Detalhes
|
ROAs RPKI para espaço de endereço AFRINIC não alocado e não atribuído |
|||
|
IDENTIDADE: |
AFPUB-2019-GEN-006-DRAFT02 |
Data Enviada: |
30 Julho 2020 |
|
Autor: |
Frank Habicht geier em geier.ne.tz Associação de ISP da Tanzânia Mark Elkins mje em posix.co.za POSIX Jordi Palet Martinez jordi.palet noipv6empresa.com o IPv6 Empresa Haitham El Nakhal Hytham em tra.gov.eg Autoridade Reguladora Nacional de Telecomunicações (NTRA) |
Versão: |
2.0 |
|
Obsoletos: |
Altera: |
Nova seção |
|
Proposta
1.0 Resumo do problema tratado nesta proposta
O espaço de endereço gerenciado pelo AFRINIC que é “Não alocado” ou “Não atribuído” é considerado “espaço de endereço Bogon”. Conforme definido na RFC3871, um "Bogon" (plural: "bogons") é um pacote com um endereço de origem IP em um bloco de endereço ainda não alocado pela IANA ou pelo RIRs, bem como todos os endereços reservados para uso particular ou especial por RFCs.
O objetivo de criar RPKI ROAs com Origem AS0 para o espaço de endereço não alocado e não atribuído do AFRINIC é restringir a propagação de anúncios BGP cobrindo esse espaço bogon. Quando o AFRINIC emite um ROA com AS0 para o espaço de endereço não alocado sob administração do AFRINIC, os anúncios BGP cobrindo este espaço serão marcados como inválidos por redes que fazem validação de origem BGP baseada em RPKI usando TAL da AFRINIC.
2.0 Resumo de como esta proposta aborda o problema
Esta proposta instrui o AFRINIC a criar ROAs para todo o espaço de endereço não alocado e não atribuído sob seu controle. Isso permitirá que as redes que executam a validação de origem BGP baseada em RPKI rejeitem facilmente todos os anúncios falsos que cobrem os recursos gerenciados pelo AFRINIC.
Atualmente, na ausência de qualquer ROA, esses bogons são marcados como NotFound. Como muitas operadoras implementaram o ROV e planejam ou já descartam Invalid, todos os ROAs AS0 que o AFRINIC criará para o espaço de endereço não alocado também serão descartados.
O processo para períodos de validade do ROA e liberação dos ROAs antes da atribuição / alocação pelo AFRINIC é deixado para a equipe do AFRINIC definir nos procedimentos internos.
Sugere-se que, se essa política for adotada, ela será colocada como uma nova seção no final do CPM. Essa modificação editorial pode ser feita pela equipe, renumerando / reordenando quaisquer seções relevantes, até ajustando títulos / legendas para a nova seção para melhor corresponder ao texto adotado.
3. Proposta
Nova seção de CPM da seguinte forma:
|
Atual |
Proposto |
|
1 ROP RPKI para espaço de endereço AFRINIC não alocado e não atribuído AFRINIC criará ROAs com origem AS0 para todo o espaço de endereçamento não alocado e não atribuído (IPv4 e IPv6) do qual é o administrador atual. Qualquer detentor de recurso pode criar ROAs AS0 (zero) para os recursos que possui sob sua conta / administração. Um RPKI ROA é um atestado positivo de que um detentor de prefixo autorizou um Sistema Autônomo a originar uma rota para esse prefixo na tabela de roteamento global BGP. Um RPKI ROA para os mesmos prefixos com origem AS0 (zero) mostra uma intenção negativa do detentor do recurso de anunciar os prefixos na tabela de roteamento BGP global. Somente o AFRINIC tem autoridade para criar RPKI ROAs para o espaço de endereço ainda não alocado ou atribuído aos seus membros. Se o AFRINIC quiser alocar espaço de endereço para um de seus membros, o RPKI ROA ou ROAs com origem AS0 terá que ser revogado com antecedência. O espaço de endereço só pode ser alocado depois que o ROA ou ROAs com origem AS0 tiverem sido totalmente removidos e não estiverem visíveis nos repositórios. Os ROAs AS0 podem estar sob um Trust Anchor Locator (TAL) distinto, então se torna um serviço opcional e fornece medições separadas, pelo menos nas fases iniciais de implantação. Este e outros detalhes operacionais são deixados ao critério da AFRINIC. |
Referências 4.0
Uma proposta equivalente já alcançou consenso em APNIC e LACNIC.
