[GTER] Pesquisa sobre barreiras para adoção de RPKI
Douglas Fischer
fischerdouglas at gmail.com
Thu Sep 5 16:06:23 -03 2024
Eu não sou oficialmente um operador de ASN que detém recursos numéricos com
múltiplos RIRs.
Então não estou na posição ideal para manifestar-me sobre essa questão.
Mas eu vi que em torno desse tema tem uma ferida que já tem uma casquinha
formada, mas que continua MUITO INFLAMADA lá por baixo.
E se queremos que a ferida realmente sare, temos que cutucar e ver qual é a
causa dessa inflamação.
Pessoal que abriu a thread foram muito educados e elegantes fazendo
perguntas indiretas para tentar despertar o tema.
Mas acho que acabou ficando meio de lado um ponto importantíssimo que creio
que era o alvo do questionamento:
De fato, até onde eu sei/me lembro, o Registro.BR é O ÚNICO RIR/NIR/LIR que
usa(e de maneira impositiva) o modo delegado.
E na esteira disso, o LACNIC tem uma exceção em modo delegado apenas do que
são recursos numéricos para o que é do NIR Registro.BR.
Mas para o restante do mundo, todos usam o modo hosted.
E alguns com suporte a interação via API, e outros tantos sem suporte a
interação via API.
Empresas que operam em multiplos RIRs e NIRs tem que gestionar suas ROAs
através de um monte de mecanismos e métodos diferentes.
Acho que as perguntas ocultas que estão no ar são:
A- "Quando os RIRs que tem não tem suporte para alteração de informações de
ROA RPKI através de API vão passar a ter?"
B- "Quando o Registro.BR vai passar a contemplar o método Hosted para o
RPKI?"
C- "Qual a data para que todas os RIRs passem a suportar a alternativa de
modo Delegated para o RPKI?"
P.S.: Seguem minhas "adivinhações" para as perguntas acima:
A- "Se não se mexeram para arrumar até agora, só quando liberarem uma nova
versão do portal."
B- "Nunca!"
(ouvi nos bastidores)
C- "Como esse não é um sistema único e global, vai depender de boa vontade
de muita gente, e cada um no seu tempo".
O modo delegado sendo suportado por todos os RIRs, resolveria problemas de
empresas como Microsoft, Google, Meta, Akamai, Netflix, e etc... Eles só
apontariam os certificados para seus próprios hosts delegados, e acabou o
problema de salada de fruta de ferramenta para criar e gerenciar ROAs.
Em qua., 28 de ago. de 2024 às 07:49, Sofia Silva Berenguer via gter <
gter at eng.registro.br> escreveu:
> Oi Fernando,
>
> Apologies I don’t speak Portuguese.
>
> You have a very good point. I agree that "Sistema RPKI único e global" may
> not have been the best choice of words to describe what we are trying to
> achieve.
>
> We do acknowledge that each RIR has their own RPKI implementation and that
> is not going to change. The intention of the survey is to identify what are
> the areas of the current RIR RPKI implementations that we should try to
> make more consistent.
>
> This blog article in the LACNIC blog expands a bit more on what we are
> trying to achieve:
> https://blog.lacnic.net/pt-br/as-diferencas-na-implementacao-do-rpki-entre-os-diferentes-rir-estao-dificultando-a-adocao-do-rpki/
>
> I hope this helps clarify.
>
> Obrigada pelo seu comentário!
>
> Warm regards,
> Sofía
> --
> I am sending this email at a time that suits me and the time zone I work
> in. Please feel free to read, and act on or respond, at a time that suits
> you.
>
> ____________________________________________________________________
> Sofía Silva Berenguer
> RPKI Program Manager, NRO / Process and Productivity Engineer, APNIC
> e: sofia at apnic.net<mailto:sofia at apnic.net>
> ____________________________________________________________________
>
>
> From: gter <gter-bounces at eng.registro.br> on behalf of Fernando Frediani
> via gter <gter at eng.registro.br>
> Date: Wednesday, 28 August 2024 at 7:29 AM
> To: gter at eng.registro.br <gter at eng.registro.br>
> Subject: Re: [GTER] Pesquisa sobre barreiras para adoção de RPKI
> "Sistema RPKI único e global" ?
>
> Talvez tenha sido uma escolha equivocada de palavras ou um erro de
> tradução, mas não imaginaria nenhum sistema único e global para RPKI.
