[GTER] Anúncio de IP de outro AS
Juliao Braga
juliao at braga.eti.br
Thu Apr 1 20:34:05 -03 2010
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Uma vez, por uma falha involuntária, meu bloco /20 foi publicado via um
ASN que não o meu. Imediatamente, ficou registrado em diversas
ferramentas que utilizo, um possível "prefix hijacking". Foi um bloco
inteiro, nesse caso. Mas as referência indicam que "possível hijacking"
pode ser verificado mesmo quando prefixos maiores não estejam sendo
anunciados pelo seu ASN original.
Estou prestes a distribuir alguns prefixos maiores que o /20 (ex: /23,
/24, etc.) em pelo menos três pontos de interconexões diferentes. Tenho
perguntado aos especialistas e ninguém me contraria em relação a essa
possibilidade.
Se as bases IRR fossem utilizadas de forma sistemática, tudo ficaria
certinho uma vez que a política de roteamento estaria registrada,
incluindo a permissão para que um outro ASN anunciasse um prefixo
originalmente registrado sob meu ASN.
Poderíamos ir mais além, se houvesse flexibilização por parte dos NIRs e
/ou RIRs, permitindo a alocação de ASNs sem blocos de IPv4 e/ou IPv6
alocados. Ou somente IPv6, por exemplo. Haveria um razoável crescimento
de ASes no Brasil, além de permitir otimização no uso do IPv4. Mesmo que
houvesse comercialização desses IPv4s "emprestado" a terceiros. A oferta
seria TÃO GRANDE que não me preocuparia com eventuais aproveitadores de
plantão. E, provavelmente, a proliferação de ASes daria força à
infraestrutura da Internet brasileira.
E, nessa arrumação, o RADB (base principal e centralizadora do IRR)
seria exigência básica.
Pelo sim e pelo não (e, também, porque sei que há redes que não recebem
ou distribuem anúncios se não tiver com política definida no RADB), eu
uso o IRR em todas as possíveis e permitida minúcias. É o caso, por
exemplo, dos prefixos anunciados em diversos pontos de interconexões
(mas, sob o meu ASN) e/ou blocos, derivados, não anunciados. Não
registrando em um IRR espelhado pelo RADB, mais cedo ou mais tarde terá
problemas sem saber de onde estão surgindo.
[]s, Julião
Danton Nunes escreveu:
> On Thu, 1 Apr 2010, A.B. Jr. wrote:
>
>> Aliás, é muito discutível hoje até que ponto é fundamental o registro
>> em um
>> RADB da vida. Parece que funciona mesmo sem ele!
>
> claro que funciona, mas o registro dos prefixos ajuda um bocado na hora
> de criar filtros para mitigar ataques de DDoS. Enfim, é opcional, mas
> não doi e de vez em quando ajuda.
>
>> Portanto, uma resposta curta e simples poderia ser - no problem!
>
> o melhor dos mundos seria o dono desse bloco ter sistema autônomo
> próprio, o que lhe facilitaria na escolha de provedor de serviços e
> permitiria o endereçamento anycast.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iD8DBQFLtS1t0m/vNWbSX14RAvP2AKCxvgBSkeQKtgDnjZL2qnKX6x5URgCeLMot
g2+Rnu8einX6qrQcqWYDskc=
=KtMn
-----END PGP SIGNATURE-----
More information about the gter
mailing list