[LACNIC/Politicas] LAC-2012-1
Arturo Servin
aservin at lacnic.net
Thu Sep 6 20:53:24 BRT 2012
Algunas comentarios técnicos de algunos correos, creo que es más facil que contestar uno por uno:
On 6 Sep 2012, at 18:44, Nicolas Antoniello wrote:
> set chair hat == off;
>
>
<snip>
>
> Si bien la tecnología (por decirlo de alguna manera) de RPKI es una
> solución a una parte de los problemas de BGP (tal y como intenta serlo
> BGPsec para otros problemas de seguridad; y si bien RPKI en comparación con
> BGPsec y otras propuestas está bastante más "aceptado" hoy día (no era así
> hace unos años)... creo que aún hoy no es "la" tecnología definida y
> aceptada por todos para asegurar el origen de los prefijos.
Es la definida y aceptada por el IETF. No se que más se requiera para decir que es LA solución al problema de validar el origen. IMHO es LA solución y no hay otra. La respuesta de Carlos a esto mismo me parece muy certera.
<snip>
On 6 Sep 2012, at 21:34, Nicolas Antoniello wrote:
> Alejandro, Carlos, Roque, todos,
>
> Agrego algun comentario a los que mencionaba antes:
>
>
<snip>
>
> - El rotuer en todo caso dialoga con el repositorio de RPKI para realizar
> la eventual verificación, pero creo que en lo que a hardware respecta no se
> requeriría mayor cambio... más biene es un tema de software.
>
No, el router nunca habla con el repositorio. El validador/cache accede el repositorio y valida la información y se comunica con el router a través del RTR (draft-ietf-sidr-rpki-rtr).
Efectivamente en HW no se requieren cambios.
<snip>
On 6 Sep 2012, at 21:00, Alejandro Rodriguez wrote:
> Estimados:
<snip>
>
> alguna consideraciones a tener en cuenta:
> - Un router que necesite verificar el ROA de 300k rutas, va necesitar un hardware mas potente que uno que no realice esta función . O se mas $$$$. Por ello no me parece que de forma masiva se vaya a implementar RPKI en un futuro cercano.
El estado de validez es un atributo de BGP, así que AFAIK implica el mismo procesamiento que el AS_PATH o el local preference. O sea, no más caros por RPKI, si acaso gastarías como renovación tecnológico o en la versión nueva de software.
Y BTW, para crear los certificados y ROAs no es necesario tener un router. Es solo entrar al sistema de LACNIC o a partir de finales de Octubre usar su CA propio y el protocolo up/down (RFC6492)
> - De lo que entiendo el único fabricante que en estos momentos soporta RPKI es Cisco. ¿ Se debe implementar una política que beneficie a un solo fabricante ?
Juniper, Quagga y BIRD también soporta RPKI origin-validation.
<snip>
Slds
as
More information about the Politicas
mailing list