[LACNIC/Politicas] Nueva propuesta LAC-2018-5 / Nova proposta LAC-2018-5 / New proposal LAC-2018-5

JORDI PALET MARTINEZ jordi.palet at consulintel.es
Thu Mar 8 12:09:55 BRT 2018


Hola Ricardo,

Como comenté, esto está en debate en RIPE. Si miras la v1, veras que era más estricta. En la última reunión de RIPE, parte de la comunidad pidió "simplificarla", pero bajo mi punto de vista, en la fase de determinar consenso, se ha visto que es lo contrario, que la comunidad, aunque dividida, está más a favor de que sea una verificación "mas" auténtica.

Precisamente en base a ese debate, es como he elaborado el texto de la propuesta en LACNIC.

Totalmente de acuerdo en lo que propones del punto 12.4, creo que es obvio que se debe verificar en cualquiera de los 3 casos.

Respecto del plazo de validación periódica, está claro que es discutible y quizás la comunidad opine que se tiene que ir a 6 meses o a 12 meses como tú dices, pero ten en cuenta:
1) En un LIR, lo normal es que solo haya un contacto de abuse para todos los recursos. No es muy lógico que los abusos de IPv4 se atiendan por un lado y los de IPv6 por otro. Obviamente, si se subasignan recursos y esos recursos son, por ejemplo, a un banco, es probable que ese banco tenga su propio contacto abuse. Es decir, el impacto medio para un ISP es que quizás tengan 1-2 abuse contacts (más bien tirando a 1), y el mismo impacto para los recursos subasignados para dichas entidades.
2) Si los contactos están correctos, el impacto para LACNIC es "0" porque se automatiza la verificación y SOLO se escalan los que fallan. Entiendo que en el momento de implementar la política, es posible que haya que verificar, como tú dices, un 30%, y periódicamente, si un empleado que sea contacto de abuse se "va" de un LIR y se usaba su cuenta (en lugar de una cuenta de grupo que es lo habitual), y nadie se acuerda de cambiarlo, vamos a tener un %, que pienso que puede ser pequeño, en cada verificación (pero obviamente LACNIC debería hacer su automatización de forma que no se hagan TODAS al mismo tiempo, sino por ejemplo respecto de la fecha de creación del LIR, etc.).

Creo que el primer paso no es una llamada, sino un sistema que *también* se puede automatizar, para que el caso se escale a otros contactos del LIR distintos del abuse. Eso lo dejo a la discreción de LACNIC. Entiendo que ahí tenemos que darle margen. Se puede hacer un proceso, para que la llamada solo se produzca una vez a la semana, en casos que de ningún modo contesten.

Sería bueno, si LACNIC tiene esa información, saber cuando hay otros casos de LIRs que no responden, por otros problemas del whois, o similares, si esto es habitual en "n" veces por semana.

Fíjate que he propuesto un plazo de 3 meses para la implementación, así que la primera verificación que es la que realmente puede ser "problemática" hasta que todos los LIRs revisen ese contacto, da margen "medio" de 3+3 meses (3 de implementación + 3 para las periódicas), de nuevo depende de cómo lo quiera organizar LACNIC.

Si te parece poco, no tengo problema en proponer un punto adicional, de forma que la primera verificación, pasados los 3 meses del plazo de implementación, sea de 6 meses más o algo así.

Si entiendo bien tus comentarios tanto del email anterior como de este, creo que sería mucho más productivo (no solo tu caso, sino de forma genérica y en todas las propuestas), si estas en contra en puntos concretos de la propuesta, ver en qué puntos estamos de acuerdo, y en cuales no. Y eso puede llevar incluso, sino llegamos a un punto de acuerdo, a separar la propuesta en "varias" que afronten los diferentes aspectos que planteo. 

