Facultar os receptores de blocos delegados para assinar ROA - N/D

Informação geral

Español
23/11/2021
Implementada
100 %.

Hernan Moguilevsky - Versão [1, 2]
Em discussão
23/11/2021 - 04/05/2022
Primeiro consenso
04/05/2022 - 18/05/2022
Últimos comentários
18/05/2022 - 15/06/2022
Segundo consenso
15/06/2022 - 22/06/2022
Ratificação da diretoria
22/06/2022
Ratificada
02/08/2022
Implementada
27/04/2023

Notas públicas da equipe de LACNIC para esta versão

Se establecen los cambios editoriales propuestos por el autor en la lista de políticas https://mail.lacnic.net/pipermail/politicas/2022-May/006497.html.
Se eliminan las palabras “cliente” y “certificados” del tercer párrafo del texto de la propuesta “Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.”

Interpretação da proposta pela equipe do LACNIC

Aplicação da proposta:
Esta proposta estabelece mudanças no Manual de Políticas.

Justificativa:
Esta proposta é para solucionar os problemas que os receptores de blocos delegados pelos seus fornecedores têm para assinar os ROA desses prefixos.

Modificação do texto atual:
Esta proposta modificaria o Manual de Políticas, acrescentando um parágrafo à secção 2.3.2.13. Registro de designações.

Texto da proposta:
2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores) feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação.
As informações disponíveis na base de dados WHOIS serão também usadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.
Enquanto o registro dos blocos de prefixo for mantido no banco de dados do WHOIS, o cliente receptor terá sobre esses recursos o poder de criar e gerenciar os certificados Route Origin Authorization (ROA) do RPKI.
O Registro de designações também é necessário pelos seguintes motivos:
Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que a alocação de um novo espaço adicional seja justificada.
Para fornecer informações à comunidade Internet sobre qual organização está usando o espaço de endereços IPv4, incluindo a pessoa de contato em caso de problemas operacionais, de segurança, etc.
Para o estudo de alocações de endereços IPv4 na região.
Para facilitar a geolocalização das subdesignações feitas pelos associados na nossa região.

Comentários da equipe:
O LACNIC entende que na hora que o associado eliminar uma subdesignação, os ROA associados serão revogados.

Recomendações da equipe:
Para manter a consistência nas denominações que existem no manual de políticas e deixar claro o caso de uso, recomendamos: ou remover a palavra “cliente” e deixar apenas “receptor” ou substituir tudo por “a organização que tem os recursos subdesignados”.

Fontes oficiais de referência:
RIPE NCC: O registro o permite somente através do “modo delegado”.

Impacto no sistema de registro e/ou outros sistemas:
Se esta proposta for aprovada, vários sistemas do LACNIC serão afetados: o sistema do RPKI, MiLACNIC, entre outros. O prazo de implementação será comunicado na lista, caso esta política seja aprovada.

Impacto no NIC.br e NIC México:
O NIC.br usa o modelo delegado pelo qual a entidade que recebe designações e quer usar o RPKI deve estabelecer e configurar sua própria entidade certificadora (C.A.). Se esta proposta for aprovada, a entidade que receber subdesignações também terá que configurar uma C.A. e fazer parte da cadeia de validação. Para isso, seu provedor terá que emitir um certificado filho com os recursos designados. O provedor também terá que fornecer o serviço de repositório ao seu cliente. Outro ponto importante é que o provedor terá que criar mecanismos de acompanhamento às subdesignações que apareçam nos certificados filhos que tenha emitido, pois caso sejam removidos, os certificados emitidos devem ser atualizados de forma sincronizada. Caso contrário, corre-se o risco de autorizar a criação de ROA por empresas que já não têm o direito de usar uma subdesignação.
O NIC México compartilha o impacto do LACNIC, uma vez que usa os mesmos sistemas para a geração de ROA.


Resumo

Uma vez implementada a política, o contato técnico da Organização receptora de um bloco IP delegado por um provedor poderá assinar os ROA para o referido prefixo enquanto durar a delegação.

Justificativa(Descrever o problema que deseja solucionar)

Esta proposta é para solucionar os problemas que os receptores de blocos delegados pelos seus fornecedores têm para assinar os ROA desses prefixos.

Texto atual

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores), feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem estar registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.

O Registro de designações também é necessário pelos seguintes motivos:
- Para assegurar-se que o IR concluiu ou está concluindo a alocação de espaço de endereços de tal maneira que a alocação de um novo espaço adicional seja justificada.
- Para fornecer à comunidade Internet de informação sobre qual organização está usando o espaço de endereços IPv4 e incluindo a pessoa de contato em caso de problemas do tipo operacional, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos membros na nossa região.

Texto novo
Veja diff

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores), feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.

Enquanto o registro dos blocos de prefixo estiver na base de dados do WHOIS, o cliente receptor terá sobre esses recursos o poder exclusivo para a criação e administração dos certificados Route Origin Authorization (ROA) do RPKI.
A administração dos referidos certificados será gerenciada pelo Contato Técnico da Organização receptora.

O Registro de designações também é necessário pelos seguintes motivos:
- Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que a alocação de um novo espaço adicional seja justificada.
- Para fornecer informações à comunidade Internet sobre qual organização está usando o espaço de endereços IPv4, incluindo a pessoa de contato em caso de problemas operacionais, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos associados na nossa região.
- Para reforçar a segurança das rotas na Internet, garantindo a correta implementação do RPKI.

Informações adicionais

Na comunidade técnica, já temos discutido a necessidade desta política.
Com a crescente adoção do RPKI, torna-se necessário deixar de depender do titular dos recursos que nos foram delegados, para assinar os ROA.

Tempo de implementação

-

Referências

-

Apresentada em:

LACNIC35 (11/05/2021)


Resumo

Uma vez implementada a política, a organização receptora de um bloco IP delegado por um provedor poderá assinar os ROA para o referido prefixo enquanto durar a delegação.

Justificativa(Descrever o problema que deseja solucionar)

Esta proposta é para solucionar os problemas que os receptores de blocos delegados pelos seus fornecedores têm para assinar os ROA desses prefixos.

Texto atual

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores) feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.
O Registro de designações também é necessário pelos seguintes motivos:
- Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que a alocação de um novo espaço adicional seja justificada.
- Para fornecer à comunidade Internet de informação sobre qual organização está usando o espaço de endereços IPv4 e incluindo a pessoa de contato em caso de problemas do tipo operacional, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos associados na nossa região.

Texto novo
Veja diff

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores),
feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.
Enquanto o registro dos blocos de prefixo for mantido na base de dados do WHOIS, o receptor terá sobre esses recursos o poder para a criação e administração dos Route Origin Authorization (ROA) do RPKI.
O Registro de designações também é necessário pelos seguintes motivos:
- Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que se justifique a alocação de um novo espaço adicional.
- Para fornecer informações à comunidade Internet sobre qual organização está usando o espaço de endereços IPv4, incluindo a pessoa de contato em caso de problemas operacionais, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos associados na nossa região.

Informações adicionais

Na comunidade técnica, já temos discutido a necessidade desta política.
Com a crescente adoção do RPKI, torna-se necessário deixar de depender do titular dos recursos que nos foram delegados, para assinar os ROA.

Tempo de implementação

-

Referências

-

Apresentada em:

LACNIC 37 (04/05/2022)

--> --> --> --> --> -->