[LACNIC/Politicas] LAC-2012-011 - Nueva versión (2) / Nova versão (2) / New version (2)

Roque Gagliano (rogaglia) rogaglia at cisco.com
Mon Oct 8 09:13:46 BRT 2012


Gustavo,

El texto dice:

"Si corresponde, se solicitará que el solicitante verifique que cuenta con:
c. uno o más ROAs bien formados (según RFC 6482) que cubran la totalidad de los recursos no delegados
d. uno o más repositorios públicos que verifiquen RFC 6481, donde se pueda obtener esta información sin restricciones."

El condicional refleja la discutido en la lista. Creo que eso puede ser dejado a que el analista la discuta con el solicitante, pero si quieres puedes ofrecer texto.

te contesto el resto entre líneas.

slds
Roque


>> 
> Entonces, la propuesta no es clara:
> 
> "Pedido de ROAs y repositorios es condicional.
> Esto es pues pueden haber razones para no publicar ROAs (por ejemplo redes
> no públicas)."
> 
> Como LACNIC decide que es una red publica y cual no lo es?
> 
> Y este texto: "Si corresponde, se solicitará que el solicitante verifique
> que cuente con:", significa que el solicitante se verifica a si mismo?
> 
> Favor de clarificar.
> 
>> 
>>>> - La reflexión es la siguiente y toca el tema de la responsabilidad de
>>>> LACNIC... si lo que consultas asumimos que puede ser de esa manera, que
>>>> sucede si por un "bug en el registro de LACNIC" uno tiene problemas con
>> sus
>>>> reversos o delegación de prefijos DNS? tiene sentido hacer responsable
>> al
>>>> RIR al nivel de una compensación? O es más razonable buscar soluciónar
>> el
>>>> problema mitigando el efecto hasta que el "bug" sea resuelto?
>>>> Lo mismo aplica a una política aprobada que fuese de alguna manera
>>>> "perjudicial" para los intereses de algún miembro...
>>>> 
>>>> 
>>> Posiblemente se me escapo al leer el manual de políticas, pero no
>> encuentro
>>> donde se especifique como requisito tener delegaciones de reversa de DNS
>>> para obtener direccionamiento adicional.
>> 
>> Definitivamente se te escapó: tienes que ver 2.3.4 punto 5. Hay otra serie
>> de obligaciones.
>> 
>> 
> Si el argumento de la resolucion inversa es la justificacion para tu
> propuesta creo que es muy debil por la diferencia de escenarios de error, y
> porque solamente aplica para IPv4.
> 

??? Te puedo buscar la referencia para IPv6.... Ya creo que cerramos el tema de la relación del manual con otras tecnologías.


> Nota para el webmaster: he estado usando el manual en linea "
> http://www.lacnic.net/web/lacnic/manual-2" y al parecer los bullets
> numericos no estan presentes (al menos en chrome y firefox)
> 
>> 
>>> Si RPKI es utilizado por la mayoría de los grandes ISPs, un error en el
>>> firmado de tus prefijos puede ocasionar que tus prefijos no sean visibles
>>> en Internet, para un ISP o un usuario final eso podría significar
>> perdidas
>>> cuantiosas.
>>> 
>>> Ahora bien, el escenario que me preocupa es si las políticas me obligan a
>>> usar RPKI, y es donde me gustaría escuchar la opinión de legal de LACNIC.
>>> Las políticas obligan a un ISP a usar RPKI, entonces si LACNIC comete
>>> errores con RPKI con repercusiones para el negocio del ISP, podría el ISP
>>> demandar a LACNIC y tener posibilidades reales de obtener una reparación
>>> económica?
>>> 
>>> Creo que el escenario actual no representa problema alguno para LACNIC
>>> porque las políticas no te obligan a usar la tecnología RPKI.
>>> 
>> 
>> Creo que tu punto es interesante.
>> 
>> Personalmente veo que si utilizas el servicio "hosted", quiere decir que
>> estás atado a las condiciones de uso:
>> http://lacnic.net/en/rpki/cps/condiciones-uso.html
>> 
>> Sino, puedes utilizar tu propio software y operación.
>> 
> 
> El servicio "hosted" fue para ejemplificar el escenario.
> 
> El escenario que planteo es el mismo, LACNIC es un eslabon mas de la
> cadena, y aunque no utilice el servicio "hosted" es necesaria la correcta
> operacion de la infraestructura de RPKI de LACNIC
> 
> De igual forma, me gustaria escuchar la opinion de legal de LACNIC al
> respecto.
> 
> Respecto a los terminos y condiciones, creo que apoyan el argumento de que
> tu propuesta no es viable.
> Como se puede exigir implementar una tecnologia a los miembros, cuando
> LACNIC no ofrece garantia sobre la infraestructura para sopotar la misma?
> 

