Detalhes
IDENTIDADE: AFPUB-2019-GEN-001-DRAFT01 |
Versão: 1.0 Estado: Expirado Obsoletos: |
Autores: Carlos Friacascfriacas Jordi Palet Martinez António Godinho |
Altera: (Novo) | ||
Submetido: 17 Maio 2019 |
Proposta
1.0 Resumo do problema tratado nesta proposta
Esta proposta visa esclarecer que o seqüestro de recursos não é aceito como prática normal na região de serviço do AFRINIC, principalmente porque nega o objetivo principal de executar um Registro (Internet Regional). A proposta não se refere a erros operacionais simples - destina-se a abordar eventos de seqüestro deliberados.
Um "seqüestro" é definido como o anúncio de um prefixo para outra rede sem o consentimento do detentor do recurso ou o ato de arrendar ou vender recursos de numeração que têm direitos exclusivos de uso por terceiros (novamente, sem o consentimento deles). O seqüestro não é um comportamento aceitável e deve haver consequências para aqueles que têm um contrato de serviço (direta ou indiretamente) com o AFRINIC. Esta proposta visa esclarecer que um sequestro intencional é realmente uma violação da política.
É importante afirmar que as vítimas de eventos intencionais, persistentes e seqüestros não são apenas detentores de recursos legítimos, mas também qualquer outra rede de terceiros que recebe informações de roteamento que não foram originadas com a aprovação de um detentor legítimo de recursos. Esse conjunto mais amplo de vítimas, que pode ser praticamente qualquer rede no mundo, também está sujeito a perdas causadas por adulteração ou interferência na comunicação (cometidas por um evento de seqüestro).
O seqüestro de recursos (embora não limitado ao abaixo) geralmente é observado como tendo vários objetivos:
- Desviar a aplicação da lei da origem real de pacotes vinculados a atividades ilegais;
- Fazendo uso temporário do espaço de endereço sem nenhum custo de manutenção associado (ou seja, RIR Filiação);
- Representar redes e serviços de terceiros;
- Espionar o tráfego de redes de terceiros (ou seja, ataques man-in-the-middle);
- Interrompendo as comunicações IP entre duas ou mais redes de terceiros.
uma. Argumentos que apóiam a proposta
- O seqüestro de recursos invalida completamente o objetivo de um registro regional da Internet;
- Existe uma lacuna nas políticas do AFRINIC, que permite o suporte de operações de seqüestro com um conjunto de recursos legítimos obtidos do Registro;
- Os detentores de recursos legítimos precisam ver seus direitos exclusivos de uso melhor defendidos no nível do Registro;
- Ter uma regra / política em vigor na AFRINIC contra o seqüestro de recursos pode impedir que alguns atores se envolvam em práticas abusivas;
- Se nada mudar nesse campo, a reputação da AFRINIC e da região de serviços da AFRINIC continuará sendo afetada da perspectiva da segurança cibernética devido a eventos de seqüestro.
b. Argumentos contra a proposta
- Nem a comunidade AFRINIC nem a AFRINIC são a "Polícia de Roteamento".
Mitigação / contra-argumento: Ninguém tentará ditar a ninguém como deve ser sua política de roteamento a qualquer momento. No entanto, o AFRINIC precisa poder optar por não entrar (ou manter) um relacionamento contratual com pessoas / empresas que estão realizando seqüestros de recursos. Já existem fontes suficientes de dados de roteamento históricos e quase em tempo real que funcionam como um observatório mundial. A partir dessas fontes, é possível avaliar com precisão quem está executando sequestros de recursos e prejudicando (ou tentando prejudicar) redes de terceiros ao fazê-lo. Os especialistas externos são meros avaliadores, que podem usar os conjuntos disponíveis de dados de roteamento para determinar se ocorreram eventos de seqüestro de recursos e se foram intencionais.
- Uma violação de política pode ser determinada após um simples erro cometido durante a operação do BGP.
