[LACNIC/Politicas] Los secuestros BGP constituyen una violación de las políticas - LAC-2019-5

Arturo Servin arturo.servin at gmail.com
Wed Apr 10 06:36:38 -03 2019


On Wed, Apr 10, 2019 at 9:59 AM JORDI PALET MARTINEZ via Politicas <
politicas at lacnic.net> wrote:

>
>
> El 10/4/19 10:33, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 8:42 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
> Hola Arturo,
>
>
> El 10/4/19 9:13, "Politicas en nombre de Arturo Servin" <
> politicas-bounces at lacnic.net en nombre de arturo.servin at gmail.com>
> escribió:
>
>     Es una buena propuesta con buenas intenciones pero creo que es
> imposible
>     ponerla en practica.
>
> Porque crees que es imposible ponerla en práctica? Así vemos la forma de
> mejorar la propuesta.
>
>
>
>
>
> Porque para evaluar si es o no BGP hijack/leak requiere de recursos
> humanos y tecnicos que es costoso (en tiempo, esfuerzo y dinero) para
> LACNIC proveer.
>
>
>
> Yo pienso que habrá voluntarios, al igual que los hay para muchas otras
> tareas de la comunidad.
>

De acuerdo a la politica se requieren expertos mundiales, como definen esos
expertos? Van a aceptar trabajar de gratis en posibles N eventos durante el
año (yo creo que no)?


>
>
>
> Porque requiere blindar a LACNIC legalmente (no soy abogado asi que los
> detalles no los se) para que al retirar un recurso no haya repercusiones
> legales.
>
>
>
> Ni mas ni menos que para cualquier otro incumplimiento de las políticas
> que pueda ocurrir hoy, o por impago. Eso es parte del ámbito de lo
> estatutos que incluyen el cumplimiento de las políticas y el procedimiento
> de recuperación (7 en el manual de políticas) así como los propios acuerdos
> legales que todos los miembros firman y por tanto aceptan.
>

Impago es facil de probar, que se hizo un hijack y se hizo de mala fe no.


>
>
>
> Porque puede ser costoso para LACNIC si se remueve una asignacion y se le
> demandar a LACNIC.
>
>
>
> Menos costoso que si un miembro tiene secuestros de sus recursos y LACNIC
> no actúa, ya que parte de sus funciones, según sus estatutos (Articulo 2).
> Lo mismo que los otros RIRs, cada uno en su región.
>

La funcion de LACNIC es registrar el recurso (1 y 2 de Articulo 2), los
otros 3-7 son subjetivos y no creo que no prevenir hijacks los incumpla.

Si puedes explicar como el Articulo 2 porque un hijack no hace cumplir a
LACNIC seria bueno.



>
>
>
> Se requiere hacer una proceso muy preciso para poder defender en un
> juzgado como se determino un hijack, como fue y quien lo hizo. Esto cuesta
> mucho en dinero y esfuerzo.
>
>
>
> El mismo que para cualquier peritaje en un juzgado. El mismo si la demanda
> es al contrario (LACNIC no protege que los recursos que me ha asignado,
> realmente los pueda usar sin interrupción y para colmo es otro miembro y no
> le sanciona).
>

Claro, para que meter LACNIC en ese problema.


