[GTER] Laboratório RPKI

[Frederico A C Neves]

Tiago,

On Thu, Oct 30, 2014 at 02:23:32AM -0200, Tiago Arnold wrote:
> 2014-10-30 1:20 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> 
> > RPKI não é um consenso, nem muito menos ROVER; além disso, soluções que
> > para o cenário do ARIN e do RIPE são ameaças mais comum como sequestro de
> > prefixos, por aqui é mais comum alguém melar o path preservando o prefixo
> > original, por exemplo se tornando trânsito de todo mundo no PTT. Então
> > possivelmente algo de path-validation fosse mais interessante que
> > origin-validation.
> >
> No meu caso a implantação do RPKI tem relação com garantia de maior
> segurança para hospedagem, ainda não confirmada, de um serviço de
> armazenamento de bitcoins. Houve relatos relacionados a sequestros e a
> fraqueza de um protocolo utilizado pelo bitcoin e o contratante está
> colocando como requisito. Vou dar uma olhada no paper do ROVER para ver
> como funciona.

Quem colocou RPKI como requisito da solução, mirando a mitigação de
possíveis sequestros de prefixos, não entende ou foi induzido ao erro
em relação as garantias que esta tecnologia fornece.

RPKI em adoção parcial fornece a possibilidade de se validar a origem
de prefixo, na prática como se fosse um atributo a mais no algoritmo
de seleção de rotas. Cenários com ataques ao path não são mitigados.

> Espero que o pessoal do NIC.br possa responder as questões colocadas pelo
> Eduardo. Não sei como criar o ROA, tem um email hostmaster at lacnic.net na
> pagina inicial do sistema mas não sei se sendo AS já é o suficiente para
> solicitação de usuário e senha, tenho a impressão de estar saltando a
> hierarquia.

O LACNIC não emite ROAs para recursos os quais não administra.

Estamos acompanhando esta e outras tecnologias para a melhora da
segurança do roteamento mas por hora não há nada de novo no horizonte
que possa efetivamente mitigar o sequestros de prefixos. A solução
prática existente hoje são os serviços de monitoração. [1]

Fred

[1] http://goo.gl/huvygF