Entonces dejamos de dar el servicio de whois o de reverso DNS? En este sentido están en la misma condición. Tengo la impresión que estás tratando de ser más papista que el papa y no entiendo bien porqué. O acaso ICANN es responsable por el lucro-sesante del servicio de Root-DNS? estas mismas condiciones están en toda letra chica de contrato de registro, sino el riesgo financiero sería tan grande que no tendríamos ningún registro posible. 

> Creo que los terminos de uso y el estatus actual de las politicas es el
> adecuado, la utilizacion de RPKI es por decision propia del ISP.
> 

La mismo aplica para la propuesta pues pusimos en condicional el generar el ROA. Básicamente queda algo abstracto que estás fomentando la discusión entre el hostmaster y el solicitante.

Roque

> 
>> Roque
>> 
>>> 
>>>> Entiendo tu preocupación. En lo personal creo que no correspondería
>> buscar
>>>> compensación sino más bien solución. Pues más allá de que podamos estar
>> de
>>>> acuerdo o no con ciertas políticas, estas son de y para la comunidad y
>> creo
>>>> que no podemos ni corresponde responsabilizar al RIR por las mismas.
>>>> 
>>> 
>>> La pregunta es si LACNIC esta blindado legalmente por el proceso
>>> "bottom-up" en el escenario que describo con anterioridad porque no deja
>> de
>>> ser el directorio quien ratifica las propuestas.
>>> 
>>> 
>>>> Nosotros como comunidad somos en ultima instancia los responsables de
>> que
>>>> una política llegue a ser aplicada o no... para eso debatimos e
>>>> intercambiamos opiniones.
>>>> 
>>> 
>>> Totalmente de acuerdo, y me interesa analizar a profundidad la propuesta
>>> desde todos los ángulos (técnicos, operativos, legales, etc).
>>> 
>>> 
>>>> 
>>>> En definitiva, en lo personal creo que la respuesta a la consulta que
>> haces
>>>> es un "no, no corresponde compensación"...
>>>> 
>>>> 
>>> Gracias por la respuesta. Me gustaría escuchar también la opinión de
>> legal
>>> de LACNIC al respecto.
>>> 
>>> Saludos,
>>> Gustavo Lozano
>>> 
>>> Fraterno saludo,
>>>> Nico
>>>> 
>>>> 
>>>> 
>>>> 2012/10/7 Gustavo Lozano <glozano.gli at gmail.com>
>>>> 
>>>>> Creo que ya expuse mis argumentos por los cuales seria un error aprobar
>>>> la
>>>>> propuesta LAC-2012-011, los cuales aplican para la versión 2 de la
>> misma.
>>>>> 
>>>>> 
>>>>> Ha sido un buen ejercicio pensar en las ramificaciones de propuestas
>> que
>>>>> buscan forzar tecnologías en los miembros.
>>>>> 
>>>>> 
>>>>> Durante mi análisis de esta propuesta, me surge una duda que me
>> gustaría
>>>>> que el staff de LACNIC me apoyara a resolver:
>>>>> 
>>>>> 
>>>>> Si la propuesta LAC-2012-011 fuera aprobada, y ratificada por el
>>>>> directorio, entonces los miembros de LACNIC se verían forzados a
>>>> desplegar
>>>>> una tecnología. Si un miembro tuviera problemas (ej. problemas de
>>>>> visibilidad de sus prefijos) por un error atribuible al sistema de
>> LACNIC
>>>>> (ej. bug en el sistema RPKI de LACNIC) podría ese miembro buscar una
>>>>> compensación económica por parte de LACNIC?
>>>>> 
>>>>> Saludos,
>>>>> Gustavo Lozano
>>>>> 
>>>>> 2012/10/5 Max Larson Henry <maxlarson.henry at transversal.ht>
>>>>> 
>>>>>> Estimados suscriptores de la lista de políticas de LACNIC,
>>>>>> 
>>>>>> Se recibió una nueva versión (2) de la propuesta de Política
