[LACNIC/Politicas] Los secuestros BGP constituyen una violación de las políticas - LAC-2019-5

Alejandro Guzman alejog at google.com
Wed Apr 10 10:17:55 -03 2019


Estoy en desacuerdo con esta política porque no aporta nada realmente
implementable y porque crea un proceso complejo, costoso, de subjetivo
resultado y que se sale de las funciones del RIR.

La comparación de LACNIC con un club o un complejo de apartamentos no es
adecuada... no tiene las mismas características. Y aún si lo fuera, el
complejo de apartamentos no sería el que se encargaría de expulsar un
propietario que se metiera en el apartamento del otro... eso le corresponde
a la policía... cosa que LACNIC no es.




On Wed, Apr 10, 2019 at 6:50 AM JORDI PALET MARTINEZ via Politicas <
politicas at lacnic.net> wrote:

>
>
> El 10/4/19 12:37, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 11:12 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
>
>
> El 10/4/19 11:36, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 9:59 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
>
>
> El 10/4/19 10:33, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 8:42 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
> Hola Arturo,
>
>
> El 10/4/19 9:13, "Politicas en nombre de Arturo Servin" <
> politicas-bounces at lacnic.net en nombre de arturo.servin at gmail.com>
> escribió:
>
>     Es una buena propuesta con buenas intenciones pero creo que es
> imposible
>     ponerla en practica.
>
> Porque crees que es imposible ponerla en práctica? Así vemos la forma de
> mejorar la propuesta.
>
>
>
>
>
> Porque para evaluar si es o no BGP hijack/leak requiere de recursos
> humanos y tecnicos que es costoso (en tiempo, esfuerzo y dinero) para
> LACNIC proveer.
>
>
>
> Yo pienso que habrá voluntarios, al igual que los hay para muchas otras
> tareas de la comunidad.
>
>
>
> De acuerdo a la politica se requieren expertos mundiales, como definen
> esos expertos? Van a aceptar trabajar de gratis en posibles N eventos
> durante el año (yo creo que no)?
>
>
>
> Igual que los voluntarios para otras tareas de la comunidad. Si no los
> hubiera voluntarios, los RIRs tienen recursos para ofrecer una compensación
> justa, pero creo que no hay que llegar a ello. La alternativa que se me
> ocurre es que los que reclaman paguen ese coste, y que el mismo se le pueda
> reclamar al causante, aunque sea accidental. Al fin y al cabo, si se
> hiciera vía judicial, lo pagaría igual el causante (aun siendo accidental)
> y sería mas caro.
>
>
>
> Además, esto evitaría falsas denuncias.
>
>
>
> Ojo que esto lo estoy diciendo yo, para que no haya dudas, no es algo que
> hayamos consensuado entre los co-autores. El debate del PDP es para aclarar
> estos temas.
>
>
>
> No creo que eso funcione tampoco, tratar de cobrarle a una organizacion va
> a traer problemas. Pero dejemoslo aparte.
>
>
>
> Si el que quiere poner la denuncia, no paga, no puede ponerla.
>
>
>
> Si el que ha ocasionado el incidente no paga, ahí ya entramos en el impago
> por un servicio.
>
>
>
>
>
>
>
>
>
>
>
> Porque requiere blindar a LACNIC legalmente (no soy abogado asi que los
> detalles no los se) para que al retirar un recurso no haya repercusiones
> legales.
>
>
>
> Ni mas ni menos que para cualquier otro incumplimiento de las políticas
> que pueda ocurrir hoy, o por impago. Eso es parte del ámbito de lo
> estatutos que incluyen el cumplimiento de las políticas y el procedimiento
> de recuperación (7 en el manual de políticas) así como los propios acuerdos
> legales que todos los miembros firman y por tanto aceptan.
>
>
>
