Monitoreo de Trust-Anchors de RPKI / RPKI Trust-Anchor monitoring

    English Below

     

    -----

    En LACNIC estamos monitoreando el estado de los diferentes trust-anchors. Actualmente mantenemos un monitoreo de los repositorios de RIPE, APNIC y AfriNIC además del nuestro. Este lo pueden acceder en:

     

    http://www.labs.lacnic.net/~rpki/rpki-monitor/rpki-ta-status.xml

     

    Visualizando RPKI

    Esto es, claro está, además del material criptográfico necesario para poder validar la firma del ROA mismo.

    ¿Como se lee cada entrada del ROA? Tomando la primera línea de la tabla como ejemplo, lo que se establece es la afirmación en lenguaje natural "El prefijo 200.40.0.0/17 será anunciado por el sistema autónomo 6057 y podrá ser fraccionado en prefijos de hasta 20 bits de largo. Esto será valido desde el 2 de enero de 2011 hasta el 1 de enero de 2012"

    RIRs RPKI Numbers today

    In LACNIC we launched our RPKI system a few days ago. We were curious to know how many signed objects we have in our repository. As today using rcynic the RPKI Systems from RIPE, AfriNIC and LACNIC show the following data:

    LACNIC:

    6 CAs, 4 ROAs

    RIPE:

    90 CAs, 64 ROAs

    AfriNIC:

    2 CAs, 1 ROA

      We are working to monitor this data in an automatic way, and fortunately with some graphs. smiley

     

    LACNIC RPKI - Lanzamiento en Producción

    El día 1/1/2011 se lanzó en producción el sistema de Certificación de Recursos de LACNIC, el cual está accesible ya en la URL http://rpki.lacnic.net.

    A continuación reproduzco el comunicado oficial:

    Métrica #1 - Resultados de la primera medición - Diciembre de 2010

    metrica 1 medicion diciembre 2010 lacnic ipv6 dnsIntroducción

    Este documento presenta un sumario de los resultados obtenidos en las primeras mediciones de lo que llamamos Métrica #1 de adopción de IPv6.

    Primero, recordamos el objetivo de la Métrica #1: "Medir cuantos dominios son resolubles vía IPv6 en nuestra región". Esta medición es aplicada a un universo limitado de sitios compuesto por los ccTLDs de la región y los sitios de las Presidencias y Gobiernos de estos países.

    Para que un sitio web (o cualquier otro servicio de red) sea accesible por IPv6 su hostname tiene que tener al menos un registro "AAAA" listado en el sistema DNS que le brinde una dirección IPv6

    La consulta por la cual el cliente obtiene esa dirección puede ser realizada por IPv4 o por IPv6 de manera indistinta, ya que los procesos de resolución de nombres y el de acceso a los servicios están desacoplados. Sin embargo, el hecho de que un dominio tenga servidores DNS accesibles también por IPv6 es una medida de la madurez en la adopción del protocolo.

    Al igual manera que en un sitio web, para que un dominio sea resoluble por IPv6, al menos uno de los servidores listados en los registros NS del dominio tiene que tener un registro "AAAA".

    Debemos recordar también que el hecho de que un domino sea resoluble por IPv6 tampoco quiere decir que el resto servicios que este eventualmente presta (web, e-mail, etc.) estén accesibles por IPv6.  Este punto será el objetivo de una próxima medición.

    La medición fue realizada entre el 29 de noviembre y el 4 de diciembre de 2010

     

    DNS Pre-resolution en Google Chrome

    chromeDesde hace unos dias en una de las (ahora miles) de listas de correo de las que estoy participando hay una interesante discusión de como la cantidad de consultas DNS que genera un browser al abrir una página web ha aumentado con el tiempo.

    ¡DNSSEC me mordió la mano!

    La zona "labs.lacnic.net" es parte de otro experimento. Estoy firmando con DNSSEC la zona y estoy publicando la trusted key en el repositorio de ISC, http://dlv.isc.org. Mientras el .net no esté firmado y no reciba registros DS, el repositorio de ISC permite aplicar "Lookaside Validation" y permitir que servidores recursivos puedan validar la isla de confianza de "labs.lacnic.net".

    ccTLDs de la región de servicio de LACNIC resolubles por IPv6

    Les dejo los resultados de estas primeras corridas del test de resolubilidad por IPv6 de los ccTLDs de la región en formato mas gráfico.


    metrica 1 mapa lacnic

    Primeros resultados de la Métrica #1 de adopción de IPv6

    La consulta por la cual el cliente obtiene esa dirección puede ser realizada por IPv4 o por IPv6 de manera indistinta, ya que los procesos de resolución de nombres y el de acceso a los servicios están desacoplados. Sin embargo, el hecho de que un dominio tenga servidores DNS accesibles también por IPv6 es una medida de la madurez en la adopción del protocolo.

    Algunas conclusiones primarias sobre los ccTLDs de nuestra región:

    En este punto las noticias son buenas.

    LACNIC y el proyecto ATLAS de RIPE

    LACNIC estará participando del proyecto ATLAS de RIPE. Para ello estaremos alojando un probe activo desarrollado por RIPE Labs.

    Estos probes son en si mismos muy interesantes. Son pequeños dispositivos de hardware, que toman alimentación de un puerto USB, y que corren un kernel Linux con algunos servicios como SSH y HTTP.

    Algunas fotografías del dispositivo: