On Sat, Feb 04, 2012 at 07:21:30PM +0100, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> wrote a message of 28 lines which said:
> Un route plus precise, sans alternative, sans ROA, voir avec ROA > invalide, ca passerait mieux qu'une lettre a La Poste. C'etait le > cas avec YouTube + PakTel. Je ne comprends pas. Du temps de YouTube-PakistanTelecom, la RPKI n'existait pas. Aujourd'hui, si les routeurs BGP validaient les ROA (un très gros si) et si YouTube avait émis un ROA pour ses préfixes (un autre si), alors, l'attaque PK serait bien été détectée et bloquée. Le fait d'être sur un préfixe plus spécifiqe n'aurait rien changé (attribut maxLength du ROA <http://www.bortzmeyer.org/6483.html>). > Le probleme c'est qu'il n'y a pas (a ma conaissance) de moyen > d'indentifier via route-maps si une route est une "plus precise" ou > non. Peu importe, le validateur, lui, marque comme invalide une annonce plus spécifique, s'il existe un ROA, même pour une annonce plus générale (c'est d'ailleurs aujourd'hui la principale cause d'invalidité accidentelle : créer un ROA pour le /20 en oubliant qu'on annonce un /22 ailleurs...) > Parce-qu'ajouter en meme temps un announce a la con (avec ROA valide > sur un AS dedie du FBI) c'est dificile ???? Techniquement, c'est trivial. Mais il me semble que, politiquement, c'est bien plus lourd. À la place d'ordonner au RIR d'annuler un préfixe utilisé par le méchant, il faudrait émettre un faux (je dis « un faux » parce que, même signé par le RIR, ce préfixe ne serait certainement pas alloué conformément aux politiques d'allocation du RIR). Un tel empoisonnement signifierait probablement la fin de la RPKI (plus personne ne validerait) donc, si le FBI compte utiliser la RPKI, il ne pourra le faire qu'une fois. Bonus : si le préfixe était alloué par le RIPE, et que l'annonce FBI était signée par ARIN, cela signifierait probablement la fin d'ARIN dans la RPKI (plus personne ne garderait leur clé comme « trust anchor » après un coup pareil). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
