[Nlnog] RPKI certification & BGPMON add-in

Jac Kloots Jac.Kloots at surfnet.nl
Wed Apr 20 20:00:28 UTC 2011 

Erik,

On Wed, 20 Apr 2011, Erik Bais wrote:

> Hoi,
>
> Ik heb gisteren even zitten te twitteren met Andree Tonk van BGPMon.net, 
> nadat ik gelezen had dat hij druk bezig is met het implementeren van RPKI 
> route validation.
>
> Voorbeeld :  whois -h bgpmon.net 46.244.0.0/17| grep RPKI
>
> De RPKI certification is iets wat je via de RIPE LIR portal kan instellen 
> voor je eigen PA prefixes. Dat kost je een kleine 5 tot 10 minuten omdat 
> even in te regelen.  Meer info : http://ripe.net/certification/
>
> Mijn vragen hier:
>
> * Heb je al eens naar Resource certification gekeken ?

Ja :) SURFnet heeft op dit moment een project lopen om hier uitgebreid naar 
te kijken. Ik verwacht ook dat er uiterlijk augustus dit jaar een BCP 
beschikbaar is.

> * Heb je je eigen prefixes al via de LIR portal onder een ROA gezet ?

Ja :)

> * Ben je op de hoogte dat er een RIPE policy proposal mbt RPKI momenteel 
> ter goedkeuring ligt bij de address-policy-wg @ RIPE ? 
> (http://www.ripe.net/ripe/policies/proposals/2008-08 )

Ja :)

>        o Wat is je mening hierover ? En ben je op de komende RIPE meeting 
> (mei 2011 - Amsterdam) aanwezig waar dit verder besproken gaat worden ?

Zo snel mogelijk goedkeuren!

> * Denk je dat je zelf dit systeem zou gaan gebruiken om:
>        o       Routes van klanten te checken voordat je transit voor ze gaat verzorgen.
>        o       Routes van je peers / transits te checken.

Beide, al vermoed ik dat de tweede optie eerder door SURFnet zal worden 
geimplementeerd dan de eerste. We kennen de prefixen van onze klanten exact 
en filteren daar nu ook op.

>
> Persoonlijk zou ik zelf graag zien dat RPKI zsm in een RIPE policy wordt 
> overgenomen, om daarna zsm ook PI te gaan ondersteunen, aangezien de kans 
> groter is dat iemand met rare prefixes aankomt zetten die geen PA zijn.

PI heeft nog wel wat problemen, hoe verifieer je als RIPE zijnde 
bijvoorbeeld de eigenaar van de resources (voor het signeren van de Resource 
Certificaten).

Jac



-- 
Jac Kloots
Network Services
SURFnet bv

More information about the NLNOG mailing list