[LACNIC/Politicas] Nuevo análisis de impacto - LAC-2020-10 v2: Facultar a receptores de bloques delegados para firmar ROA.

Fernando Frediani fhfrediani at gmail.com
Wed May 11 18:37:47 -03 2022 

Hola Hernán
Gracias por la respuesta.

Hagamos algunos ejercicios con respecto a esta propuesta para el 
escenario donde podría aplicarse. Ver más a continuación:

On 11/05/2022 10:38, Hernan Moguilevsky wrote:
> Hola Fernando,
>
> Este punto ya había sido comentado en la versión anterior.
>
> Alguien con un bloque delegado menor a /24 podrá firmarlo, aunque en 
> la práctica no tenga utilidad.
> Y esta propuesta quizás no lo beneficia, pero no lo perjudica tampoco. 
> Por favor indícame si ves algún problema que yo no veo.
>
> Con respecto al caso de bloques /24 o mayores, las delegaciones están 
> permitidas y esta propuesta sólo busca agilizar el anuncio de dichos 
> bloques por el receptor, y mejorar la seguridad de Internet para todos.

Están permitidas, pero es necesario pensar en qué casos se realizan y 
que están en concordancia con lo que se puede hacer para evaluar el uso 
práctico de esta propuesta de cambio.

- Si, por ejemplo, una CDN le pide a otro ASN que anuncie parte de sus 
bloques *que se usarán exclusivamente* para su propio uso, la propia CDN 
podría firmar el ROA diciendo que ese otro ASN está autorizado para 
anunciar ese bloque. Además de poder hacer esto directamente, tiene la 
capacidad técnica para hacerlo con bloques anunciados directamente con 
su propio ASN o el de un tercero.

- Si un proveedor más grande asigna un bloque igual o mayor a /24 
enrutado a otro proveedor más pequeño como parte de un servicio de 
conectividad, se espera que este mismo proveedor más grande firme los 
ROA no solo para ese bloque sino para todos los demás, no requiriendo el 
proveedor menor necesita firmar el ROA. En un escenario en el que el 
bloque se enruta del proveedor más grande al más pequeño, no sirve de 
mucho que el proveedor más pequeño firme el ROA, ya que será necesario 
usar el mismo ASN del proveedor más grande en el ROA además del los 
anuncios de ese bloque deben anunciarse específicamente con el mismo 
tamaño que se está delegando y necesita coordinación entre los dos, un 
trabajo que probablemente será lo mismo o mas grande que simplemente 
hacer que el proveedor más grande firme estos ROA directamente.

La hipótesis donde esto sería necesario es cuando el proveedor más 
grande asigna este bloque al más pequeño y el más pequeño comienza a 
anunciar este bloque a Internet directamente con su ASN y usarlo como si 
fuera propio. Sin embargo, en este caso, estamos entrando en territorio 
peligroso y es importante entender por qué el proveedor más grande está 
asignando ese bloque para que el proveedor más pequeño pueda anunciar si 
el proveedor más pequeño puede recibir ese bloque directamente del RIR. 
¿Sería un arrendamiento o un préstamo? Si es así, no se puede facilitar.

- La hipótesis de bloques más pequeños que /24 enrutados al receptor 
menor no se puede hacer bajo ninguna circunstancia en el sentido de 
proteger esa subasignación con RPKI porque si el proveedor más grande 
subasigna ese /26 como parte de un /22 anunciado para Internet para que 
el receptor firme un ROA para ese /26, sería necesario que el anuncio lo 
hiciera *el proveedor más grande* como un /26, lo que difícilmente será 
el caso.
Incluso considerando lo que dice Carlos acerca de que esto no es una 
ley, parece muy difícil en la práctica e incluso si algún día cambia, 
todavía se necesitaría el originador del anuncio, en el caso de que el 
proveedor más grande anuncie en ese tamaño, lo que muy probablemente no 
lo hará porque ya es anunciado como parte de un bloque más grande, por 
ejemplo un /22.

Tal vez algunas personas estén entendiendo esta propuesta como un 
facilitador para que las empresas más pequeñas anuncien directamente 
estas subasignaciones (solo mayores que /24 hoy) y puedan firmar sus ROA 
directamente, pero esto no es algo que suceda tan fácilmente dentro de 
las reglas, por lo que estamos hablando de varias empresas más pequeñas 
casos y que en la práctica lamentablemente no parece que vaya a mejorar 
la adopción de RPKI y que seguirá dependiendo en gran medida de la firma 
del titular del recurso, ya sea para publicitar desde su propio ASN o 
desde un ASN de terceros que sirva para su uso.

Entonces, el único uso mas práctico o posible que veo son aquellas 
organizaciones que no tienen su propio ASN y dependen de otra 
organización y ASN para anunciar sus bloques en Internet, de esa manera 
podrían firmar su propio ROA sin depender de la empresa que hace el anuncio.

Fernando

>
> Saludos
> HM
>
> On 04/05/2022 13:54, Fernando Frediani wrote:
>> Hola Hernán y todos.
>>
>> Siguiendo con esta discusión posterior al FPP, pensé un poco más en 
>> la parte práctica y de hecho, debido a la limitación operativa de no 
>> poder anunciar un bloques menores a /24, si un receptor firma un ROA 
>> para, por ejemplo, un bloque /26 este anuncio no llegaría a Internet 
>> y por lo tanto seguiría como mínimo como Unknown.
>> Por lo tanto, para los usuarios más pequeños que son la mayoría de 
>> los receptores debido al tamaño de los bloques menores, no tendrá 
>> ningún efecto práctico.
>>
>> Por otro lado, las asignaciones de bloques mayores de /24 requieren 
>> una atención especial. En teoría, un bloque no debería asignarse de 
>> un titular a otro para que pueda anunciarlo desde su propio ASN *y 
>> utilizarlo exclusivamente para sí mismo como si lo hubiera recibido 
>> del RIR*.
>> El único uso válido que es en cantidad mucho menor es cuando un 
>> titular de recursos necesita que otra organización (y otro ASN) 
>> anuncie sus recursos, pero *el uso sigue siendo para el uso exclusivo 
>> del titular de los recursos* según lo justificado (por ejemplo, cómo 
>> funcionan algunos CDNs, o organizaciones que han optado por no 
>> recibir la numeración ASN y necesitan que su proveedor lo haga).
>>
>> Saludos
>> Fernando Frediani
>>
>> On 09/02/2022 15:54, Franco cabrera wrote:
>>> Estimados miembros de la lista,
>>>
>>> Queremos informarles que ya se encuentra disponible el análisis de 
>>> impacto de la siguiente propuesta de política:
>>>
>>> LAC-2020-10 v2: Facultar a receptores de bloques delegados para 
>>> firmar ROA.
>>> https://politicas.lacnic.net/politicas/detail/id/LAC-2020-10/language/sp 
>>>
>>>
>>> Saludos cordiales,
>>>
>>> Franco Cabrera
>>>
>>> Asistente de Políticas
>>> Policy Assistant
>>>
>>> www.lacnic.net
>>> Latin American and Caribbean Internet Addresses Registry
>>>
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>>> Desuscribirse/Descadastre-se/Unsubscribe: 
>>> https://mail.lacnic.net/mailman/options/politicas
>>>
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
>> Desuscribirse/Descadastre-se/Unsubscribe: 
>> https://mail.lacnic.net/mailman/options/politicas
>>
>

More information about the Politicas mailing list