ROAs RPKI con ASN 0 - N/D

Información General

English
27/02/2020
Implementada
100 %.

Ricardo Patara - Versión [1, 2]
Aftab Sidiqui - Versión [1, 2]
En discusión
13/11/2019 - 05/05/2020
Primer consenso
06/05/2020 - 20/05/2020
Ultimos comentarios
20/05/2020 - 16/06/2020
Segundo consenso
16/06/2020 - 18/06/2020
Ratificación del directorio
18/06/2020
Ratificada
23/07/2020
Implementada
23/06/2021

Notas públicas del Staff de LACNIC para esta versión

Interpretación de la propuesta por el staff de LACNIC
------------------------------------------------------

Aplicación de la propuesta
--------------------------
Esta propuesta se aplicaría a los casos de recursos sin distribuir o asignar.

Modificación del texto actual
------------------------------
Se agregaría la sección 1.12 del Manual de Políticas el siguiente texto:

“LACNIC creará autorizaciones de origen (ROAs) específicas en la infraestructura de RPKI con ASN 0 en el campo Origin ASN y la lista de recursos numéricos de Internet no distribuidos o no asignados exclusivamente bajo la administración de LACNIC en la lista de prefijos de tales ROAs. El número de ROAs y los valores máximos y la validez de los prefijos será decisión de LACNIC.

Las partes que transmiten RPKI verían a estas ROAs como una instrucción para invalidar las rutas a los prefijos de red que figuran en ellas.

Solo LACNIC tendría la autoridad para crear ROAs RPKI para los recursos numéricos de Internet aún no distribuidos ni asignados o bien para los recursos recuperados o devueltos, de los cuales LACNIC es el custodio legítimo.

Una vez que un recurso numérico de Internet se distribuya o asigne, LACNIC invalidará las ROAs que contengan dicho recurso y emitirá otras nuevas donde el recurso no aparezca, según sea necesario”.

Comentarios del staff
---------------------
(Los comentarios son observaciones para ayudar a diferenciar los cambios que presenta la propuesta con respecto al texto actual del Manual de Políticas)

1. Respecto a la versión anterior:
- Se agrega el siguiente texto: “El número de ROAs y los valores máximos y la validez de los prefijos será decisión de LACNIC”.
- Se aclara que el cambio en el ROA se realiza después de la asignación, como se recomendó en el análisis de impacto anterior.

Recomendaciones
-------------------
1. No queda claro qué significa los valores máximos y la validez de los prefijos”. Se recomienda una redacción como “el número de ROAs y todos los otros parámetros técnicos de los mismos serán decisión de LACNIC”.

2. Se recomienda mejorar la redacción en el último párrafo del texto “(...) LACNIC invalidará las ROAs que contengan dicho recurso y emitirá otras nuevas donde el recurso no aparezca, según sea necesario” por “(...) LACNIC invalidará los ROAs que contengan dicho recurso y emitirá otros nuevos donde el recurso no aparezca, según sea necesario".

3. Se recomienda mover el texto “Las partes que transmiten RPKI verían a este ROA como una instrucción para invalidar las rutas a los prefijos de red que figuran en él” que actualmente está como parte del texto para incorporar al manual, a la justificación de la propuesta.

OBSERVACIONES
De acuerdo al punto 3.2.4 del PDP acerca de los ajustes editoriales sugeridos por los moderadores, y acordados previamente con los autores, esta versión fue editada tomando en cuenta las 3 recomendaciones mencionadas arriba
Impacto en los sistemas de LACNIC

-----------------------------------
Esta propuesta implicaría cambios en la infraestructura de RPKI.

Fuentes oficiales de referencias
--------------------------------
Otros RIRs

AFRINIC
La propuesta alcanzó consenso en el evento AFRINIC 31 y está en período de últimos comentarios.

APNIC
La propuesta alcanzó consenso y fue ratificada por el directorio de APNIC. Actualmente están preparando su implementación, la cual será presentada en APNIC 49.

ARIN
No tienen una propuesta similar por el momento.

RIPE
La propuesta completó la etapa de discusión. Están esperando feedback del autor y del grupo d trabajo para ver si pasa a “Review phase”


Resumen

Al utilizar RPKI, una organización puede emitir un ROA (Routing Origin Authorization) que indique un conjunto de bloques de direcciones que se pueden anunciar con un origen y que también indique un ASN específico.

Otras organizaciones que también utilicen RPKI pueden usar esta información para decidir cuáles anuncios de rutas son legítimos y cuáles no.

También se puede emitir un ROA con ASN 0 (cero) en su campo ASid para firmar que los bloques de direcciones que contiene no deben ser aceptados.

Esta propuesta de política recomienda que LACNIC emita ROAs con ASN 0, con bloques de direcciones no distribuidas / no asignadas, como un método para indicar que los anuncios de redes con esas direcciones no deben ser aceptados por las redes que utilizan validación de origen (ROV) con RPKI.

Justificación(Describa el problema que pretende solucionar)

Los RIR tienen bajo su responsabilidad un conjunto de recursos numéricos de Internet que aún no han sido distribuidos ni asignados. Asociada con la custodia está la responsabilidad de distribuirlos a organizaciones con necesidades justificadas y de acuerdo con las políticas vigentes. Ese conjunto de recursos de Internet no distribuidos o no asignados no debe usarse hasta que se distribuyan o asignen a una organización que justifique su utilización.

