[GTER] Communities no IX.br

Henrique de Moraes Holschuh hmh at hmh.eng.br
Mon Nov 7 12:09:59 -02 2016


On Fri, 28 Oct 2016, Antonio M. Moreiras wrote:
> Em 27/10/16 23:57, BinaryCrash escreveu:
> Apenas para deixar claro, se alguém não leu o documento com atenção. Tal
> qual está hoje ele não prevê blackhole implementado pelo IX.br, mas dá
> possibilidade dos participantes implementarem.

Correto.  E seria legal recomendar que seja seguidas as RFCs sobre
isso por quem implentar: RFC 7999 (eBGP blackhole community), RFC 6666
(A discard prefix for IPv6).

> Um dos principais problemas é o risco de anúncios falsos. Alguém pedir
> um blackhole para o IP de um terceiro, e isso ser efetivado. Isso vale
> tanto para a implementação no IX, quanto para a implementação nos
> participantes.

Eu imagino que qualquer funcionalidade de blackhole do IX.br viria junto
com o suporte a RPKI, ou seja, numa fase posterior.

Antes disso, seriam recomendações para padronizar um pouco a
funcionalidade de blackhole dos *participantes* do IX.br.

> - se for necessária validação, como seria? se manual, seria
> provavelmente lenta e se esse mesmo cadastro acabar sendo usado para
> filtros mais genéricos (de entrada no IX, ou pelos participantes), isso
> será prejudicial... se automática, como fazê-la?

Teria que ser via RPKI, ou RIR autoritativa (ou seja, do LACNIC).

Se não me engano, DE-CIX usa a RIR do RIPE, que é autoritativa.

> Bases autoritativas como RPKI, ou IRRs ligados diretamente aos RIRs,
> resolvem talvez o problema da validação da origem, mas não do trânsito...

Sim.

Alternativas que resolvam isso [de forma segura] sem RPKI não são de
implementação trivial.

-- 
  Henrique Holschuh



More information about the gter mailing list