Mitigação / contra-argumento: Em primeiro lugar, iniciar um processo depende de um relatório. Em seguida, a análise de especialistas determinará se o seqüestro é uma ação comum do membro da AFRINIC sobre a qual o relatório foi publicado ou se eles apenas cometeram um erro operacional. Os dados sobre o protocolo de roteamento (global) são enormes e, se os especialistas não encontrarem evidências relacionadas suficientes, o relatório será descartado.
- Esta proposta coloca o AFRINIC em um território legal difícil.
Mitigação / contra-argumento: O AFRINIC segue as regras / políticas emitidas pela comunidade. No entanto, se um suspeito de seqüestrador entrar com uma ação contra o AFRINIC, o seguro legal pode ser uma possibilidade (mesmo se houver um custo associado).
- Uma única parte inocente acusada erroneamente é pior do que cem seqüestradores de recursos pararam.
Mitigação / contra-argumento: Embora isso seja válido em quase todas as jurisdições legais, não impede a existência de regras ou leis. A proposta está simplesmente tentando acabar com uma lacuna clara no conjunto de regras da região AFRÍNICA.
- O reconhecimento de mais violações de política não melhorará a segurança do roteamento global. Ferramentas como RPKI, MANRS ou outras ainda devem ser usadas.
Mitigação / contra-argumento: O grau de implantação de RPKI ou MANRS ainda é muito baixo e essa política é necessária para solucionar essa falta de implantação. A necessidade dessa política deve ser revisada em alguns anos, quando diferentes estágios de implantação forem alcançados pelo RPKI, MANRS e outras ferramentas.
2.0 Resumo de como esta proposta aborda o problema
Certifique-se de que exista uma política explícita sobre esse problema e que a comunidade possa resolvê-lo.
3. Proposta
Uma nova seção será inserida no CPM. A numeração desta seção e o posicionamento exato no manual de políticas ficam a critério da equipe da AFRINIC.
1.0 IntroduçãoHijacks acontecem quase diariamente. O sequestro de recursos ocorre principalmente, mas não exclusivamente, por meio do uso do eBGP. No restante deste documento, "hijacks" deve ser interpretado como o anúncio de qualquer tipo de recurso (IPv4, IPv6, ASN), sem o consentimento do legítimo detentor do recurso, incluindo os não alocados / não atribuídos. Os invasores têm características de visibilidade diferentes. Eles podem estar em escala global (propagada para todas as redes) ou restritos (apenas uma ou algumas redes). Seus impactos também podem variar, e não são apenas os detentores de recursos que são afetados, mas também as redes (e usuários finais) que recebem rotas ilegítimas / seqüestradas e sofrem as conseqüências indiretas disso. Já existem iniciativas e tecnologias como MANRS e RPKI, que infelizmente não são suficientes para reduzir significativamente os seqüestros. Embora o MANRS e o RPKI sejam fortemente incentivados, a política deve abordar a falta de regras da comunidade sobre o seqüestro. Através deste documento, a comunidade AFRINIC esclarece que o seqüestro não é uma prática aceitável. O AFRINIC não é um mero “registro virtual de terras”, devido ao fato de também ter um papel na distribuição de recursos e ser uma organização baseada em membros com um estatuto para apoiar uma comunidade maior de usuários. Qualquer seqüestro persistente pode ser entendido como minando a credibilidade do AFRINIC como um registro; portanto, a política é necessária como uma forma de auto-regulação do setor. Essa política não tenta solucionar problemas causados por erros operacionais ou seqüestros ocasionais, mas tenta criar uma maneira de as vítimas denunciar sequestros intencionais persistentes. Ao tornar públicos e pesquisáveis mais desses casos, cada Sistema Autônomo terá informações adicionais para informar suas decisões sobre interconexão. |
2.0 O seqüestro de recursos é uma violação da políticaUm seqüestro é geralmente entendido como o anúncio de rotas para terceiros sem o consentimento do detentor do recurso. Isso é considerado uma violação da política da AFRINIC. Um seqüestro de recursos de numeração ou o anúncio de espaço de endereçamento IP não alocado ou não atribuído ou números de sistemas autônomos a terceiros também são considerados uma violação da política. A vítima de um seqüestro não é apenas o proprietário legítimo dos recursos seqüestrados, mas também aqueles que recebem anúncios de prefixos sequestrados. Em um contexto de venda ou concessão, tanto o proprietário legítimo quanto a parte que paga pelo uso dos recursos são vítimas. Somente relatórios nos quais o suspeito seqüestrador está sujeito às políticas da AFRINIC podem ser investigados. |