Varias recomendaciones y buenas prácticas indican cómo filtrar estos recursos no distribuidos o no asignados, ya que normalmente están asociados con algún tipo de abuso o ataque.

Considerando la buena adopción de RPKI y la validación de origen (ROV), la publicación de ROAs con ASN 0 será una gran contribución para indicar el conjunto de direcciones que no deben utilizarse.

También aliviará a los operadores de red de la tarea de actualizar el conjunto de filtros en función de la lista de recursos de Internet no distribuidos o no asignados.

Texto actual

---

Texto nuevo
Oprima aquí para ver/ocultar las diferencias entre el texto actual y el nuevo

El siguiente texto se agregaría a la Sección 1 del Manual de Políticas de LACNIC.

LACNIC podría crear autorizaciones de origen (ROAs) específicas en la infraestructura de RPKI con ASN 0 en el campo Origin ASN y la lista de recursos numéricos de Internet no distribuidos o no asignados exclusivamente bajo la administración de LACNIC en la lista de prefijos de este ROA.

Las partes que transmiten RPKI verían a este ROA como una instrucción para invalidar las rutas a los prefijos de red que figuran en él.

Solo LACNIC tendría la autoridad para crear ROAs RPKI para los recursos numéricos de Internet aún no distribuidos ni asignados o bien para los recursos recuperados o devueltos, de los cuales LACNIC es el custodio legítimo.

En el caso de que se vaya a distribuir o asignar un recurso numérico de Internet específico presente en un ROA con ASN 0, dicho ROA deberá ser invalidado y se deberá emitir uno nuevo sin el recurso que pronto se asignará.

Información adicional

En APNIC se aprobó una propuesta similar.

Tiempo de implementación

-

Referencias

-

Presentado en:

LACNIC 33 (online) (05/05/2020)


Resumen

Al utilizar RPKI, una organización puede emitir un ROA (Routing Origin Authorization) que indique un conjunto de bloques de direcciones que se pueden anunciar con un origen y que también indique un ASN específico.

Otras organizaciones que también utilicen RPKI pueden usar esta información para decidir cuáles anuncios de rutas son legítimos y cuáles no.

También se puede emitir un ROA con ASN 0 (cero) en su campo ASid para firmar que los bloques de direcciones que contiene no deben ser aceptados. Esta propuesta de política recomienda que LACNIC emita ROAs con ASN 0, con bloques de direcciones no distribuidas / no asignadas, como un método para indicar que los anuncios de redes con esas direcciones no deben ser aceptados por las redes que utilizan validación de origen (ROV) con RPKI.

Justificación(Describa el problema que pretende solucionar)

Los RIR tienen bajo su responsabilidad un conjunto de recursos numéricos de Internet que aún no han sido distribuidos ni asignados. Asociada con la custodia está la responsabilidad de distribuirlos a organizaciones con necesidades justificadas y de acuerdo con las políticas vigentes. Ese conjunto de recursos de Internet no distribuidos o no asignados no debe usarse hasta que se distribuyan o asignen a una organización que justifique su utilización.

Varias recomendaciones y buenas prácticas indican cómo filtrar estos recursos no distribuidos o no asignados, ya que normalmente están asociados con algún tipo de abuso o ataque.

Considerando la buena adopción de RPKI y la validación de origen (ROV), la publicación de ROAs con ASN 0 será una gran contribución para indicar el conjunto de direcciones que no deben utilizarse.

Las partes que transmiten RPKI verían a estos ROA como una instrucción para invalidar las rutas a los prefijos de red que figuran en ellos.

También aliviará a los operadores de red de la tarea de actualizar el conjunto de filtros en función de la lista de recursos de Internet no distribuidos o no asignados.

Texto actual

---

Texto nuevo
Oprima aquí para ver/ocultar las diferencias entre el texto actual y el nuevo

El siguiente texto se agregaría a la Sección 1 del Manual de Políticas de LACNIC.

Texto nuevo:

LACNIC creará autorizaciones de origen (ROAs) específicas en la infraestructura de RPKI con AS 0 en el campo Origin ASN y la lista de recursos numéricos de Internet no distribuidos o no asignados exclusivamente bajo la administración de LACNIC en la lista de prefijos de tales ROAs.

El número de los ROA antes mencionados y cualquier otro parámetro técnico quedará a discreción de LACNIC.

Solo LACNIC tendría la autoridad para crear ROAs RPKI para los recursos numéricos de Internet aún no distribuidos ni asignados o bien para los recursos recuperados o devueltos, de los cuales LACNIC es el custodio legítimo.

Una vez que un recurso numérico de Internet se distribuya o asigne, LACNIC invalidará los ROAs que contengan dicho recurso y emitirá otros nuevos donde el recurso no aparezca, según sea necesario.

Información adicional

En APNIC se aprobó una propuesta similar.

Tiempo de implementación

-

Referencias

-

Presentado en:

LACNIC 33 (online) (05/05/2020)