>>>>> LAC-2012-011:
>>>>>> 
>>>>>> -----------------------------------------
>>>>>> 
>>>>>> Prezados membros da lista políticas do LACNIC,
>>>>>> 
>>>>>> Se recebeu uma nova versão (2) da proposta de Política LAC-2012-011 :
>>>>>> 
>>>>>> -----------------------------------------
>>>>>> 
>>>>>> Dear Policy-list Members,
>>>>>> 
>>>>>> There is a new version (2) of the Policy Proposal LAC-2012-011:
>>>>>> 
>>>>>> It' will be published shortly in the other two LACNIC working
>>>> languages.
>>>>>> 
>>>>>> Max Larson Henry
>>>>>> Nicolas Antoniello
>>>>>> co-Chairs of Public Policy Forum - LACNIC
>>>>>> 
>>>>>> ============================================================
>>>>>> 
>>>>>> DATOS DEL AUTORES:
>>>>>> 
>>>>>> 
>>>>>> Nombre - eMail - Teléfono (Phone) - Entidad (Organización)
>>>>>> 
>>>>>> Roque Gagliano - rogaglia at cisco.com - - Cisco Systems
>>>>>> 
>>>>>> DATOS de la PROPUESTA:
>>>>>> 
>>>>>> 
>>>>>> Título de la Propuesta: Requerimiento de inscripción en RPKI para
>>>>>> recursos adicionales
>>>>>> 
>>>>>> Tipo de propuesta: LACNIC
>>>>>> 
>>>>>> Id (Si existe): LAC-2012-11
>>>>>> 
>>>>>> Versión: 2 (Thu Oct 4 06:48:40 2012)
>>>>>> 
>>>>>> Resumen de la Propuesta: La propuesta consiste en requerir que toda
>>>>>> entidad buscando recursos adicionales de LACNIC deba
>>>>>> haber previamente inscripto sus recursos en el sistema RPKI. Se
>>>>>> entiende que se cumple con este
>>>>>> requerimiento cuando la entidad cuente con: una o más entidades
>>>>>> certificadoras registradas en el
>>>>>> sistema de LACNIC, uno o más certificados RPKI que cubran la totalidad
>>>>>> de los recursos. S i
>>>>>> corresponde, uno o más ROAs que cubran la totalidad de los recursos no
>>>>>> delegados y uno o más
>>>>>> repositorios públicos donde se pueda obtener esta información sin
>>>>>> restricciones.
>>>>>> 
>>>>>> 
>>>>>> Justificación: La implementación actual de RPKI require algunos pasos
>>>>>> mínimos para que los miembros en el sistema
>>>>>> de gestión de LACNIC. Muchas veces nos enfrentamos a problemas
>>>>>> operativos en las entidades. Por
>>>>>> ejemplo, comúnmente, la persona que opera la red puede no ser la misma
>>>>>> que utiliza el sistema de LACNIC.
>>>>>> 
>>>>>> Adicionalmente, como todo sistema de registro, RPKI sufre el problema
>>>>>> de antiguedad de la
>>>>>> información almacenada. Con esta propuesta, se le da una herramienta
>>>>>> al sistema de registro para
>>>>>> requerir una evaluación de la información en el RPKI cada vez que la
>>>>>> entidad entra en contacto con
>>>>>> LACNIC para solicitar recursos adicionales. Herramientas similares ya
>>>>>> existen en el manual de
>>>>>> políticas de LACNIC para el registro Whois y DNS reverse.
>>>>>> 
>>>>>> Con esta propuesta de política, se logran varios objetivos:
>>>>>> - palear el problema de la antiguedad de la información en el registro
>>>>> RPKI
>>>>>> - inducir la generación de material criptográfico en el RPKI.
>>>>>> - educar sobre el RPKI y seguridad en el sistema global de
>>>> enrutamiento.
>>>>>> 
>>>>>> El costo para el operador es mínimo (un par de clicks en el sistema de
>>>>>> LACNIC), siempre que cuente
>>>>>> con un sistema de gestión de la información.
>>>>>> 
>>>>>> El costo para LACNIC debería ser mínimo pues no requiere cambios en