3.0 Escopo: Acidental vs. DeliberadoÉ possível fazer uma distinção entre seqüestros acidentais ou deliberados dos conjuntos de dados de roteamento disponíveis, analisando parâmetros como duração, recorrência, possíveis objetivos e o tamanho dos blocos seqüestrados. Outros parâmetros também podem ser considerados no futuro. Os eventos acidentais geralmente surgem de situações em que um prefixo sequestrado ou ASN é muito semelhante a outros recursos mantidos pela origem do hijack. |
4.0 Linhas de AçãoO AFRINIC não pode monitorar a ocorrência de seqüestros de recursos ou avaliar se eles são violações de políticas. Portanto, deve contar com partes externas, tanto para denunciar seqüestros quanto para determinar se são deliberadas. Os relatórios enviados ao AFRINIC devem incluir um conjunto mínimo de detalhes, como: “Redes afetadas”, “Infrator ASN”,“ Por que estou relatando este Hijack? (Titular ou Parte Receptora) ”,“ Prefixos sequestrados /ASNs ”e“ Período de tempo ”. Esta não é uma lista definitiva e outros detalhes também podem ser necessários. AFRINIC fornecerá um formulário baseado na web (ou alternativas equivalentes) para enviar relatórios. Informações sobre as rotas sequestradas /ASNs relatados serão disponibilizados publicamente para limitar o risco de envio de relatórios duplicados. As partes envolvidas serão notificadas assim que forem identificadas. Isso permitirá que eles forneçam informações relevantes e atenuem o seqüestro, evitando danos adicionais e possivelmente falsas alegações. O AFRINIC definirá um conjunto de especialistas em todo o mundo que podem avaliar se os seqüestros relatados constituem violações de políticas. Os especialistas desse pool farão um julgamento sobre cada caso relatado, no prazo de seis semanas a partir do momento em que o relatório foi recebido. Se este relatório de julgamento não for concluído dentro de seis semanas, o caso será julgado improcedente. Os fornecedores diretos a montante ou de trânsito de um seqüestrador suspeito que facilitem um sequestro por meio de suas redes devem ser notificados sobre a publicação de um relatório de julgamento. Isso não deve ser considerado um aviso formal e não é necessária uma resposta. No entanto, a notificação perguntará se eles podem fornecer informações adicionais ou identificar algo estranho. A investigação especializada pode sugerir outras organizações relacionadas (como vários LIRs de um único grupo empresarial), que podem ser consideradas pela AFRINIC no caso de um futuro processo de encerramento. Essa possibilidade visa evitar que os sequestradores continuem suas atividades a partir de uma rede de cliente simulada. A investigação especializada também pode identificar relacionamentos entre LIRs / usuários finais nos mesmos grupos de negócios. Se um suposto seqüestrador puder demonstrar que sua infraestrutura foi inadequadamente manipulada por terceiros (por exemplo, roteadores comprometidos), o sequestro não poderá ser considerado intencional. |
5.0 Expert: DefiniçãoUm especialista é uma parte externa da AFRINIC, de preferência com pelo menos cinco anos de experiência com eBGP lidando com configurações relacionadas a fornecedores de peering e de trânsito. Os especialistas devem estar familiarizados com as formas comuns de acordos de interconexão, tanto dentro quanto fora da região de serviço AFRINIC. |
6.0 Grupo de especialistasO procedimento de seleção para o grupo de especialistas deve ser aberto e gerido pela AFRINIC, possivelmente em colaboração com outros RIRs:
|
Procedimento 7.0O procedimento deve incorporar pelo menos os seguintes elementos:
|
8.0 RetroatividadeSomente os eventos de seqüestro que ocorrem após a implementação desta política são elegíveis para serem considerados. |
9.0 Elegibilidade do relatório e das evidênciasSomente redes diretamente afetadas por um seqüestro podem registrar um relatório. Um relatório só pode ser arquivado:
