[dns-esp] Transferencia de reversos inter-RIRs

Vie Abr 7 21:29:21 CLST 2017

Hola,
Hemos conversado sobre alternativas a los zonelets. El tema es que
- el sistema actual falla muy poco, esta vez hubieron dos fallas en poco tiempo, pero hay que remontar 4 o 5 años para encontrar otra falla.
- cualquier sistema nuevo va a tener que pasar por un periodo de transición donde van a Haber mas fallas que hoy
La conclusión fue que al dia de hoy no parece la mejor idea hacer una reingenieria de este proceso. De todas maneras estamos siempre observando la evolución de los servicios que los rir debemos prestar
Lo que si pensamos introducir son puntos de verificación y monitoreo adicionales para prevenir estas situaciones.
Saludos
Carlos
via Newton Mail [https://cloudmagic.com/k/d/mailapp?ct=pi&cv=9.6.18&pv=10.2.1&source=email_footer_2]
On Fri, Apr 7, 2017 at 5:30 PM, Luciano Minuchin <luciano.minuchin en gmail.com> wrote:
Hugo en mi caso si sabia del tema con RIPE, con respecto a los zonelets es un tema mas que interesante desde hace un tiempo que descubrí el tema en el mundo de los RIRs, surge en muchas oportunidades en las IP legadas de la época en que ARIN tenia gran parte de las mismas, esto aplica para muchas IP de la región.
Como bien dice el informe el sistema tiene demora en la aplicacion que puede ser entre 24 y 48 hs segun mi experiencia. Entiendo que el sistema de control de cambio no es el mas certero ya que se debería aplicar un control que emita alertas si se supera un umbral de cantidad de cambios en una publicación mas alla de que puede ser información verdadera para que una persona le de una mirada.
La opción de analizar un formato "push" puede ser un poco mejor, esta demora también afecta la subida de registro DS para zonas firmadas con DNSSEC en los reversos y posibles rollover.

Saludos. Luciano.

El 7 de abril de 2017, 12:45, Hugo Salgado-Hernández < hsalgado en nic.cl [hsalgado en nic.cl] > escribió:
Hola. No se si supieron que hubo un problema hace unas semanas
con los reversos de RIPE, que dejó fuera a varias organizaciones.
Hoy publicaron un reporte:
< https://labs.ripe.net/ Members/anandb/reverse-dns- outage-for-out-of-region- address-space/ [https://labs.ripe.net/Members/anandb/reverse-dns-outage-for-out-of-region-address-space/] >

No tenía idea del mecanismo de "zonelets" para informarse de
transferencias de bloques entre regiones. Es interesante problema!

Se me ocurre que una solución podría ser usar DNAMEs delegando
al nombre a una zona bajo control del RIR de destino. Siguiendo
el ejemplo mencionado en el artículo, RIPE podría publicar algo
como:
122.193.in-addr.arpa. IN DNAME 122.193.in-addr.arin.net [http://122.193.in-addr.arin.net] .

esto suponiendo que RIPE conoce de antemano que el recurso
fue transferido a ARIN (que *espero* sea ese el caso :) )

Esto deja la responsabilidad de publicar los NS al que realmente
corresponde, que es ARIN. DNAME tiene bastante despliegue, y
además se puede sintetizar en tiempo real, para ser
"retro-compatible".

La gente de LACNIC, sabe si esta solución se está discutiendo
como alternativa a los zonelets?

Saludos,

Hugo

______________________________ _________________
dns-esp mailing list
dns-esp en listas.nic.cl [dns-esp en listas.nic.cl]
https://listas.nic.cl/mailman/ listinfo/dns-esp [https://listas.nic.cl/mailman/listinfo/dns-esp]
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20170407/61ac9518/attachment.html>