Histórico de Revisão
Histórico de Revisão
|
Data |
Detalhes |
| 30 Julho 2020 |
Versão 2: AFPUB-2019-GEN-006-DRAFT02 TAL distinto |
|
4 novembro 2019 |
Versão 1: AFPUB-2019-GEN-006-DRAFT01 Inicie Draft Postado em rpd |
Avaliação de impacto da política AFRINIC
AVALIAÇÃO DA EQUIPE AFRÍNICA
| Data de avaliação | Relevante para a Proposta |
|---|---|
| Agosto 18 2020 | AFPUB-2019-GEN-006-DRAFT02 |
1.0 Interpretação e compreensão da proposta pela equipe
- Esta proposta requer que o AFRINIC crie ROAs com origem AS0 para todos os seus não alocados e não atribuídos IPv4 e IPv6 espaço de endereço que administra atualmente. espaço não alocado e não atribuído aqui significa espaço disponível e reservado de acordo com o arquivo de estatísticas delegadas estendido AFRINIC.
- Os novos prefixos recebidos da IANA / PTI teriam imediatamente ROAs AS0.
- Todos os prefixos retornados ou reclamados por membros também terão ROAs AS0
- Quando o AFRINIC aloca espaço de endereçamento para um de seus membros de recurso, o RPKI ROA ou ROAs com origem AS0 cobrindo o espaço primeiro terá que ser revogado E não estar visível nos repositórios, antes que a alocação / atribuição possa acontecer.
- O processo para períodos de validade do ROA e liberação dos ROAs antes da atribuição / alocação pelo AFRINIC é deixado para a equipe do AFRINIC definir nos procedimentos internos.
- Os ROAs AS0 podem estar sob um Trust Anchor Locator (TAL) distinto, então se torna um serviço opcional e fornece medições separadas, pelo menos nas fases iniciais de implantação.
- O período de validade para esses ROAs deve ser de 10 anos (como atualmente é para todos os ROAs), a menos que um período de validade específico seja especificado pelos autores da proposta de política.
Impacto nos membros
Um membro do recurso pode criar ROAs AS0 (zero) para os recursos (por exemplo, prefixos de peering de IXPs) que possui sob sua conta / administração para recursos que não pretende anunciar.
Os Membros de Recursos precisam garantir que não criem ROAs AS0 para recursos que devem ser anunciados de acordo com o Manual de Política Consolidado.
2.0 Comentários da equipe da AFRINIC sobre a clareza da política
nenhum
3.0 Pedidos de Esclarecimento da Equipe AFRINIC
Qual será o período de validade desses ROAs AS0? 10 anos?
4.0 Comentários da equipe sobre as áreas de impacto
Impacto nas funções de registro
- Será necessária uma atualização do sistema de gestão de inventário AFRINIC para implementar esta política
- Automatização da criação de AS0 ROAs para recursos atualmente não alocados em seu estoque, bem como recursos de entrada (seja de recuperação de recursos, devoluções ou reposição de seu pool de IANA / PTI)
- Ajustes do processo de emissão de recursos, bem como prazos, para garantir que os ROAs sejam revogados e que os ROAs revogados sejam removidos dos repositórios dos validadores antes que os recursos sejam emitidos. (James Chirwa para fornecer o tempo que isso leva atualmente).
- Será necessária uma atualização nas interfaces de sistemas AFRINIC e controles internos usados para gerenciamento de recursos e transferência
- Melhore o monitoramento geral para garantir que os membros não criem consistentemente ROAs com AS0 com os prefixos que eles precisam anunciar em conformidade com as políticas sob as quais receberam esses recursos.
- As políticas existentes implementadas ou em implementação serão levadas em consideração para que uma verificação seja executada para determinar quais prefixos de uso não requerem um anúncio no roteamento global
- A documentação do membro para gestão de ROAs deve ser atualizada
Impacto no RPKI
No lado do RPKI, 3 opções foram selecionadas, notavelmente,
- Use a árvore AFRINIC RPKI existente
- Certificado de produção adicional (0/0) apenas para espaço não alocado
- Nova âncora de confiança com um único certificado de produção
A AFRINIC recomenda a opção C porque ela se torna um serviço opcional e não polui o RPKI atual.
Avaliação Legal
Sem comentários
5.0 Cronograma de Implementação
A política pode ser implementada conforme escrita dentro de 6 meses a partir da última chamada.