Um relatório não é admissível se a pessoa que o denunciou não foi afetada pelo sequestro. Evidências com mais de seis meses, contadas a partir do momento em que um relatório é enviado, não podem ser consideradas ou incluídas em nenhum relatório de especialista. |
10.0 Fontes de informação para especialistas:ExemplosO seguinte é apenas uma referência, não uma lista exaustiva:
|
11.0 Diretrizes para especialistasTodas as informações não privadas divulgadas pelas partes acusadas ao se oporem a um relatório específico devem ser incluídas no relatório do especialista (pelo menos em um apêndice). Os registros da empresa (www.ebr.org e similares) podem ser úteis para determinar se diferentes empresas podem ser associadas ao mesmo ator. Deve-se ter cuidado especial em situações em que um prefixo seqüestrado é muito semelhante a um prefixo legitimamente mantido por uma parte acusada. Nesses casos, verificar se o prefixo legítimo foi anunciado no mesmo período pode lançar alguma luz sobre o caso. Vazamentos e agachamentos estão fora do escopo desta política. Qualquer caso estritamente relacionado a vazamentos ou agachamentos deve ser julgado improcedente. |
12.0 Possíveis objeçõesUm relatório contendo uma opinião especializada sobre o caso será enviado ao suspeito seqüestrador. Essa parte terá, no máximo, quatro semanas para se opor a quaisquer conclusões contidas no relatório. Quaisquer objeções são então avaliadas e julgadas admissíveis / não admissíveis pelos especialistas, durante um período de revisão máximo de duas semanas. Depois disso, o relatório é finalizado e publicado. |
13.0 RecursosApós a publicação do relatório final do especialista, o suposto seqüestrador tem no máximo duas semanas para poder interpor recurso. Se um recurso for apresentado, um conjunto alternativo de especialistas (no mínimo três) analisará o relatório por um período máximo de quatro semanas. Para manter uma decisão de "seqüestro intencional", todos os especialistas envolvidos na revisão precisam concordar que isso ocorreu. Os resultados desta revisão são finais e não podem mais ser apelados. |
14.0 RatificaçãoDepois que o relatório for publicado, qualquer violação de política precisará ser ratificada por todos os especialistas envolvidos no caso, após uma consulta pública de duas semanas sobre o relatório. Se a ratificação não for declarada por unanimidade, o relatório será rejeitado. A ratificação será adiada em caso de recurso, até que o segundo conjunto de especialistas publique sua revisão. Os especialistas podem se recusar a ratificar um relatório com base em fontes de informações não divulgadas ou em contribuições da consulta pública. |
15.0 Período de transiçãoAssim que a implementação da política for concluída, um período de transição de seis meses será estabelecido. Isso permitirá que as organizações que anunciam espaço de endereço não atribuído ou Números de sistema autônomo (devido a erros operacionais ou outros motivos não maliciosos) recebam apenas um aviso. Os “Bogons” existentes no momento da implementação da política devem ser tratados como exclusões e os casos em que são referenciados devem ser descartados antes de conceder um caso a especialistas. |
16.0 Detentores de recursos herdadosSe uma parte acusada for detentora de recursos herdados (com uma relação direta ou indireta com a AFRINIC), o registro de seus recursos herdados não será afetado, pois as políticas não são aplicáveis a esses recursos. No entanto, se uma violação de política for ratificada, o que será descrito na seção 17.0 será aplicado; nesse caso, outros serviços AFRINIC, como DNS reverso ou Certificação de Recursos (RPKI), poderão ser negados à parte acusada. |
17.0 Violações continuadas relacionadas ao seqüestro de recursos da mesma parteNos casos em que um detentor de recursos tenha sequestrado regularmente e repetidamente recursos de rede, não alocados ou autorizados para seu uso, serão iniciados procedimentos relevantes de política ou associação para fechamento de membros / recuperação de recursos. Esta política não endossa o início de um procedimento de encerramento de conta de membro com base em uma única violação da política. |
5. Referências
A proposta de política já foi submetida ao RIPE, LACNIC e ARIN. Trabalhos em andamento para envio de APNIC. Em alguns casos, ele já foi publicado e as discussões foram iniciadas nos explosores de correio relevantes.