Saludos,
Jordi
 

-----Mensaje original-----
De: Politicas <politicas-bounces at lacnic.net> en nombre de Ricardo Patara <patara at registro.br>
Responder a: Lista para discusion de politicas de la comunidad de LACNIC <politicas at lacnic.net>
Fecha: jueves, 8 de marzo de 2018, 14:04
Para: <politicas at lacnic.net>
Asunto: Re: [LACNIC/Politicas] Nueva propuesta LAC-2018-5 / Nova proposta LAC-2018-5 / New proposal LAC-2018-5

    Jordi, que tal?
    
    Quisiera seguir con esa cuestión de la forma como indicas en la propuesta como 
    debe ser el procedimiento para tratar los casos en los ISPs y como LACNIC debe 
    tratar las verificaciones.
    
    Tu indicas en la propuesta que hay una similar en RIPE. Creo que te refieres a 
    esa aqui:
    https://www.ripe.net/participate/policies/proposals/2017-02
    
    Y lo único que esa propone es una actualización a la definición del contacto de 
    abuse agregando el texto que indica que RIPE hará verificaciones de la validez 
    de los contactos:
    
    "The RIPE NCC will validate the “abuse-mailbox:” attribute at least annually. 
    Where the attribute is deemed incorrect, it will follow up in compliance with 
    relevant RIPE Policies and RIPE NCC procedures. "
    
    Y en los comentarios RIPE indica como podría implementar las verificaciones 
    incluso de manera automática pues sabe que eso implica un trabajo bastante intenso.
    
    Tengo también una consulta al texto siguiente de la propuesta a continuación:
    
    "12.4. Validación del "abuse-c"/"abuse-mailbox"
    LACNIC validará el cumplimiento de los puntos anteriores, tanto en el momento en 
    que se crean o modifican los atributos "abuse-c" y/o "abuse-mailbox", 
    periódicamente, no menos de una vez cada tres meses y en cualquier momento que 
    LACNIC considere oportuno."
    
    Indicas que la verificación ocurría al momento de la creación y cambio de los 
    contactos. Pero en seguida "periódicamente".
    
    Entonces sería un "y", o sea, "cuando se lo crea, se lo modifica Y periódicamente"
    
    Correcto?
    
    Además de eso, indicas que se lo haga a cada 3 meses! (en la propuesta de ripe 
    es anual y me parece más razonable).
    
    Imaginate que LACNIC tiene un promedio de 7 mil miembros.
    Vamos suponer que el contacto para todos os recursos de una misma entidad sea lo 
    mismo, y entonces que hayan 7 mil contactos de abuse.
    
    Vamos suponer también, una forma muy optimista, que de estos 30% fallan haciendo 
    que lacnic haga un "seguimiento personalizado" con los 2100 ISPs (30% de los 7mil).
    
    Considerando que sean identificados pronto al inicio del período de 
    verificación, iban a tener 4 meses para hacerlo antes del siguiente ciclo de 
    verificaciones.
    
    Serían como que 17 llamadas por día todos los días durante ese período, 
    considerando que el problema se resuelva en una llamada.
    Hay que concordar que es una carga demasiada, no?
    
    Por eso todo, también por mis comentarios anteriores, soy contra la propuesta 
    como escrita.
    