> Impago es facil de probar, que se hizo un hijack y se hizo de mala fe no.
>
>
>
> Por eso solo se considera violación si queda perfectamente probado. Una
> forma de ser mas garantista que he comentado (de nuevo pendiente de que los
> co-autores lo aceptemos), es que los 3 expertos sean unánimes en la
> decisión (tanto en el análisis inicial como en la apelación si es el caso –
> dudo que un “hijacker no-accidental” busque apelar …).
>
>
>
> >perfectamente probado
>
>
>
> Nunca podras hacerlo.
>
>
>
> Me basta con que podamos probar algunos casos persistentes, y poco a poco
> ir avanzando como para que sea suficientemente bueno.
>
>
>
>
>
>
>
> Porque puede ser costoso para LACNIC si se remueve una asignacion y se le
> demandar a LACNIC.
>
>
>
> Menos costoso que si un miembro tiene secuestros de sus recursos y LACNIC
> no actúa, ya que parte de sus funciones, según sus estatutos (Articulo 2).
> Lo mismo que los otros RIRs, cada uno en su región.
>
>
>
> La funcion de LACNIC es registrar el recurso (1 y 2 de Articulo 2), los
> otros 3-7 son subjetivos y no creo que no prevenir hijacks los incumpla.
>
>
>
> Discrepo. Si no lo hacen los RIRs, al final llegaremos a regulación y
> tribunales, mucho mas caro, costoso y lento, y perderemos el control desde
> la comunidad.
>
>
>
> No esta en su funcion. No tratemos de ponerle 5 ruedas al auto.
>
>
>
> En la UE el mas probable próximo presidente, ya ha indicado que lo hará …
>
>
>
>
>
>
> Si puedes explicar como el Articulo 2 porque un hijack no hace cumplir a
> LACNIC seria bueno.
>
>
>
> Si lo explique ayer en el email a Ricardo:
>
> ARTICULO 2: (Objeto social) Son sus objetivos: 1. Administrar el espacio
> de direcciones IP y otros recursos asociados en beneficio de la comunidad
> Internet para la región de América Latina y el Caribe (LAC). 2. Proveer
> servicios de registro de direcciones IP, ASN, resolución inversa y sus
> recursos asociados, con el propósito de permitir y facilitar las
> comunicaciones a través de redes informáticas. … 7. Proponer y desarrollar
> las políticas públicas en el área de su competencia.
>
>
>
> También:
>
> Para el cumplimiento de sus objetivos LACNIC podrá: a. organizar todos los
> servicios necesarios para la realización de sus objetivos de administración
> del espacio IP y otros recursos asociados de la región de América Latina y
> el Caribe (LAC);
>
>
>
> Si, la base de datos del whois y otras cosas, pero nada de prevenir o
> investigar el uso de los recursos.
>
>
>
> Tienes que leer completamente los documentos legales. Hay otros apartados
> que (no con estas palabras) obligan a respetar a los demás miembros y al
> propio LACNIC, etc.
>
>
>
>
>
>
> Es fácil que alguien que esta siendo secuestrado acuda al juzgado a
> reclamar la inacción de LACNIC si no se actúa.
>
>
>
> No veo por que.
>
>
>
> Legalmente, porque es responsable “in vigilando”
>
>
>
>
>
>
>
>
>
> Se requiere hacer una proceso muy preciso para poder defender en un
> juzgado como se determino un hijack, como fue y quien lo hizo. Esto cuesta
> mucho en dinero y esfuerzo.
>
>
>
> El mismo que para cualquier peritaje en un juzgado. El mismo si la demanda
> es al contrario (LACNIC no protege que los recursos que me ha asignado,
> realmente los pueda usar sin interrupción y para colmo es otro miembro y no
> le sanciona).
>
>
>
> Claro, para que meter LACNIC en ese problema.
>
>
>
>
>
>
>
>     Además del argumento que LACNIC no es el policia de Internet creo que
> va a
>     ser muy dificil poder comprobar que un secuestro es intencional o
> siquiera
>     probar al 100% que un secuestro realmente sucedió.
