[GTER] Communities no IX.br
Henrique de Moraes Holschuh
hmh at hmh.eng.br
Mon Nov 7 12:09:59 -02 2016
On Fri, 28 Oct 2016, Antonio M. Moreiras wrote:
> Em 27/10/16 23:57, BinaryCrash escreveu:
> Apenas para deixar claro, se alguém não leu o documento com atenção. Tal
> qual está hoje ele não prevê blackhole implementado pelo IX.br, mas dá
> possibilidade dos participantes implementarem.
Correto. E seria legal recomendar que seja seguidas as RFCs sobre
isso por quem implentar: RFC 7999 (eBGP blackhole community), RFC 6666
(A discard prefix for IPv6).
> Um dos principais problemas é o risco de anúncios falsos. Alguém pedir
> um blackhole para o IP de um terceiro, e isso ser efetivado. Isso vale
> tanto para a implementação no IX, quanto para a implementação nos
> participantes.
Eu imagino que qualquer funcionalidade de blackhole do IX.br viria junto
com o suporte a RPKI, ou seja, numa fase posterior.
Antes disso, seriam recomendações para padronizar um pouco a
funcionalidade de blackhole dos *participantes* do IX.br.
> - se for necessária validação, como seria? se manual, seria
> provavelmente lenta e se esse mesmo cadastro acabar sendo usado para
> filtros mais genéricos (de entrada no IX, ou pelos participantes), isso
> será prejudicial... se automática, como fazê-la?
Teria que ser via RPKI, ou RIR autoritativa (ou seja, do LACNIC).
Se não me engano, DE-CIX usa a RIR do RIPE, que é autoritativa.
> Bases autoritativas como RPKI, ou IRRs ligados diretamente aos RIRs,
> resolvem talvez o problema da validação da origem, mas não do trânsito...
Sim.
Alternativas que resolvam isso [de forma segura] sem RPKI não são de
implementação trivial.
--
Henrique Holschuh
More information about the gter
mailing list