    un abrazo
    
    Ricardo Patara
    
    On 05/03/2018 15:36, JORDI PALET MARTINEZ wrote:
    > Si si, comprendido lo que quieres decir, es cuestión de ver lo que opina la comunidad, y sobretodo que se entienda que el concepto de trabajo en comunidad es precisamente que sea bueno para todos.
    > 
    > De todos modos, creo que la propuesta no entra en como el ISP debe tratar los abusos (si quiere rescindir el contrato, advertir al cliente un número de veces, etc.), sino en un procedimiento común para poder comunicar los abusos sin coste adicional para la "victima".
    > 
    > Creo que cuando presente la propuesta se podrá entender mucho mejor que un simple texto, por muchos emails que crucemos, aunque seguro que con las dudas y aclaraciones que surjan, se ira "dibujando" mejor y mejorando la propuesta.
    > 
    > Saludos,
    > Jordi
    >   
    > -----Mensaje original-----
    > De: Politicas <politicas-bounces at lacnic.net> en nombre de Ricardo Patara <patara at registro.br>
    > Responder a: Lista para discusion de politicas de la comunidad de LACNIC <politicas at lacnic.net>
    > Fecha: lunes, 5 de marzo de 2018, 19:32
    > Para: <politicas at lacnic.net>
    > Asunto: Re: [LACNIC/Politicas] Nueva propuesta LAC-2018-5 / Nova proposta LAC-2018-5 / New proposal LAC-2018-5
    > 
    >      Jordi, que tal?
    >      
    >      Quisiera aclarar no estoy en contra la idea de que haya mecanismos para
    >      comunicar abusos y así solicitar que los mismos sean tratados.
    >      
    >      Lo que me preocupa es una política de LACNIC indicando *como* el ISP debe hacer
    >      para tratar incididentes en su red.
    >      
    >      Es muy comun en reuniones de los RIRs los operadores hablaren muy fuerte que no
    >      les cabe a los RIRs indicar como deben gereneciar sus redes.
    >      
    >      Esa propuesta, desde mi humilde punto de vista, trataria de decirles como tratar
    >      estos reportes de incidentes.
    >      
    >      Es cuanto a eso que me ponto un poco en contra ;-)
    >      
    >      Ricardo Patara
    >      
    >      On 05/03/2018 15:23, JORDI PALET MARTINEZ wrote:
    >      > Hola Ricardo,
    >      >
    >      > El abuse-c, solo existe en la política de ASN, y bajo mi punto de vista aun así es incompleta.
    >      >
    >      > Todas las políticas que tiene esta comunidad, al igual que los otros RIRs, a la fuerza, entran en detalles organizativos de todos los participantes.
    >      >
    >      > Lo que no es lógico, nunca, y en ello incido en esta propuesta, es que el que hace el daño (o sus clientes), no este "obligado" a resolverlo (y por tanto a responder al caso de abuso), y en cambio, todos los costes asociados a ese abuso, lo tenga que pagar el ISP que es víctima del abuso.
    >      >
    >      > Creo que es algo más que razonable, y de hecho, así se está viendo en otros RIRs donde se está discutiendo (o se han discutido ya) políticas o propuestas similares.
    >      >
    >      > Piénsalo de otro modo. Si en lugar de resolverlo desde la propia comunidad, se tiene que resolver en los tribunales, te puedo asegurar que el juez va a dictar a favor de la víctima, y el causante va a tener que pagar todos los daños y perjuicios, y por supuesto, será mucho más lento y caro.
    >      >
    >      > No crees que es mejor, al igual que todo lo que hacemos en los RIRs, que evitemos salir de nuestro sistema de autogobierno y tengamos que llevar todos los abusos a los tribunales?
    >      >
    >      > El incumplimiento de cualquier política, o del contrato de membresía, siempre está sujeto a la recuperación de los recursos por parte de LACNIC, luego no es algo nuevo. Aunque no se mencionara en una política en concreto, se debería producir igual. Yo he preferido ser más "claro" y hacer énfasis en ello, para que sea más evidente.
    >      >
    >      > Saludos,
    >      > Jordi
    >      >
    >      > -----Mensaje original-----
    >      > De: Politicas <politicas-bounces at lacnic.net> en nombre de Ricardo Patara <patara at registro.br>
    >      > Responder a: Lista para discusion de politicas de la comunidad de LACNIC <politicas at lacnic.net>
    >      > Fecha: lunes, 5 de marzo de 2018, 17:58
    >      > Para: <politicas at lacnic.net>
    >      > Asunto: Re: [LACNIC/Politicas] Nueva propuesta LAC-2018-5 / Nova proposta LAC-2018-5 / New proposal LAC-2018-5
    >      >
    >      >      Hola Jordi,
    >      >      Me parece interesante la idea de un campo en el whois especifico para reportes
