[GTER] Laboratório RPKI

Josivan Barbosa josivan.barbosa01 at gmail.com
Thu Nov 6 12:11:09 -02 2014


Enquanto isso, o AS 201640 anda sequestrando prefixos...

Em 30 de outubro de 2014 09:03, Frederico A C Neves <fneves at registro.br>
escreveu:

> Tiago,
>
> On Thu, Oct 30, 2014 at 02:23:32AM -0200, Tiago Arnold wrote:
> > 2014-10-30 1:20 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> >
> > > RPKI não é um consenso, nem muito menos ROVER; além disso, soluções que
> > > para o cenário do ARIN e do RIPE são ameaças mais comum como sequestro
> de
> > > prefixos, por aqui é mais comum alguém melar o path preservando o
> prefixo
> > > original, por exemplo se tornando trânsito de todo mundo no PTT. Então
> > > possivelmente algo de path-validation fosse mais interessante que
> > > origin-validation.
> > >
> > No meu caso a implantação do RPKI tem relação com garantia de maior
> > segurança para hospedagem, ainda não confirmada, de um serviço de
> > armazenamento de bitcoins. Houve relatos relacionados a sequestros e a
> > fraqueza de um protocolo utilizado pelo bitcoin e o contratante está
> > colocando como requisito. Vou dar uma olhada no paper do ROVER para ver
> > como funciona.
>
> Quem colocou RPKI como requisito da solução, mirando a mitigação de
> possíveis sequestros de prefixos, não entende ou foi induzido ao erro
> em relação as garantias que esta tecnologia fornece.
>
> RPKI em adoção parcial fornece a possibilidade de se validar a origem
> de prefixo, na prática como se fosse um atributo a mais no algoritmo
> de seleção de rotas. Cenários com ataques ao path não são mitigados.
>
> > Espero que o pessoal do NIC.br possa responder as questões colocadas pelo
> > Eduardo. Não sei como criar o ROA, tem um email hostmaster at lacnic.net na
> > pagina inicial do sistema mas não sei se sendo AS já é o suficiente para
> > solicitação de usuário e senha, tenho a impressão de estar saltando a
> > hierarquia.
>
> O LACNIC não emite ROAs para recursos os quais não administra.
>
> Estamos acompanhando esta e outras tecnologias para a melhora da
> segurança do roteamento mas por hora não há nada de novo no horizonte
> que possa efetivamente mitigar o sequestros de prefixos. A solução
> prática existente hoje são os serviços de monitoração. [1]
>
> Fred
>
> [1] http://goo.gl/huvygF
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att

Josivan Barbosa



More information about the gter mailing list