>
>
>
>
>     Además del argumento que LACNIC no es el policia de Internet creo que
> va a
>     ser muy dificil poder comprobar que un secuestro es intencional o
> siquiera
>     probar al 100% que un secuestro realmente sucedió.
>
>
>
> LACNIC su trabajo es registrar recursos numericos de Internet, cualquier
> otra cosa es un extra. En este caso evaluar si un recurso que se asigno se
> uso bien o mal no es una de sus funciones.
>
>
>
>
>
>
> El adjunto no llego!
>
>
>
> Lo puedes ver aqui: https://imgur.com/gallery/mSHi8
>
>
>
>
>     Creo que mejor es usar ese tiempo y ese esfuerzo en implementar RPKI,
>     implementar datos y uso de IRRs y que cada organizacion en Internet
> filtre
>     adecuadamente. Adoptar MANRS puede ser un buen comienzo y en mi
> opinión el
>     mejor camino para resolver el problemas de secuestro de rutas.
>
> Son caminos paralelos y de lo que se trata es de que aquellos casos que
> surjan, especialmente los no-intencionados o clasificados como tales,
> puedan recibir una advertencia y ayuda para adoptar buenas practicas
> (MANRS, RPKI, etc.).
>
>
>
> Pero un camino esta lleno de piedras, bombas, campos minados, armas
> biologicas, etc. Mejor tomamos el más eficiente (por si queda la duda es
> MANRS, IRR, RPKI, etc.) y el que quiera demandar a alguien por daños por un
> hijack que lo haga por los mecanismos legales o que busque
> cambiarlos/crearlos que es donde esto se deberia tratar, y no en las
> politicas de un RIR.
>
>
>
> Esos mecanismos solo serán eficaces cuando el nivel de despliegue supere
> un 99%. Creo que entonces hay que recomendar a la comunidad que demande a
> su RIR cuando se produce el secuestro de los recursos asignados, y el daño
> sería muchísimo mayor.
>

Si tienes una referencia que lo explique seria buena, por mientras you
puedo decir que con que el 15% lo soporte es suficiente.

En la misma linea, a menos que los 5 RIRs tengan esta politica tampoco
serviria de mucho. Por ejemplo puedo usar un ASN en el RIR A (que no tiene
esta politica) para hacer hijacks de IPs de ISPs en LACNIC y LACNIC no
puede hacer absolutamente nada en practica (puede hacer todo el analisis
que quiera pero ese esfuerzo es inutil.)


>
>
>
> He puesto numerosos ejemplos ayer en un correo contestando a Ricardo. Aquí
> va otro. Un club deportivo cede “espacio/tiempo” de utilización de sus
> recursos a los socios. Ejemplo, el socio “A” dispone de la pista de tenis
> cada lunes de 20:00-21:00. El socio “B” llega antes y la ocupa y no quiere
> salir y esto lo repite una y otra vez, tanto contra el socio “A” como
> contra otros (socios “C”, “D”, y “E”). La policía no podrá actuar
> seguramente (porque no esta clasificado como delito y por tanto se requiere
> acudir al juzgado) o no servirá porque cuando lleguen ya se ha terminado la
> hora de uso. Hay dos vías de resolución:
> Dado que el club tiene unos estatutos que incluyen normas y determina
> (bien el staff, o bien mediante árbitros externos), que eso esta ocurriendo
> repetidamente en contra de las normas, expulsa al socio “B” siguiendo el
> procedimiento y la junta directiva lo ratifica a la vista del informe de
> los árbitros. El socio “B” acude a los tribunales, y SI o SI va a perder, y
> pagará las costas.
> El club no actúa. El socio “A” o el “C” o el “D” o varios en demanda
> conjunta, acuden a los tribunales y SI o SI se les dará la razón y el club
> pagará las costas.
>

Tu ejemplo no funciona. En el caso de LACNIC su funcion es solo decir quien
usa la cancha, no verificar quien la usa la usa bien.



>
>
> Independientemente de todo esto, si has leído la propuesta en NINGUN caso
> hemos dicho que se expulse al secuestrador, el titulo y la introducción son
> bien claras, la política solo pretende explicitar que usar los recursos de
> otros es una violación de las políticas.
>
>
Pero tiene otras repercusiones:

>Como medida preventiva, no se podrá transferir ni alterar la titularidad
de los recursos de las partes investigadas hasta la ratificación o archivo
del caso.

Ademas del extra trabajo para todo mundo para analizar un evento que al
final no tiene ninguna consecuencia.

Saludos
as



>
>
>  Saludos,
>
> as
>
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>


More information about the Politicas mailing list