>
>
>
> LACNIC su trabajo es registrar recursos numericos de Internet, cualquier
> otra cosa es un extra. En este caso evaluar si un recurso que se asigno se
> uso bien o mal no es una de sus funciones.
>
>
>
>
>
>
> El adjunto no llego!
>
>
>
> Lo puedes ver aqui: https://imgur.com/gallery/mSHi8
>
>
>
>
>     Creo que mejor es usar ese tiempo y ese esfuerzo en implementar RPKI,
>     implementar datos y uso de IRRs y que cada organizacion en Internet
> filtre
>     adecuadamente. Adoptar MANRS puede ser un buen comienzo y en mi
> opinión el
>     mejor camino para resolver el problemas de secuestro de rutas.
>
> Son caminos paralelos y de lo que se trata es de que aquellos casos que
> surjan, especialmente los no-intencionados o clasificados como tales,
> puedan recibir una advertencia y ayuda para adoptar buenas practicas
> (MANRS, RPKI, etc.).
>
>
>
> Pero un camino esta lleno de piedras, bombas, campos minados, armas
> biologicas, etc. Mejor tomamos el más eficiente (por si queda la duda es
> MANRS, IRR, RPKI, etc.) y el que quiera demandar a alguien por daños por un
> hijack que lo haga por los mecanismos legales o que busque
> cambiarlos/crearlos que es donde esto se deberia tratar, y no en las
> politicas de un RIR.
>
>
>
> Esos mecanismos solo serán eficaces cuando el nivel de despliegue supere
> un 99%. Creo que entonces hay que recomendar a la comunidad que demande a
> su RIR cuando se produce el secuestro de los recursos asignados, y el daño
> sería muchísimo mayor.
>
>
>
> Si tienes una referencia que lo explique seria buena, por mientras you
> puedo decir que con que el 15% lo soporte es suficiente.
>
>
>
> En el momento en que el secuestro sea de recursos cuyos tránsitos o peers
> no apliquen estas técnicas, podría no afectar al tercero o cuarto en el
> path, pero si al segundo y a sus clientes. Obviamente 15% es mejor que
> nada, pero no protege a todos, sino solo a los “peers directos” de ese 15%.
>
>
>
> Mi punto es que reclamas que el 99% de Internet tiene que adoptar RPKI,
> por lo pronto es tu opinion y no esta basada en ningun estudio. Lo que yo
> solicitaba es el fundamento del 99%, si no podemos inventar cualquier
> numero.
>
>
>
> Creo que no es el tema entrar en batalla de cifras. La idea es que si el
> primer punto de transito no cumple con MANRS, RPKI, etc., un secuestro de
> uno de sus clientes puede efectuarse sobre los demás clientes.
>
>
>
>
>
>
> En la misma linea, a menos que los 5 RIRs tengan esta politica tampoco
> serviria de mucho. Por ejemplo puedo usar un ASN en el RIR A (que no tiene
> esta politica) para hacer hijacks de IPs de ISPs en LACNIC y LACNIC no
> puede hacer absolutamente nada en practica (puede hacer todo el analisis
> que quiera pero ese esfuerzo es inutil.)
>
>
>
> La propuesta esta haciéndose en todos los RIRs, aunque al ritmo que
> podemos los autores, etc. De todos modos, tal y como esta definida, si
> ocurre en LACNIC (que es lo importante en esta discusión), con miembros de
> LACNIC, resuelve la situación. Si lo aceptan algunos RIRs y otros no,
> obviamente, “la calidad” de las regiones que no lo aceptan “disminuye” y
> cada uno tomará sus decisiones, igual que pasa con el conflicto del TAL de
> ARIN, etc. …
>
>
>
>
> Mejor invertimos el tiempo en algo que sea mas eficiente.
>
>
>
>
>
>
> He puesto numerosos ejemplos ayer en un correo contestando a Ricardo. Aquí
> va otro. Un club deportivo cede “espacio/tiempo” de utilización de sus
> recursos a los socios. Ejemplo, el socio “A” dispone de la pista de tenis
> cada lunes de 20:00-21:00. El socio “B” llega antes y la ocupa y no quiere