• MADURO: https://www.ripe.net/participate/policies/proposals/2019-03
• ARIN: https://www.arin.net/participate/policy/proposals/2019/ARIN_prop_266_orig/
• LACNIC: https://politicas.lacnic.net/politicas/detail/id/LAC-2019-5
Avaliação da equipe
Proposta |
AFPUB-2019-GEN-001-DRAFT01 |
Título |
Disposições para o seqüestro de recursos |
UR da proposta |
https://afrinic.net/policy/proposals/provisions-for-resource-hijacking#proposal |
Avaliadas |
21 de Julho de 2019 |
1.0 Entendimento da proposta pela equipe
- A proposta determina que os eventos de seqüestro de recursos intencionais e deliberados sejam reconhecidos como violações de política quando o seqüestrador de recursos estiver sob o AFRINIC RSA, direta ou indiretamente.
- Um seqüestro de recursos é reconhecido quando:
- anunciar um prefixo para outra rede sem o consentimento do detentor do recurso
- locação ou venda de recursos de numeração que tenham direitos exclusivos de uso por terceiros sem o seu consentimento.
- Um sequestro só pode ser confirmado como um por um grupo de especialistas cujo processo de seleção e Termos de Referência aproximados estão indicados na proposta. AFRINIC irá "definir" este pool de (especialistas mundiais).
- O AFRINIC fornecerá um formulário baseado na Web onde os seqüestros podem ser denunciados por qualquer pessoa. Todos os seqüestros relatados devem permanecer informações públicas.
2.0 Comentários da equipe
- Seção 7 (f) - Para que um evento seja identificado como um sequestro intencional, deve haver unanimidade entre todos os especialistas no caso. A palavra "Unanimidade" significa que todos os "especialistas" devem concordar em uma decisão. O autor deve esclarecer se esse é o verdadeiro significado ou pode ser um caso de "Consenso" sendo necessário.
- A seção 11.0 afirma que a ocupação está fora do escopo da política. No entanto - a equipe acredita que o agachamento deve ser considerado para garantir a RIR também é protegido e os objetivos para proteger o RIR de perder seu objetivo principal de executar um Registro (da Internet regional) ainda é mantida.
- Seção 17.0 "Violação contínua" é ambígua; um número específico de violações pode ser dado para tornar definitivo e mais fácil para o pessoal aplicar.
3.0 Observações legais
nenhum
4.0 Implementação:
4.1 Cronograma e Impacto
Não está previsto nenhum impacto significativo para o AFRINIC e a proposta será implementada em tempo hábil, conforme escrito.
- Requisitos de Implementação
- Formulários baseados na Web para relatar eventos de seqüestro.
- manter uma lista pública de seqüestros relatados
- Definir o conjunto de especialistas em todo o mundo para confirmar os sequestros relatados.