A RPKI está chegando mais rapidamente do que, pessoalmente imaginava. Será parte do nosso dia a dia, sem nenhuma dúvida.
Um texto interessante está na referência abaixo, que foi divulgada da lista lacnog, hoje (24/10/2010): https://labs.ripe.net/Members/agowland/ripe-ncc-validator-for-resource-certification/view Um trecho bastante elucidativo no artigo acima: "...a network operator who needs to make a decision about whether to accept a certain prefix may prefer a route announcement that is supported by a ROA (positive statement) over an announcement for the same space that does not have an associated ROA. ..." Na nanog há uma sequência que ajuda muito, no entendimento, pois é quase um tutorial: http://seclists.org/nanog/2010/Oct/138. Ainda há uma disposição em usar o IRR como um dos principais repositórios de informações sobre políticas de e, roteamento. A RPKI resolverá um dos principais problemas que é aquele relacionado com a segurança da informação disponível no IRR. Os objetos route e route6, que especificam os prefixos que um AS pode anunciar ficam, portanto livre da influência de mal uso do IRR. O mal uso, voluntário ou involuntário, do IRR, infelizmente não será resolvido se os repositórios de objetos não insistirem, na orientação responsável. Tal orientação virá de boas práticas ou perderemos a flexibilidade do IRR. Eis duas recomendações baseadas no senso comum dos administradores de bases IRR: a. Não mantenham seus registros em mais de uma base. Isso gera inconsistências com muito mais facilidade nas informações. b. Sob nenhuma hipótese inclua objetos que não lhe dizem respeito. Por mais preciso e bem intencionados ao fazer isso, nada se iguala ao conhecimento do administrador do AS afetado. Já falei aqui e o Ednilson, da AtibaiaNet ficou incomodado (com razão), em ver seu bloco incluido pela NTTCOM. O fato da NTTCOM indicar que o bloco não é dela, não melhora a falha ostensiva. Finalmente, o LACNIC já está com um ambiente RPKI disponível. O Ricardo Patara, do Nic.br, informou-nos de que em breve teremos acesso a esse ambiente com nossos IDs-br. Como tenho um AS registrado no Lacnic (vindo do ARIN) tive oportunidade de entrar no ambiente e achei-o muito amigável e simples de usar. Não consegui ir mais à frente, para obter a chave associada ao bloco designado, porque o tal AS ainda não tem bloco atribuído ... []s, Julião _______________________________________________ GT-AS mailing list [email protected] http://lists.abranet.org.br/mailman/listinfo/gt-as