>>>>>> los sistemas de gestión.
>>>>>> 
>>>>>> 
>>>>>> Texto de la Propuesta: Sección 2.3.4.
>>>>>> (Se agrega este texto como punto 8 y se renumera el siguiente como
>>>> punto
>>>>> 9)
>>>>>> 
>>>>>> 8- El solicitante debe estar al día con sus registro en el sistema de
>>>>>> certificación
>>>>>> RPKI. Para ello debe contar con:
>>>>>> a. una o más entidades certificadoras registradas en el sistema RPKI
>> de
>>>>>> LACNIC
>>>>>> b. uno o más certificados válidos (según RFC 6487) de entidad
>>>>>> certificadora (CA) RPKI que cubran la
>>>>>> totalidad d e los recursos
>>>>>> 
>>>>>> Si corresponde, se solicitará que el solicitante verifique que cuenta
>>>>> con:
>>>>>> c. uno o más ROAs bien formados (según RFC 6482) que cubran la
>>>>>> totalidad de los recursos no delegados
>>>>>> d. uno o más repositorios públicos que verifiquen RFC 6481, donde se
>>>>>> pueda obtener esta información
>>>>>> sin restricciones.
>>>>>> 
>>>>>> ---------
>>>>>> IPv6: Sección 4.5.2.1. Criterio de distribución subsiguiente
>>>>>> Se adiciona el siguiente texto:
>>>>>> 
>>>>>> El solicitante debe estar al día con sus registro en el sistema de
>>>>>> certificación RPKI. Para ello
>>>>>> debe contar con:
>>>>>> a. una o más entidades certificadoras registradas en el sistema RPKI
>> de
>>>>>> LACNIC
>>>>>> b. uno o más certificados válidos (según RFC 6487) de entidad
>>>>>> certificadora (CA) RPKI que cubran la
>>>>>> totalidad de los recursos
>>>>>> 
>>>>>> Si corresponde, se solicitará que el solicitante verifique que cuenta
>>>>> con:
>>>>>> c. uno o más ROAs bien formados (según RFC 6482) que cubran la
>>>>>> totalidad de los recursos no delegados
>>>>>> d. uno o más repositorio s públicos que verifiquen RFC 6481, donde se
>>>>>> pueda obtener esta información
>>>>>> sin restricciones.
>>>>>> 
>>>>>> 
>>>>>> INFORMACÍON ADICIONAL:
>>>>>> 
>>>>>> 
>>>>>> Tiempo de implementación: inmediato
>>>>>> 
>>>>>> Grupo de trabajo: políticas
>>>>>> 
>>>>>> Propuestas previas relacionadas:
>>>>>> 
>>>>>> Referencias: http://rpki.lacnic.net
>>>>>> 
>>>>>> Cambios desde versión anterior: - Pedido de ROAs y repositorios es
>>>>>> condicional.
>>>>>> Esto es pues pueden haber razones para no publicar
>>>>>> ROAs (por ejemplo redes no públicas).
>>>>>> - Agregué información normativa como fue
>>>>>> consensuado en la lista.
>>>>>> - Agregué la justificación relacionada con la
>>>>>> antiguedad de la información
>>>>>> _______________________________________________
>>>>>> Politicas mailing list
>>>>>> Politicas at lacnic.net
>>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> --
>>>>> 
>>>>> Regards,
>>>>> Gustavo Lozano
>>>>> _______________________________________________
>>>>> Politicas mailing list
>>>>> Politicas at lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>>> 
>>>> _______________________________________________
>>>> Politicas mailing list
>>>> Politicas at lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>>> 
>>> 
>>> 
>>> 
>>> --
>>> 
>>> Regards,
>>> Gustavo Lozano
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> 
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>> 
> 
> 
> 
> -- 
> 
> Regards,
> Gustavo Lozano
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas




More information about the Politicas mailing list