Facultar a receptores de bloques delegados para firmar ROA. - Firma ROA receptores delegados

Información General

Español
23/11/2021
Ratificada
86 %.

Hernan Moguilevsky - Versión [1, 2]
En discusión
24/11/2021 - 04/05/2022
Primer consenso
04/05/2022 - 18/05/2022
Ultimos comentarios
18/05/2022 - 15/06/2022
Segundo consenso
15/06/2022 - 22/06/2022
Ratificación del directorio
22/06/2022
Ratificada
02/08/2022

Notas públicas del Staff de LACNIC para esta versión

Se establecen los cambios editoriales propuestos por el autor en la lista de políticas https://mail.lacnic.net/pipermail/politicas/2022-May/006497.html.
Se eliminan las palabras “cliente” y “certificados” del tercer párrafo del texto de la propuesta “Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.”

Interpretación de la propuesta por el staff de LACNIC

Autor: Hernan Moguilevsky

Aplicación de la propuesta:
Esta propuesta establece cambios en el Manual de Políticas.

Justificación:
Esta propuesta es para resolver los problemas que tienen los receptores de bloques delegados por sus proveedores para firmar los ROA de esos prefijos.

Modificación del texto actual:
Esta propuesta modificaría el Manual de Políticas, agregando un párrafo a la
sección 2.3.2.13. Registro de asignaciones.

Texto de la propuesta:
2.3.2.13. Registro de asignaciones
Todas las asignaciones de bloques IPv4 de prefijos /29 o menores (bloques mayores)
realizadas por ISPs a los clientes conectados a su red y los usuarios de los servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación.

La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para asegurarse que el IR finalizó o está finalizando la distribución de espacio de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para proporcionar información a la comunidad Internet sobre cuál organización está usando el espacio de direcciones IPv4 incluyendo a la persona de contacto en caso de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.

Comentarios del Staff:
LACNIC entiende que al momento de que el asociado elimine una sub-asignación, los ROA asociados, serán revocados.

Recomendaciones del Staff:
Para mantener la coherencia en las denominaciones que existen en el manual de políticas y dejar claro el caso de uso, recomendamos: o bien sacar la palabra “cliente” y dejar solo “receptor” o reemplazar todo por “la organización que tiene los recursos sub-asignados”.

Fuentes oficiales de referencia:
RIPE NCC: El registro lo permite únicamente a través del “modo delegado”.

Impacto en el sistema de registro y/u otros sistemas:
De aprobarse esta propuesta de política, varios sistemas de LACNIC se verán afectados, entre ellos: sistema de RPKI, MiLACNIC, entre otros. El plazo de implementación será comunicado en la lista, en caso de ser aprobada esta política.

Impacto NIC.br y NIC México:
NIC.br utiliza el modelo delegado con lo cual la entidad que recibe asignaciones y desea utilizar RPKI debe establecer y configurar su propia entidad certificadora (C.A.). De aprobarse esta propuesta la entidad que recibe sub asignaciones tendrá que configurar también un C.A y ser parte de la cadena de validación. Para eso, su proveedor tendrá que emitir un certificado hijo con los recursos asignados. El proveedor tendrá también que brindar el servicio de repositorio a su cliente. Otro punto importante es que el proveedor tendrá que crear mecanismos para dar seguimiento a las sub asignaciones que figuren en certificados hijos que haya emitido, pues en caso de que sean dadas de baja hay que actualizar los certificados emitidos de una forma sincronizada. En el caso contrario, se corre el riesgo de autorizar la creación de ROAs por empresas que ya no tienen derecho de uso de una sub asignación.

NIC México comparte el impacto de LACNIC, dado que utiliza los mismos sistemas para la generación de ROAs.


Resumen

Una vez implementada la política, el contacto técnico de la Organización receptora de un bloque IP delegado por un proveedor será capaz de firmar los ROA para dicho prefijo mientras dure la delegación.

Justificación(Describa el problema que pretende solucionar)

Esta propuesta es para resolver los problemas que tienen los receptores de bloques delegados por sus proveedores para firmar los ROA de esos prefijos.

Texto actual

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4 incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.

Texto nuevo
Oprima aquí para ver/ocultar las diferencias entre el texto actual y el nuevo

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el cliente receptor dispondrá sobre dichos recursos la facultad exclusiva para la creación y administración de los certificados Route Origin Authorization (ROA) de RPKI.
La administración de dichos certificados será gestionada por el Contacto Técnico de la Organización receptora.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4  incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.
Para fortalecer la seguridad de las rutas en Internet, asegurando la correcta implementación de RPKI.

Información adicional

En la comunidad técnica venimos discutiendo la necesidad de esta política.
Con la creciente adopcion adopción de RPKI se hace necesario dejar de depender del titular de los recursos, que nos han sido delegados, para firmar los ROA.

Tiempo de implementación

-

Referencias

-

Presentado en:

LACNIC35 (11/05/2021)


Resumen

Una vez implementada la política, la Organización receptora de un bloque IP delegado por un proveedor será capaz de firmar los ROA para dicho prefijo mientras dure la delegación.

Justificación(Describa el problema que pretende solucionar)

Esta propuesta es para resolver los problemas que tienen los receptores de bloques delegados por sus proveedores para firmar los ROA de esos prefijos.

Texto actual

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4 incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.

Texto nuevo
Oprima aquí para ver/ocultar las diferencias entre el texto actual y el nuevo

2.3.2.13. Registro de asignaciones
Todas  las  asignaciones  de  bloques  IPv4  de  prefijos  /29  o  menores  (bloques  mayores)
realizadas  por  ISPs  a  los  clientes  conectados  a  su  red  y  los  usuarios  de  los  servicios prestados deben registrarse en la base de datos WHOIS de LACNIC en un plazo máximo de 7 días a partir de la asignación. La información disponible en la base de datos WHOIS también será utilizada por LACNIC cuando analice las solicitudes de bloques IPv4 adicionales realizadas por el ISP.

Mientras se mantenga el registro de los bloques de prefijos en la base de datos de WHOIS, el receptor dispondrá sobre dichos recursos la facultad para la creación y administración de los Route Origin Authorization (ROA) de RPKI.

El Registro de asignaciones también es necesario por los siguientes motivos:
Para  asegurarse  que  el  IR  finalizó  o  está  finalizando  la  distribución  de  espacio  de direcciones de modo que se justifique la distribución de un nuevo espacio adicional.
Para  proporcionar  información  a  la  comunidad  Internet  sobre  cuál organización  está usando  el  espacio  de  direcciones  IPv4  incluyendo  a  la  persona  de  contacto  en  caso  de problemas de tipo operativo, de seguridad, etc.
Para el estudio de distribuciones de direcciones IPv4 en la región.
Para facilitar la geolocalización de las subasignaciones realizadas por los miembros en nuestra región.

Información adicional

En la comunidad técnica venimos discutiendo la necesidad de esta política.
Con la creciente adopcion adopción de RPKI se hace necesario dejar de depender del titular de los recursos, que nos han sido delegados, para firmar los ROA.

Tiempo de implementación

-

Referencias

-

Presentado en:

LACNIC 37 (04/05/2022)