> salir y esto lo repite una y otra vez, tanto contra el socio “A” como
> contra otros (socios “C”, “D”, y “E”). La policía no podrá actuar
> seguramente (porque no esta clasificado como delito y por tanto se requiere
> acudir al juzgado) o no servirá porque cuando lleguen ya se ha terminado la
> hora de uso. Hay dos vías de resolución:
> Dado que el club tiene unos estatutos que incluyen normas y determina
> (bien el staff, o bien mediante árbitros externos), que eso esta ocurriendo
> repetidamente en contra de las normas, expulsa al socio “B” siguiendo el
> procedimiento y la junta directiva lo ratifica a la vista del informe de
> los árbitros. El socio “B” acude a los tribunales, y SI o SI va a perder, y
> pagará las costas.
> El club no actúa. El socio “A” o el “C” o el “D” o varios en demanda
> conjunta, acuden a los tribunales y SI o SI se les dará la razón y el club
> pagará las costas.
>
>
>
> Tu ejemplo no funciona. En el caso de LACNIC su funcion es solo decir
> quien usa la cancha, no verificar quien la usa la usa bien.
>
>
>
> Me das la razón!, la cancha la puede usar “A”, no “B” !
>
>
>
> Si, B no tiene derecho de uso, pero el club (LACNIC) no puede hacer nada.
> Su funcion es mantener un registro, al igual que LACNIC, no de obligar a
> que se cumpla el registro o investigar si alguien uso la cancha cuando no
> le tocaba. Tu te basas que el estatuto del club permite investigar faltas,
> en el caso de LACNIC no es asi. Por ello tu ejemplo no funciona.
>
>
>
> Si que lo permite el de LACNIC, lo indica la sección 7 del manual de
> políticas y los estatutos.
>
>
>
>
>
>
>
>
>
>
> Independientemente de todo esto, si has leído la propuesta en NINGUN caso
> hemos dicho que se expulse al secuestrador, el titulo y la introducción son
> bien claras, la política solo pretende explicitar que usar los recursos de
> otros es una violación de las políticas.
>
>
>
> Pero tiene otras repercusiones:
>
>
>
> >Como medida preventiva, no se podrá transferir ni alterar la titularidad
> de los recursos de las partes investigadas hasta la ratificación o archivo
> del caso.
>
>
>
> Si no alcanzamos consenso en ese punto se puede eliminar, pero creo que es
> muy razonable y garantista. Si alguien esta a punto de transferir recursos,
> es raro que NO sea un “hijacker”. Si un hijacker quiere burlar la política,
> obviamente intentará transferir los recursos tras un secuestro.
>
>
>
> Ademas del extra trabajo para todo mundo para analizar un evento que al
> final no tiene ninguna consecuencia.
>
>
>
> En la comunidad hacemos esto continuamente de forma voluntaria, pero
> insisto, si hay que pagarlo para reclamar, me parece justo y mas barato y
> eficaz que pagar en un juzgado.
>
>
>
> Si lo que quieres es un cuerpo independiente para analizar hijacks esta
> bien, pero no es una politica lo que se requiere.
>
>
>
> Se trata de que la política indique que es contrario a lo que los miembros
> pueden hacer, igual que es contrario asignarse recursos que no te
> correspondes o no justificas la necesidad.
>
>
>
> Saludos
>
> as
>
>
>
>
>
>
> Saludos
>
> as
>
>
>
>
>
>
>
>  Saludos,
>
> as
>
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>


-- 

Alejandro Guzman | Interconnection Director  | alejog at google.com | +1 (650)
4268561

If you get an email from me outside working hours it is not because I am
always on or expect an immediate response from you, it is because work
flexibility is key for me. Evening and weekend emails are a sign that I
prioritized personal obligations during the week.


More information about the Politicas mailing list