<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Sep 18, 2018 at 2:32 PM Owen DeLong <<a href="mailto:owen@delong.com">owen@delong.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><br><div><br><blockquote type="cite"><div>On Sep 18, 2018, at 2:15 PM, Christopher Morrow <<a href="mailto:morrowc.lists@gmail.com" target="_blank">morrowc.lists@gmail.com</a>> wrote:</div><br class="m_-1228850160088940206Apple-interchange-newline"><div><div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Sep 18, 2018 at 1:33 PM nusenu <<a href="mailto:nusenu-lists@riseup.net" target="_blank">nusenu-lists@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Christopher Morrow wrote:<br>
> Perhaps this was answered elsewhere, but: "Why is this something<br>
> ARIN (the org) should take on?"<br>
<br>
Thanks for this question, I believe this is an important one.<br>
<br>
I reasoned about why I think RIRs are in a good position to send these emails here: [1]<br>
but I will quote from it for convenience:<br>
<br>
> Notifying affected IP Holders<br>
> <br>
> The natural next step (and that was our initial intention when<br>
> looking at INVALIDs) would be to send out emails to affected IP<br>
> holders and ask them to address the INVALIDs but although that could<br>
> be automated, we believe the impact would be better, if that email<br>
> came from some trusted entity like the RIR relevant to the affected<br>
> IP holder instead of a random entity they never had any contact<br>
> before (us).<br>
> <br>
> Asking RIRs to reach out to their members also scales better since<br>
> every RIR would only have to take care of their own members.<br>
[...]<br>
<br></blockquote><div><br></div><div>i don't know that the contacts the RIR has for the entity is necessarily the one that controls/deals-with the RPKI data though.</div></div></div></div></blockquote><div><br></div>It sort of has to be, as managing your RPKI data (at least in the ARIN region) involves doing it through your ARIN On-Line account which must be associated with the ORG associated with the resources in question.</div><div><br></div></div></blockquote><div><br></div><div>I think I can manage my employer's RPKI data, and I'm not on the tech/admin/etc handles...</div><div>I think I can also ask the person(s) who are to do it and they may have no idea what I'm asking beyond: "click these 5 things, type that thing, thanks!"</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div><div dir="ltr"><div class="gmail_quote"><div>I also think that generally if folk set all that up they probably know</div></div></div></div></blockquote></div></div></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div><div dir="ltr"><div class="gmail_quote"><div>(or will soon enough) that they have a mistake.</div></div></div></div></blockquote></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><div><br></div>You overestimate some things here.</div><div><br></div></div></blockquote><div><br></div><div>probably, but ... eventually if your internet gets very small you'll look at why.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div><div dir="ltr"><div class="gmail_quote"><div>Generally speaking, I think "folk should fix themselves, and maintain/monitor their configuration", that ARIN (or anyone else sending 'unsolicited email') here is going to end badly in the worst case and 'not have any effect' in the majority of cases.</div></div></div></div></blockquote><div><br></div>Agreed.</div><div><br></div></div></blockquote><div><br></div><div>perhaps this is really my point: "I have no confidence that ARIN doing this (or anyone else except an upstream network/peer) is going to effect change"</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div><div dir="ltr"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[1] <a href="https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c" rel="noreferrer" target="_blank">https://medium.com/@nusenu/towards-cleaning-up-rpki-invalids-d69b03ab8a8c</a><br>
<br>
<br>
> Why can't (or why isn't) this something that 'many' <br>
> monitoring/alerting companies/orgs are offering?<br>
<br>
There are companies offering BGP monitoring including RPKI ROAs, but<br>
the affected IP holders are unlikely customers of those monitoring<br>
services or generally aware of the problem.<br>
<br></blockquote><div><br></div><div>ok, maybe they should though? :) </div></div></div></div></blockquote><div><br></div>I love a good tautology.</div><div><br></div></div></blockquote><div><br></div><div>I'm glad you enjoyed it... you found the easter-egg!</div><div>Generally speaking though (and trying to be constructive) people who use BGP to manage reachability to their network resources really should monitor what their resources look like externally... and folk do offer services which do these things.</div><div><br>"As seen on TV .... bgp monitoring for you!" :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div><div dir="ltr"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> it's unclear, to me, why ARIN is in any better position than any<br>
> other party to perform this sort of activity? I would expect that, at<br>
> the base level, "I just got random/unexpected email from ARIN?" will<br>
> get dropped in the spam-can, while: "My monitoring company to which I<br>
> signed up/contracted emailed into my ticket-system for action..<br>
> better go do something!" is the path to incentivize.<br>
<br>
The problem is how do you make operators aware of the problem in the first place.<br>
<br></blockquote><div><br></div><div>ideally they are aware of thier own config, have a person(s) responsible for managing that configuration and care about reachability...  if they don't have that today, they will soon enough.</div></div></div></div></blockquote><div><br></div>Optimist!</div><div><br></div></div></blockquote><div><br></div><div>yea... it's probably as optimistic as your hope that irr data will get better? :)</div><div>I think as more things depend on reachability the state will improve... or that's my hope, yes.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div></div><div>Owen</div><div><br></div></div></blockquote></div></div>