[GTER] Laboratório RPKI

Rubens Kuhl rubensk at gmail.com
Thu Nov 6 15:47:43 -02 2014


http://www.routingmanifesto.org/manrs/
(atualizado estes dias)

Cita tanto IRR quanto RPKI para atingir o objetivo de que a informação de
roteamento esteja publicada; notar que não há um objetivo de bloqueio
automático.


Rubens



2014-11-06 10:11 GMT-04:00 Josivan Barbosa <josivan.barbosa01 at gmail.com>:

> Enquanto isso, o AS 201640 anda sequestrando prefixos...
>
> Em 30 de outubro de 2014 09:03, Frederico A C Neves <fneves at registro.br>
> escreveu:
>
> > Tiago,
> >
> > On Thu, Oct 30, 2014 at 02:23:32AM -0200, Tiago Arnold wrote:
> > > 2014-10-30 1:20 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> > >
> > > > RPKI não é um consenso, nem muito menos ROVER; além disso, soluções
> que
> > > > para o cenário do ARIN e do RIPE são ameaças mais comum como
> sequestro
> > de
> > > > prefixos, por aqui é mais comum alguém melar o path preservando o
> > prefixo
> > > > original, por exemplo se tornando trânsito de todo mundo no PTT.
> Então
> > > > possivelmente algo de path-validation fosse mais interessante que
> > > > origin-validation.
> > > >
> > > No meu caso a implantação do RPKI tem relação com garantia de maior
> > > segurança para hospedagem, ainda não confirmada, de um serviço de
> > > armazenamento de bitcoins. Houve relatos relacionados a sequestros e a
> > > fraqueza de um protocolo utilizado pelo bitcoin e o contratante está
> > > colocando como requisito. Vou dar uma olhada no paper do ROVER para ver
> > > como funciona.
> >
> > Quem colocou RPKI como requisito da solução, mirando a mitigação de
> > possíveis sequestros de prefixos, não entende ou foi induzido ao erro
> > em relação as garantias que esta tecnologia fornece.
> >
> > RPKI em adoção parcial fornece a possibilidade de se validar a origem
> > de prefixo, na prática como se fosse um atributo a mais no algoritmo
> > de seleção de rotas. Cenários com ataques ao path não são mitigados.
> >
> > > Espero que o pessoal do NIC.br possa responder as questões colocadas
> pelo
> > > Eduardo. Não sei como criar o ROA, tem um email hostmaster at lacnic.net
> na
> > > pagina inicial do sistema mas não sei se sendo AS já é o suficiente
> para
> > > solicitação de usuário e senha, tenho a impressão de estar saltando a
> > > hierarquia.
> >
> > O LACNIC não emite ROAs para recursos os quais não administra.
> >
> > Estamos acompanhando esta e outras tecnologias para a melhora da
> > segurança do roteamento mas por hora não há nada de novo no horizonte
> > que possa efetivamente mitigar o sequestros de prefixos. A solução
> > prática existente hoje são os serviços de monitoração. [1]
> >
> > Fred
> >
> > [1] http://goo.gl/huvygF
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Att
>
> Josivan Barbosa
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list