[GTER] Solicitação de Comentários à Comunidade Técnica da Internet - Programa por uma Internet Segura
Rubens Kuhl
rubensk at gmail.com
Sun May 6 22:36:14 -03 2018
Gilberto,
Alguns comentários em caráter pessoal que não refletem a opinião do meu
empregador:
Ação 1: Nada a comentar
Ação 2: Sugiro aumentar o escopo dos prefixos filtrados para os dos
root-servers e dos clusters anycast do .br, nos AS não-stub; nos AS stub, o
que inclui os clusters anycast do .br, o filtro já vai permitir apenas o
espaço alocado para esses AS.
Ação 3: Será que não vai ser necessário aceitar 23456 caso algum AS path
tenha uma combinação de roteadores sem e com suporte a AS 32 bits ? Uma
alternativa seria atualizar a documentação de que esse suporte é um
requisito tanto para o AS membro quanto para seus downstreams. Ainda na
ação 3, talvez colocar um exemplo mostrando que o anúncio será inteiramente
rejeitado, e não apenas o AS bogon suprimido. Apesar do texto estar claro,
como há equipamentos com essa opção, um exemplo pode ajudar a não permitir
dúvida.
Ação 4: Talvez incluir as grandes Web-Scale na mesma lista, como o Google,
Netflix, Facebook, Akamai ?
Ação 5: Provavelmente a de maior impacto na questão.
Ação 6:
- Na validação RDAP, considerar o 1o. ASN do AS Path independente do AS ser
ou não do IX.br. Isso permitirá garantir consistência do anúncio, mesmo
antes de se implementar validação RPKI. Não fazer essa validação para
AS-Stub brasileiro para maior performance.
- Na validação IRR, considerar suportar não apenas bases RPSLng como TC,
RADB e RIPE, mas também RPSL como o Registro.br.
- Ainda na validação IRR, ela pode ser opcional até que ocorra um episódio
de hijack naquele membro; mas a partir de então, mandatória.
- Se a rota estiver com RPKI válido, encaminhar mesmo que esteja com RDAP
inválido. Isso permite que acordos legítimos para anúncio de um bloco por
outro AS sejam reconhecidos.
Ação 7: Essencial para o sucesso da iniciativa.
Ação 8: Esta é uma análise potencialmente complexa do grafo da DFZ;
sugestão é dividir essa ação em entregáveis menores. Por exemplo, começar
apenas com alertas para membros de que seu AS está no importação IRR (ação
6) de outro ou apareceu no anúncio BGP de outro, e caminhar em prazo maior
para validações mais preventivas.
Att.,
Rubens
2018-05-04 14:08 GMT-03:00 Gilberto Zorello <gzorello at nic.br>:
> Boa tarde,
>
> no IX Fórum em dezembro de 2017 foi realizado o lançamento de um
> programa para uma Internet mais segura [1]. Há uma série de ações
> simples que se implementadas por todos os operadores de redes podem
> melhorar drasticamente a segurança da Internet como um todo. Por
> exemplo, as ações propostas na iniciativa MANRS [2] [3], apoiada pela
> Internet Society e pelo NIC.br.
>
> O IX.br opera atualmente 30 Internet Exchanges (PTTs) no Brasil, sendo
> parte integrante e muito importante da infraestrutura de rede da
> Internet no país. Nesse papel, também devemos atuar com ações internas,
> como qualquer outro operador de rede, para melhorar a segurança da
> Internet como um todo. A própria iniciativa MANRS propõe ações
> específicas para IXPs [4].
>
> O IX.br tem espaço para melhorar especificamente a segurança provida
> pelos Servidores de Rotas (Route Servers), no sentido de evitar a
> propagação de informações indevidas no BGP. Escrevemos um documento,
> descrevendo essas ações em detalhes, e queremos convidar a comunidade de
> usuários do IX.br e a comunidade técnica de operadores da Internet no
> Brasil a analisar a proposta e nos dar sua opinião.
>
> O documento "Solicitação de Comentários à Comunidade Técnica da Internet
> - Programa por uma Internet Segura” pode ser baixado na área de
> Documentação no site do IX.br:
>
> http://ix.br/doc/solicitacao-comentarios-acoes-seguranca-ix-
> br-20180504.pdf
>
> Incentivamos que as opiniões, sugestões, críticas, etc, sejam postadas
> na lista de e-mails do Grupo de Trabalho de Engenharia e Operacao de
> Redes (GTER) [5].
>
> Atenciosamente,
> Equipe do IX.br.
>
> [1] https://youtu.be/WaCUmapJ8k0 (painel do IX Fórum com o lançamento do
> programa para uma Internet mais segura)
> [2] https://youtu.be/92HSI4MMz_8 (principais ações propostas no MANRS)
> [3] http://www.manrs.org/ (site do MANRS)
> [4] http://www.manrs.org/participants/ixp/ (site com a proposta do MANRS
> para IXPs)
> [5] https://eng.registro.br/mailman/listinfo/gter
>
> --
> NIC.br | Gilberto Zorello
> Coordenador de Projeto
> Diretoria de Serviços e de Tecnologia
> +55 11 5509-3508
> www.nic.br <http://nic.br>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list