    >      >      de abuso (lo que ya existe).
    >      >
    >      >      Lo que me preocupa en tu propuesta es que la misma indica como deben ser los
    >      >      procesos de tratamiento tanto en los ISPs como por parte de LACNIC.
    >      >
    >      >      Muchos son los ISPs, de diferentes tamaños y capacidades, además de eso,
    >      >      variadas son las posibilidades de tratamiento. Indicar como deben proceder no me
    >      >      parece algo sencillo de "exigir" con el riesgo que se les tome las direcciones IP.
    >      >
    >      >      Saludos
    >      >      Ricardo Patara
    >      >
    >      >      On 05/03/2018 13:37, info-politicas at lacnic.net wrote:
    >      >      > [Português abaixo]
    >      >      > [English below]
    >      >      >
    >      >      > Estimados suscriptores de la Lista de Políticas de LACNIC,
    >      >      >
    >      >      > Se recibió una nueva propuesta de Política, se le asignó el id LAC-2018-5.
    >      >      >
    >      >      > Título: Registro y Validación del "abuse-c" y "abuse-mailbox"
    >      >      >
    >      >      > Resumen: La política actual (ASN) no es clara en cuanto a la obligación de registrar un contacto de abuse (abuse-c) ni al formato específico y si aplica a otros casos de registros en el whois.
    >      >      >
    >      >      > Como consecuencia, puede haber LIRs que no tienen dicho contacto registrado para sus recursos, o incluso hay casos de LIRs que utilizan un buzón de correo inexistente o que no es procesado.
    >      >      >
    >      >      > Ello origina en la práctica, que dicho contacto sea ineficaz para poder reportar abusos y en general problemas de seguridad y costes para las víctimas.
    >      >      >
    >      >      > Esta propuesta pretende resolver el problema y garantizar la existencia de un contacto abuse-c correcto y el proceso para su uso.
    >      >      >
    >      >      > Para ver el detalle ingrese en:
    >      >      > https://politicas.lacnic.net/politicas/detail/id/LAC-2018-5
    >      >      >
    >      >      > Los comentarios y los puntos de vista aportados por la comunidad son vitales para el correcto desarrollo del proceso de la propuestas
    >      >      > - ¿Apoya usted o se opone a esta propuesta?
    >      >      > - ¿Esta propuesta resolvería un problema que usted está experimentando?- ¿Ve alguna desventaja en esta propuesta?
    >      >      > - ¿Qué cambios podrían hacerse a esta propuesta para que sea más eficaz?
    >      >      >
    >      >      > Por más información contacte a info-politicas at lacnic.net
    >      >      > Saludos cordiales,
    >      >      >
    >      >      > ______________________________________________________________________________________________________
    >      >      >
    >      >      > Prezados assinantes da lista de políticas de LACNIC,
    >      >      >
    >      >      > Foi recebida uma nova proposta de Política, foi atribuído o id LAC-2018-5.
    >      >      >
    >      >      > Título: Registro e validação de "abuse-c" e "abuse-mailbox"
    >      >      >
    >      >      > Resumo: A política atual (ASN) não é clara em relação à obrigação de registrar um contato de abuse (abuse-c) nem ao formato específico, e se pode ser aplicada a outros casos de registros no whois.
    >      >      >
    >      >      > Como resultado, pode haver LIR que não tenham esse contato registrado para seus recursos, ou ainda há casos de LIR que usam uma caixa de correio inexistente ou que não é processada.
    >      >      >
    >      >      > Na prática, isso faz com que esse contato seja ineficaz para denunciar abusos e problemas de segurança e custos para as vítimas, em geral.
    >      >      >
    >      >      > Esta proposta visa resolver o problema e garantir a existência de um contato abuse-c correto e o processo para seu uso.
    >      >      >
    >      >      > Para ver o detalhe acesse:
    >      >      > https://politicas.lacnic.net/politicas/detail/id/LAC-2018-5
    >      >      >
    >      >      >   Os comentários e os pontos de vista aportados pela comunidade são vitais para o bom desenvolvimento do processo das propostas
    >      >      > - ¿Você é a favor ou contra desta proposta?
    >      >      > - ¿Esta proposta iria resolver um problema que você está experimentando?- ¿Vê alguma alguma desvantagem nesta proposta?
    >      >      > - ¿Que mudanças poderiam ser feitas à proposta para que seja mais eficaz?
