ROAs RPKI com ASN 0 - N/D

Informação geral

English
27/02/2020
Implementada
100 %.

Ricardo Patara - Versão [1, 2]
Aftab Sidiqui - Versão [1, 2]
Em discussão
13/11/2019 - 05/05/2020
Primeiro consenso
06/05/2020 - 20/05/2020
Últimos comentários
20/05/2020 - 16/06/2020
Segundo consenso
16/06/2020 - 18/06/2020
Ratificação da diretoria
18/06/2020
Ratificada
23/07/2020
Implementada
23/06/2021

Notas públicas da equipe de LACNIC para esta versão

Interpretação da proposta pela equipe de LACNIC
--------------------------------------------------

Aplicação da proposta
----------------------
Esta proposta seria aplicada nos casos de recursos sem alocar ou designar.

Modificação do texto atual
---------------------------
O texto a seguir seria adicionado à Seção 1.12 do Manual de Políticas:

“LACNIC criará autorizações de origem (ROAs) específicas na infraestrutura do RPKI com ASN 0 no campo Origin ASN e a lista de recursos de numeração da Internet não alocados ou não designados exclusivamente sob a administração do LACNIC na lista de prefixos dessas ROAs.
O número de ROAs e os valores máximos e a validade dos prefixos serão decididos pelo LACNIC.

As partes que transmitem o RPKI veriam estas ROAs como uma instrução para invalidar as rotas para os prefixos de rede nelas contidos.

Somente LACNIC teria autoridade para criar ROAs RPKI para os recursos de numeração da Internet ainda não alocados nem designados ou para os recursos recuperados ou devolvidos, dos que o LACNIC é o guardião legítimo.

Uma vez que um recurso de numeração da Internet seja alocado ou designado, o LACNIC invalidará as ROAs que contenham esse recurso e emitirá novas quando o recurso não aparecer, conforme necessário”.

Comentários da equipe
-----------------------
(Os comentários são observações para ajudar a diferenciar as alterações apresentadas pela proposta em relação ao texto atual do Manual de Políticas)

1. Em relação à versão anterior:
- Adiciona-se o seguinte texto: “O número de ROAs e os valores máximos e a validade dos prefixos serão decididos pelo LACNIC”.
- Esclarece-se que a mudança no ROA é feita após a designação, conforme recomendado na análise de impacto anterior.

Recomendações
-----------------
1. Não fica claro o que significa os valores máximos e a validade dos prefixos”. Recomenda-se uma redação como “o número de ROAs, bem como todos seus outros parâmetros técnicos serão decisão do LACNIC”.

2. Recomenda-se aprimorar a redação no último parágrafo do texto “(...) O LACNIC invalidará os ROAs que contenham esse recurso e emitirá novos quando o recurso não aparecer, conforme necessário. "por" (...) O LACNIC invalidará os ROAs que contenham esse recurso e emitirá novos quando o recurso não aparecer, conforme necessário.

3. Recomenda-se remover o texto “As partes que transmitem o RPKI veriam esse ROA como uma instrução para invalidar as rotas para os prefixos de rede nele contidos” que atualmente está como parte do texto, para a justificativa da proposta.

OBSERVAÇÕES

De acordo com o ponto 3.2.4 do PDP sobre os ajustes editoriais sugeridos pelos moderadores, e acordados previamente con os autores, esta versão foi editada tomando em conta as 3 recomendações mencionadas acima.

Impacto nos sistemas de LACNIC
----------------------------------
Esta proposta implicaria mudanças na infraestrutura do RPKI.

Fontes oficiais de referência
-----------------------------
Outros RIR

AFRINIC
A proposta alcançou consenso no evento AFRINIC 31 e está em período de últimos comentários.

APNIC
A proposta alcançou consenso e foi ratificada pela Diretoria do APNIC. Hoje estão preparando a sua implementação, que será apresentada no APNIC 49.

ARIN
Eles não têm uma proposta semelhante no momento.

RIPE
A proposta concluiu a etapa de discussão. Aguardando feedback do autor e do grupo de trabalho para ver se passa para a "Fase de revisão"


Resumo

Ao usar o RPKI, uma organização pode emitir um ROA (Routing Origin Authorization) que indique um conjunto de blocos de endereços que podem ser anunciados com uma origem, bem como um ASN específico.

Outras organizações que também usem o RPKI podem usar essas informações para decidir quais anúncios de rotas são legítimos e quais não.

Também pode ser emitido um ROA com ASN 0 (zero) no seu campo ASid para assinar que os blocos de endereços que contém não devem ser aceitos.

Esta proposta de política recomenda que o LACNIC emita ROAs com ASN 0, com blocos de endereços não alocados/não designados, como uma metodologia para indicar que os anúncios de redes com esses endereços não devem ser aceitos pelas redes que usam validação de origem (ROV) com o RPKI.

