>
>>> Prezados membros da lista políticas do LACNIC,
>>>
>>> Se recebeu uma nova versão (3) da proposta de Política LAC-2011-08 :
>>>
>>> LAC-2011-08 Inclusão de informações de repositórios RPKI no whois quando
>>> a mesma estiver disponível
>>> http://www.lacnic.net/documentos/politicas/lac-2011-08-PTv3.pdf
>>>
>>> -----------------------------------------
>>>
>>> Dear Policy-list Members,
>>>
>>> There is a new version (3) of the Policy Proposal LAC-2011-08:
>>>
>>> LAC-2011-08 Including RPKI repositories data in the Whois database when
>>> available
>>> http://www.lacnic.net/documentos/politicas/lac-2011-08-ENv3.pdf
>>> --
>>> Saludos cordiales/Cordialmente/Kind regards,
>>>
>>> Ing. Sofía Silva Berenguer
>>> PGP Key ID: 0xAAD4EB5F
>>> Networks and Security Engineer/Policy Officer
>>> LACNIC - www.lacnic.net
>>> Latin American and Caribbean Internet Address Registry
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
More information about the Politicas
mailing list