[GTER] Usar AS alheio-uma dúvida.
IPTelligent SysOp
sysop at iptelligent.com
Thu Aug 12 18:30:46 -03 2010
Marlon,
Um AS é exatamente um sistema que tem política de roteamento própria. Se
vocês têm uma política de roteamento diferente da do(s) uplink(s), então
vocês mesmos são classificados como AS e podem obter um número das
autoridades de registro, desde que consiga provar essa necessidade. Ela
comumente é provada através de se ter dois links com Ases distintos (ou com
um Exchange Point/PTT) e se utiliza BGP.
Um AS pode ter um bloco de Ips próprio (desde que se submeta às regras de
mínimo para requisitar, que foram postadas há poucas horas atrás na lista,
parece que no LACNIC agora é um /22), ou pode ter um bloco de Ips designado
por um ou mais dos seus uplinks. Neste caso, o bloco pode ser anunciado por
seu AS da maneira que vocês acharem melhor (para todo mundo, internamente,
externamente, seletivamente, conforme queiram); sendo que o seu uplink vai
anunciá-lo como eles bem entenderem (a menos que você peça para eles fazerem
algo no roteador DELES para selecionar alguns prefixos; ou então pedir a
eles que possam aceitar anúncios de subprefixos menores do que os que eles
lhe atribuíram, de modo que você só possa anunciar para eles alguns
prefixos, enquanto anuncia outros para o outro ISP). O prefixo de menor
tamanho (mais específico) sempre ganha no roteamento BGP; um mínimo aceito
hoje em dia para se anunciar é um /24.
O spoofing de blocos de IP foi uma realidade há alguns anos atrás (caso
clássico do Youtube na Índia, se não me falha a memória). Hoje em dia, os
carriers sérios (Tier 1s e a maioria dos Tier 2s) faz filtragem de seus
anúncios BGP, só aceitando aqueles que estejam batendo em um ou mais IRRs
(Routing Registry) - RADB, ALTDB, SAVVIS, ARIN, RIPE, que é uma base de
dados de políticas de roteamento de blocos de IP a partir de seus Ases
autorizados. Normalmente hoje em dia, o carrier para anunciar um bloco de IP
que não é dele, vai solicitar ao ISP detentor do bloco original junto ao RIR
(no caso, LACNIC/Registro.br) uma carta de autorização (LOA - Letter of
Authorization) deste antes, para poder anunciar prefixos que não são seus.
De qualquer forma, no Whois deve constar o detentor final daquele bloco de
endereços (via reallocation se for ISP, ou via reassignment se for usuário
final).
Se eu fosse você, e estivesse dentro dos mínimos necessários, pediria uma
alocação diretamente, para evitar renumerar depois quando vocês decidirem
pedir o bloco próprio de IPs.
[]s
Rafael Cresci
-----Original Message-----
From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] On
Behalf Of MARLON BORBA
Sent: Thursday, August 12, 2010 3:30 PM
To: gter at eng.registro.br
Subject: [GTER] Usar AS alheio-uma dúvida.
Srs.,
Suponhamos, por um momento, que a Justiça Federal pretenda contratar para a
sua Infovia um serviço de Internet que seja compartilhado pela totalidade
dos Tribunais integrantes. Suponhamos ainda que o Edital exija do fornecedor
a designação de um bloco de endereços IP em quantidade suficiente para
atender a esses Tribunais (ou seja, esses endereços não serão próprios -- a
JF não será ainda um AS).
Vamos supor, ainda mais, que a Justiça Federal, com essa designação de bloco
IP já associado a um ASN de terceiro, se "pendure" sob o ASN de uma outra
instituição. Pelas minhas pesquisas é admissível do ponto de vista técnico,
mas... e no que se refere à administração desse AS e à segurança (em
particular a identificação do responsável pelo bloco de endereços)? A
atitude correta não seria ter seu próprio bloco de endereços IP e um ASN
especialmente designado? Ao nos colocarmos sob o ASN alheio não teríamos
forçosamente de nos submeter às poíticas de roteamento desse AS?
Gostaria de entender bem essa questão, que ainda não me está clara.
--
Abraços,
Marlon Borba, CISSP, APC DataCenter Associate Técnico Judiciário · Segurança
da Informação
IPv6 Evangelist · Moreq-Jus Evangelist
Comissão Local de Resposta a Incidentes - CLRI TRF 3 Região
(11) 3012-2030 (VoIP)
--
Follow me on Twitter!
twitter.com/mborbanovo
--
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list