[LACNIC/Politicas] LAC-2012-1

Arturo Servin aservin at lacnic.net
Thu Sep 6 20:53:24 BRT 2012 

	Algunas comentarios técnicos de algunos correos, creo que es más facil que contestar uno por uno:


On 6 Sep 2012, at 18:44, Nicolas Antoniello wrote:

> set chair hat == off;
> 
> 
<snip>
> 
> Si bien la tecnología (por decirlo de alguna manera) de RPKI es una
> solución a una parte de los problemas de BGP (tal y como intenta serlo
> BGPsec para otros problemas de seguridad; y si bien RPKI en comparación con
> BGPsec y otras propuestas está bastante más "aceptado" hoy día (no era así
> hace unos años)... creo que aún hoy no es "la" tecnología definida y
> aceptada por todos para asegurar el origen de los prefijos.

	Es la definida y aceptada por el IETF. No se que más se requiera para decir que es LA solución al problema de validar el origen. IMHO es LA solución y no hay otra. La respuesta de Carlos a esto mismo me parece muy certera.

<snip>


On 6 Sep 2012, at 21:34, Nicolas Antoniello wrote:

> Alejandro, Carlos, Roque, todos,
> 
> Agrego algun comentario a los que mencionaba antes:
> 
> 
<snip>

> 
> - El rotuer en todo caso dialoga con el repositorio de RPKI para realizar
> la eventual verificación, pero creo que en lo que a hardware respecta no se
> requeriría mayor cambio... más biene es un tema de software.
> 

	No, el router nunca habla con el repositorio. El validador/cache accede el repositorio y valida la información y se comunica con el router a través del RTR (draft-ietf-sidr-rpki-rtr).

	Efectivamente en HW no se requieren cambios.


<snip>

On 6 Sep 2012, at 21:00, Alejandro Rodriguez wrote:

> Estimados:
<snip>

> 
> alguna consideraciones a tener en cuenta:
> - Un router que necesite verificar el ROA de 300k rutas, va necesitar un hardware mas potente que uno que no realice esta función . O se mas $$$$. Por ello no me parece que de forma masiva se vaya a implementar RPKI en un futuro cercano.

	El estado de validez es un atributo de BGP, así que AFAIK implica el mismo procesamiento que el AS_PATH o el local preference. O sea, no más caros por RPKI, si acaso gastarías como renovación tecnológico o en la versión nueva de software.

	Y BTW, para crear los certificados y ROAs no es necesario tener un router. Es solo entrar al sistema de LACNIC o a partir de finales de Octubre usar su CA propio y el protocolo up/down (RFC6492)

> - De lo que entiendo el único fabricante que en estos momentos soporta RPKI es Cisco. ¿ Se debe implementar una política que beneficie a un solo fabricante ?

	Juniper, Quagga y BIRD también soporta RPKI origin-validation.

<snip>

Slds
as

More information about the Politicas mailing list