LAC-2020-10: Facultar a receptores de bloques delegados para firmar ROA.

Información General

Español
20/11/2020
En discusión
29 %. El siguiente paso depende de la decisión de los moderadores.

Hernan Moguilevsky - Versión [1]
Discusión inicial
23/11/2020 - 11/05/2021
Primer consenso
11/05/2021 - 25/05/2021

Notas públicas del Staff de LACNIC para esta versión

Interpretación de la propuesta por el staff de LACNIC

Aplicación de la propuesta:
Esta propuesta modificaría el Manual de Políticas.

Modificación del texto actual:
Esta propuesta modificaría el Manual de Políticas, agregando 2 párrafos a la
sección 2.3.2.13. Registro de asignaciones.

Desglose de la sección y sus modificaciones:

● La propuesta define los siguientes cambios respecto a la sección 2.3.2.13. Registro de asignaciones:

2.3.2.13. Registro de asignaciones
Todas las asignaciones de bloques IPv4 de prefijos /29 o menores (bloques mayores)
realizadas por ISPs a los clientes conectados a su red y los usuarios de los servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad exclusiva para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.
La administración de dichos certificados será gestionada por el Contacto Técnico de la Organización receptora.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para asegurarse que el IR finalizó o está finalizando la distribución de espacio de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para proporcionar información a la comunidad Internet sobre cuál organización está usando el espacio de direcciones IPv4 incluyendo a la persona de contacto en caso de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las sub asignaciones realizadas por los miembros en nuestra región.
Para fortalecer la seguridad de las rutas en Internet, asegurando la correcta implementación de RPKI.

Comentarios del staff:

1. LACNIC considera que no es necesaria la cualidad de exclusividad para el receptor de los bloques delegados, ya que los ROA pueden crearse por ambas organizaciones.
2. LACNIC considera que para el objetivo que persigue esta propuesta, el párrafo: “La administración de dichos certificados será gestionada por el Contacto Técnico de la Organización receptora.” no tiene cabida. Esto es en virtud de que el certificado es único para la entidad asociada.
3. LACNIC considera que el Manual de Políticas es un compendio de normativas sobre las funciones del RIR y el Proceso de Desarrollo de Políticas, por lo que la frase: “Para fortalecer la seguridad de las rutas en Internet, asegurando la correcta implementación de RPKI.” no es adecuada en este punto del Manual y perpetuamos un error que no pudimos evitar hasta ahora.
4. LACNIC entiende que al momento de la devolución de la sub-asignación por parte de la entidad receptora los ROA que ésta creó serán revocados.

Recomendaciones

1. Quitar la frase: “La administración de dichos certificados será gestionada por el Contacto Técnico de la Organización receptora.”
2. Quitar la palabra “exclusiva” de las facultades del receptor.
3. Quitar la frase: “Para fortalecer la seguridad de las rutas en Internet, asegurando la correcta implementación de RPKI.” y agregarla a la justificación de la propuesta.

Fuentes oficiales de referencias
----------------------------------------------
Propuestas similares en otros RIR:

RIPE NCC: El registro lo permite únicamente a través del “modo delegado”.

Impacto en el sistema de registro y/u otros sistemas
---------------------------------------------------------------------------
De aprobarse esta propuesta varios sistema de LACNIC se verán afectados, entre ellos: sistema de RPKI, MiLACNIC, entre otros.
Considerando que en el NIC.br <http://NIC.br> se usa el modelo delegado, cualquier ente de la cadena estará dentro de la jerarquía de certificados, por lo tanto, el que recibe la sub asignación deberá administrar su propio C.A, cuyo certificado es firmado por el proveedor que hizo la sub asignación. Lo que implica también el uso de protocolo up/down entre los C.A.s (del proveedor y del cliente).


Resumen

Una vez implementada la política, el contacto técnico de la Organización receptora de un bloque IP delegado por un proveedor será capaz de firmar los ROA para dicho prefijo mientras dure la delegación.

Justificación

Esta propuesta es para resolver los problemas que tienen los receptores de bloques delegados por sus proveedores para firmar los ROA de esos prefijos.

Texto Actual

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4 incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.

Texto Nuevo
Oprima aquí para ver/ocultar las diferencias entre el texto actual y el nuevo

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad exclusiva para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.
La administración de dichos certificados será gestionada por el Contacto Técnico de la Organización receptora.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4  incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.
Para fortalecer la seguridad de las rutas en Internet, asegurando la correcta implementación de RPKI.

Información Adicional

En la comunidad técnica venimos discutiendo la necesidad de esta política.
Con la creciente adopcion adopción de RPKI se hace necesario dejar de depender del titular de los recursos, que nos han sido delegados, para firmar los ROA.

Tiempo de Implementacion

-

Referencias

-