> Cada RIR é independente com seus Trust Anchors e como tal devem seguir,
> até mesmo como uma maneira de dar maior resiliência para esse
> ecossistema, já que na eventualidade de comprometimento do sistema de um
> desses RIRs é possível isolar apenas ele.
>
> Fernando
>
> On 26/08/2024 21:12, Sofia Silva Berenguer via gter wrote:
> > Como parte do Programa NRO RPKI<
> https://aus01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.nro.net%2Ftechnical-coordination%2Fsecurity%2Fcertification%2F%23rpki_program&data=05%7C02%7C%7Cb97913a7e4b64dde1fe708dcc6df4ff3%7C127d8d0d7ccf473dab096e44ad752ded%7C0%7C0%7C638603909653386115%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=tTzRs5A99HfeRX3590V%2FXhAwrv5pLmgItQGSGSAUJsM%3D&reserved=0
> <
> https://www.nro.net/technical-coordination/security/certification/#rpki_program>>
> gostaríamos conhecer mais sobre as expectativas da comunidade em relação à
> consistência nas implementações do RPKI entre os Registros Regionais da
> Internet (RIR) com o objetivo final de definir como seria um sistema RPKI
> único e global.
> >
> > Queremos saber mais sobre a experiência no gerenciamento de recursos em
> vários RIR para entender se as diferenças nas implementações do RPKI entre
> RIR estão dificultando a adoção do RPKI, especificamente no que refere à
> criação de Autorizações de Origem de Rota (ROA, por sua sigla em inglês) e,
> em caso afirmativo, quais são as diferenças mais problemáticas. Isso vai
> nos permitir focar em tornar esses aspectos do sistema RPKI mais
> consistentes.
> >
> > Você é um operador de rede responsável pelo espaço IP designado por
> múltiplos RIR? Conclua a pesquisa do Programa RPKI da NRO<
> https://aus01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.surveymonkey.com%2Fr%2FCHLHLML&data=05%7C02%7C%7Cb97913a7e4b64dde1fe708dcc6df4ff3%7C127d8d0d7ccf473dab096e44ad752ded%7C0%7C0%7C638603909653395170%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=uSxTY5gMQvurpT4xUTlGtezr5%2Fy4RoAwE9NWL7JtPXM%3D&reserved=0
> <https://www.surveymonkey.com/r/CHLHLML>> até 12 de setembro.
> > Queremos conhecer a opinião de quem já criaram ROA, bem como de aqueles
> que estão pensando em criar ROA, mas ainda não o fizeram.
> >
> > Se não for seu caso, encaminhe este e-mail para qualquer outra pessoa
> que você conheça que possa participar da pesquisa.
> >
> > Observe que aqueles que responderem à pesquisa vão participar do sorteio
> de um vale-presente eletrônico equivalente a US$ 35 (se os vales-presente
> eletrônicos não puderem ser usados na economia do vencedor, um presente
> alternativo será fornecido).
> >
> > Valorizamos muito a sua participação!
> >
> > Obrigada,
> > Sofía
> > --
> > I am sending this email at a time that suits me and the time zone I work
> in. Please feel free to read, and act on or respond, at a time that suits
> you.
> >
> > ____________________________________________________________________
> > Sofía Silva Berenguer
> > RPKI Program Manager, NRO / Process and Productivity Engineer, APNIC
> > e:sofia at apnic.net<mailto:sofia at apnic.net>
> > ____________________________________________________________________
> >
> > --
> > gter listhttps://
> aus01.safelinks.protection.outlook.com/?url=https%3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=05%7C02%7C%7Cb97913a7e4b64dde1fe708dcc6df4ff3%7C127d8d0d7ccf473dab096e44ad752ded%7C0%7C0%7C638603909653401655%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=4Zmmvm2qogTdf59jqT3lxYHBBgJa%2F8FjAtS9h46dXpQ%3D&reserved=0
> --
> gter list
> https://aus01.safelinks.protection.outlook.com/?url=https%3A%2F%2Feng.registro.br%2Fmailman%2Flistinfo%2Fgter&data=05%7C02%7C%7Cb97913a7e4b64dde1fe708dcc6df4ff3%7C127d8d0d7ccf473dab096e44ad752ded%7C0%7C0%7C638603909653405476%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=7oOtU9rhoy32wHlivQR6I%2BjII3A2sl4zzS12%2BcvDmcU%3D&reserved=0
> <https://eng.registro.br/mailman/listinfo/gter>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list