Justificativa(Descrever o problema que deseja solucionar)

Os RIR têm um conjunto de recursos de numeração da Internet sob sua responsabilidade que ainda não foram alocados ou designados. Associado à custódia, está a responsabilidade de alocar esses recursos às organizações com necessidades justificadas e de acordo com as políticas em vigor. Esse conjunto de recursos da Internet não alocados ou não designados não deve ser usado até que sejam alocados ou designados a uma organização que justifique seu uso.

Várias recomendações e boas práticas indicam como filtrar esses recursos não alocados ou não designados, uma vez que normalmente estão associados a algum tipo de abuso ou ataque.

Considerando a boa adoção do RPKI e a validação de origem (ROV), a publicação de ROAs com ASN 0 será uma grande contribuição para indicar o conjunto de endereços que não devem ser usados.

Também aliviará os operadores de rede da tarefa de atualizar o conjunto de filtros com base na lista de recursos da Internet não alocados ou não designados.

Texto atual

---

Texto novo
Veja diff

O texto a seguir seria adicionado à Seção 1 do Manual de Políticas do LACNIC.

LACNIC poderia criar autorizações de origem (ROAs) específicas na infraestrutura do RPKI com ASN 0 no campo Origin ASN e a lista de recursos de numeração da Internet não alocados ou não designados exclusivamente sob a administração do LACNIC na lista de prefixos deste ROA.

As partes que transmitem o RPKI veriam esse ROA como uma instrução para invalidar as rotas para os prefixos de rede nele contidos.

Somente LACNIC teria autoridade para criar ROAs RPKI para os recursos de numeração da Internet ainda não alocados nem designados ou para os recursos recuperados ou devolvidos, dos que o LACNIC é o guardião legítimo.

Caso um recurso de numeração da Internet específico presente em um ROA com ASN 0 seja alocado ou designado, esse ROA deverá ser invalidado e um novo deverá ser emitido sem o recurso que será designado em breve.

Informações adicionais

APNIC aprovou uma proposta semelhante.

Tempo de implementação

-

Referências

-

Apresentada em:

LACNIC 33 (online) (05/05/2020)


Resumo

Ao usar o RPKI, uma organização pode emitir um ROA (Routing Origin Authorization) que indique um conjunto de blocos de endereços que podem ser anunciados com uma origem e que também indique um ASN específico.

Outras organizações que também usem o RPKI podem usar essas informações para decidir quais anúncios de rotas são legítimos e quais não são.

Também pode ser emitido um ROA com ASN 0 (zero) no seu campo ASid para assinar que os blocos de endereços que contém não devem ser aceitos. Esta proposta de política recomenda que o LACNIC emita ROAs com ASN 0, com blocos de endereços não alocados/não designados, como uma metodologia para indicar que os anúncios de redes com esses endereços não devem ser aceitos pelas redes que usam validação de origem (ROV) com o RPKI.

Justificativa(Descrever o problema que deseja solucionar)

Os RIR têm um conjunto de recursos de numeração da Internet sob sua responsabilidade que ainda não foram alocados ou designados. Associado à custódia, está a responsabilidade de alocar esses recursos às organizações com necessidades justificadas e de acordo com as políticas em vigor. Esse conjunto de recursos da Internet não alocados ou não designados não deve ser usado até que sejam alocados ou designados a uma organização que justifique seu uso.

Várias recomendações e boas práticas indicam como filtrar esses recursos não alocados ou não designados, uma vez que normalmente estão associados a algum tipo de abuso ou ataque.

Considerando a boa adoção do RPKI e a validação de origem (ROV), a publicação de ROAs com ASN 0 será uma grande contribuição para indicar o conjunto de endereços que não devem ser usados.

As partes que transmitem o RPKI veriam estes ROA como uma instrução para invalidar as rotas para os prefixos de rede nelas contidos.

Também aliviará os operadores de rede da tarefa de atualizar o conjunto de filtros com base na lista de recursos da Internet não alocados ou não designados.

Texto atual

---

Texto novo
Veja diff

O texto a seguir seria adicionado à Seção 1 do Manual de Políticas do LACNIC.

Texto novo:

LACNIC criará autorizações de origem (ROAs) específicas na infraestrutura do RPKI com AS 0 no campo Origin ASN e a lista de recursos de numeração da Internet não alocados ou não designados exclusivamente sob a administração do LACNIC na lista de prefixos de tais ROAs.

O número dos ROA acima mencionados e qualquer outro parâmetro técnico ficará a critério do LACNIC.

Somente LACNIC teria autoridade para criar ROAs RPKI para os recursos de numeração da Internet ainda não alocados nem designados ou para os recursos recuperados ou devolvidos, dos que o LACNIC é o guardião legítimo.

Uma vez que um recurso de numeração da Internet seja alocado ou designado, o LACNIC invalidará os ROAs que contenham esse recurso e emitirá novos quando o recurso não aparecer, conforme necessário.

Informações adicionais

Proposta semelhante foi aprovada no APNIC.

Tempo de implementação

-

Referências

-

Apresentada em:

LACNIC 33 (online) (05/05/2020)