LAC-2020-10: Facultar os receptores de blocos delegados para assinar ROA

Informação geral

Español
20/11/2020
Em discussão
14 %. O próximo passo seria Primeiro consenso

Hernan Moguilevsky - Versão [1]
Discussão inicial
23/11/2020 - 11/05/2021
Primeiro consenso
11/05/2021 - 25/05/2021

Notas Públicas da equipe de LACNIC para esta versão

Interpretação da proposta pela equipe do LACNIC

Aplicação da proposta:
Esta proposta modificaria o Manual de Políticas.

Modificação do texto atual:
Esta proposta modificaria o Manual de Políticas, acrescentando dois parágrafos à seção 2.3.2.13. Registro de designações.

Divisão da seção e suas modificações:

● A proposta define as seguintes mudanças em relação à seção 2.3.2.13. Registro de designações:

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores) feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.

Desde que os blocos de prefixo se mantenham registrados no banco de dados do WHOIS, o cliente receptor terá sobre esses recursos o poder exclusivo para a criação e administração dos certificados Route Origin Authorization (ROA) do RPKI.
A administração dos referidos certificados será gerenciada pelo Contato Técnico da organização receptora.

O Registro de designações também é necessário pelos seguintes motivos:
Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que a alocação de um novo espaço adicional seja justificada.
Para fornecer informações à comunidade da Internet sobre qual organização está usando o espaço de endereços IPv4 incluindo a pessoa de contato em caso de problemas operacionais, de segurança, etc.
Para o estudo de alocações de endereços IPv4 na região.
Para facilitar a geolocalização das subdesignações feitas pelos membros na nossa região.
Para reforçar a segurança das rotas na Internet, garantindo a correta implementação do RPKI.

Comentários da equipe:

1. LACNIC considera que a qualidade de exclusividade para o receptor dos blocos delegados não é necessária, já que os ROA podem ser criados por ambas as organizações.
2. LACNIC considera que para o objetivo perseguido por esta proposta, o parágrafo: “A administração dos referidos certificados será gerenciada pelo Contato Técnico da organização receptora” não faz sentido. Isso ocorre porque o certificado é exclusivo para a entidade associada.
3. LACNIC considera que o Manual de Políticas é um compêndio de normas sobre as funções do RIR e o Processo de Desenvolvimento de Políticas, portanto a frase: “Para reforçar a segurança das rotas na Internet, garantindo a correta implementação do RPKI” não é adequada neste ponto do Manual, e perpetuamos um erro que não podemos evitar até agora.
4. LACNIC entende que com a devolução da subdesignação por parte da entidade receptora, os ROA criados por ela serão revogados.

Recomendações

1. Remover a frase: “A administração dos referidos certificados será gerenciada pelo Contato Técnico da organização receptora”
2. Remover a palavra “exclusivo” das faculdades do receptor.
3. Remover a frase: “Para reforçar a segurança das rotas na Internet, garantindo a correta implementação do RPKI”, e adicioná-la à justificativa da proposta.

Fontes oficiais de referências
----------------------------------------------
Propostas semelhantes em outros RIR:

RIPE NCC: O registro o permite somente através do “modo delegado”.

Impacto no sistema de registro e/ou outros sistemas
---------------------------------------------------------------------------
Se esta proposta for aprovada, vários sistemas do LACNIC serão afetados, entre eles: sistema do RPKI, MiLACNIC, entre outros.
Considerando que no NIC.br <http://NIC.br> é usado o modelo delegado, qualquer entidade da cadeia estará dentro da hierarquia de certificados, portanto, quem recebe a subdesignação deverá gerenciar seu próprio C.A., cujo certificado é assinado pelo provedor que fez a subdesignação. Isso também implica o uso de protocolo up/down entre os C.A. (do provedor e do cliente).


Resumo

Uma vez implementada a política, o contato técnico da Organização receptora de um bloco IP delegado por um provedor poderá assinar os ROA para o referido prefixo enquanto durar a delegação.

Justificativa

Esta proposta é para solucionar os problemas que os receptores de blocos delegados pelos seus fornecedores têm para assinar os ROA desses prefixos.

Texto Atual

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores), feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem estar registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.

O Registro de designações também é necessário pelos seguintes motivos:
- Para assegurar-se que o IR concluiu ou está concluindo a alocação de espaço de endereços de tal maneira que a alocação de um novo espaço adicional seja justificada.
- Para fornecer à comunidade Internet de informação sobre qual organização está usando o espaço de endereços IPv4 e incluindo a pessoa de contato em caso de problemas do tipo operacional, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos membros na nossa região.

Texto Novo
Veja Diff

2.3.2.13. Registro de designações
Todas as designações de blocos IPv4 de prefixos /29 ou menores (blocos maiores), feitas por ISP aos clientes conectados a sua rede e aos usuários dos serviços prestados devem ser registradas na base de dados WHOIS do LACNIC em um prazo máximo de 7 dias a partir da designação. As informações disponíveis na base de dados WHOIS serão também utilizadas pelo LACNIC quando analise os pedidos de blocos IPv4 adicionais realizados pelo ISP.

Enquanto o registro dos blocos de prefixo estiver na base de dados do WHOIS, o cliente receptor terá sobre esses recursos o poder exclusivo para a criação e administração dos certificados Route Origin Authorization (ROA) do RPKI.
A administração dos referidos certificados será gerenciada pelo Contato Técnico da Organização receptora.

O Registro de designações também é necessário pelos seguintes motivos:
- Para garantir que o IR concluiu ou está concluindo a alocação de espaço de endereços de modo que a alocação de um novo espaço adicional seja justificada.
- Para fornecer informações à comunidade Internet sobre qual organização está usando o espaço de endereços IPv4, incluindo a pessoa de contato em caso de problemas operacionais, de segurança, etc.
- Para o estudo de alocações de endereços IPv4 na região.
- Para facilitar a geolocalização das subdesignações feitas pelos associados na nossa região.
- Para reforçar a segurança das rotas na Internet, garantindo a correta implementação do RPKI.

Informações Adicionais

Na comunidade técnica, já temos discutido a necessidade desta política.
Com a crescente adoção do RPKI, torna-se necessário deixar de depender do titular dos recursos que nos foram delegados, para assinar os ROA.

Tempo de Implementação

-

Referências

-