    >      >      >
    >      >      >   Por mais informações entre em contato conosco através do seguinte e-mail: info-politicas at lacnic.net
    >      >      > Atenciosamente,
    >      >      > ______________________________________________________________________________________________________
    >      >      >
    >      >      > Dear LACNIC Policy List subscribers,
    >      >      >
    >      >      > A new Policy Proposal has been received and assigned the following ID: LAC-2018-5.
    >      >      >
    >      >      > Title: Registration and validation of "abuse-c" and "abuse-mailbox"
    >      >      >
    >      >      > Summary: The current (ASN) policy is not clear regarding the obligation to register an abuse contact (abuse-c) or its specific format, nor as to whether this applies to other whois records.
    >      >      >
    >      >      > As a result, some LIRs may not have this contact information registered for their resources. In fact, there are even cases of LIRs that use a non-existent mailbox or one that is not actively monitored.
    >      >      >
    >      >      > In practice, this contact becomes ineffective to report abuses and generally gives rise to security issues and costs for the victims.
    >      >      >
    >      >      > This proposal aims to solve the problem and ensure the existence of a proper abuse-c contact and the process for its utilization.
    >      >      >
    >      >      > To read the proposal, please go to
    >      >      > https://politicas.lacnic.net/politicas/detail/id/LAC-2018-5
    >      >      >
    >      >      > The community's comments and opinions are essential to the proper functioning of the policy development process.
    >      >      > - Do you support this policy or are you against it?
    >      >      > - Would this proposal solve a problem you are experiencing?- Do you think this proposal has any drawbacks?
    >      >      > - What changes could be made to this proposal to make it more effective?
    >      >      >
    >      >      > For further information, please contact info-politicas at lacnic.net
    >      >      > Kind regards,
    >      >      >
    >      >      > 
    >      >      > --
    >      >      > LACNIC - Registro de Direcciones de Internet para América Latina y Caribe
    >      >      > Rambla Rep. de México 6125, CP 11400
    >      >      > Montevideo-Uruguay
    >      >      > Teléfono: +598 2604 22 22
    >      >      > www.lacnic.net
    >      >      > _______________________________________________
    >      >      > Politicas mailing list
    >      >      > Politicas at lacnic.net
    >      >      > https://mail.lacnic.net/mailman/listinfo/politicas
    >      >      >
    >      >      _______________________________________________
    >      >      Politicas mailing list
    >      >      Politicas at lacnic.net
    >      >      https://mail.lacnic.net/mailman/listinfo/politicas
    >      >
    >      >
    >      >
    >      >
    >      > **********************************************
    >      > IPv4 is over
    >      > Are you ready for the new Internet ?
    >      > http://www.consulintel.es
    >      > The IPv6 Company
    >      >
    >      > This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
    >      >
    >      >
    >      >
    >      > _______________________________________________
    >      > Politicas mailing list
    >      > Politicas at lacnic.net
    >      > https://mail.lacnic.net/mailman/listinfo/politicas
    >      >
    >      _______________________________________________
    >      Politicas mailing list
    >      Politicas at lacnic.net
    >      https://mail.lacnic.net/mailman/listinfo/politicas
    >      
    > 
    > 
    > 
    > **********************************************
    > IPv4 is over
    > Are you ready for the new Internet ?
    > http://www.consulintel.es
    > The IPv6 Company
    > 
    > This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
    > 
    > 
    > 
    > _______________________________________________
    > Politicas mailing list
    > Politicas at lacnic.net
    > https://mail.lacnic.net/mailman/listinfo/politicas
    > 
    _______________________________________________
    Politicas mailing list
    Politicas at lacnic.net
    https://mail.lacnic.net/mailman/listinfo/politicas
    



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.





More information about the Politicas mailing list