KSK CEREMONY 5
The fifth KSK ceremony for the root zone will take place in Culpeper,
VA, USA on Wednesday 2011-05-11. The ceremony is scheduled to begin
at 1300 local time (1700 UTC) and is expected to end by 1600 local
time (2000 UTC).
Video from Ceremony 5 will be recorded for audit purposes. Video
and associated audit materials will be published 1 to 2 weeks after
the ceremony, and will be available as usual by following the "KSK
Ceremony Materials" link at <https://www.iana.org/dnssec/>.
ICANN will operate a separate camera whose video will not be retained
for audit purposes, but which will instead be streamed live in order
to provide remote observers an opportunity to watch the ceremony.
The live stream will be provided on a best-effort basis. The live
video stream will be available at <http://dns.icann.org/ksk/stream/>.
Ceremony 5 will include processing of a Key Signing Request (KSR)
generated by VeriSign, and the resulting Signed Key Response (SKR)
will contain signatures for Q3 2011.
CONTACT INFORMATION
We'd like to hear from you. If you have feedback for us, please
send it to rootsign at icann.org.
Op verzoek van Andree.
Verstuurd vanaf mijn iPad
Begin doorgestuurd bericht:
Van: Andree Toonk <andree at toonk.nl<mailto:andree at toonk.nl>>
Datum: April 21, 2011 5:22:05 GMT+02:00
Aan: "NLNOG at nlnog.net<mailto:NLNOG at nlnog.net>" <NLNOG at nlnog.net<mailto:NLNOG at nlnog.net>>
Kopie: Erik Bais <erik at bais.name<mailto:erik at bais.name>>, Alex Band <alexb at ripe.net<mailto:alexb at ripe.net>>
Onderwerp: Antw.: RPKI certification & BGPMON add-in
Goedemorgen Nlnog,
.-- My secret spy satellite informs me that at 11-04-20 2:10 AM Erik
Bais wrote:
Ik heb gisteren even zitten te twitteren met Andree Tonk van BGPMon.net<http://BGPMon.net>, nadat ik gelezen had dat hij druk bezig is met het implementeren van RPKI route validation.
Voorbeeld : whois -h bgpmon.net<http://bgpmon.net> 46.244.0.0/17| grep RPKI
De RPKI certification is iets wat je via de RIPE LIR portal kan instellen voor je eigen PA prefixes. Dat kost je een kleine 5 tot 10 minuten omdat even in te regelen. Meer info : <http://ripe.net/certification/> http://ripe.net/certification/
Voor de early adopters die naar aanleiding van deze email thread ROA?s
gemaakt hebben en graag willen testen, zie hier hoe je je ROA?s kan
testen met onze whois service: <http://bgpmon.net/blog/?p=414> http://bgpmon.net/blog/?p=414
Voor degene die BGPmon.net<http://BGPmon.net> gebruiken voor het monitoren van je netwerken:
Het is nu mogelijk (beta) om ook te monitoren voor de RPKI validatie
status. BGPmon checked of de announcements voor je prefixes geldig zijn
volgens de ROA(s) en waarschuwt je in het geval van een validatie failure.
Mocht je ge?nteresseerd zijn in het testen van deze feature , stuur me
een mailtje en dan enable ik dit voor je.
Groeten Andree
Hoi,
Ik heb gisteren even zitten te twitteren met Andree Tonk van BGPMon.net, nadat ik gelezen had dat hij druk bezig is met het implementeren van RPKI route validation.
Voorbeeld : whois -h bgpmon.net 46.244.0.0/17| grep RPKI
De RPKI certification is iets wat je via de RIPE LIR portal kan instellen voor je eigen PA prefixes. Dat kost je een kleine 5 tot 10 minuten omdat even in te regelen. Meer info : http://ripe.net/certification/
Mijn vragen hier:
* Heb je al eens naar Resource certification gekeken ?
* Heb je je eigen prefixes al via de LIR portal onder een ROA gezet ?
* Ben je op de hoogte dat er een RIPE policy proposal mbt RPKI momenteel ter goedkeuring ligt bij de address-policy-wg @ RIPE ? (http://www.ripe.net/ripe/policies/proposals/2008-08 )
o Wat is je mening hierover ? En ben je op de komende RIPE meeting (mei 2011 - Amsterdam) aanwezig waar dit verder besproken gaat worden ?
* Denk je dat je zelf dit systeem zou gaan gebruiken om:
o Routes van klanten te checken voordat je transit voor ze gaat verzorgen.
o Routes van je peers / transits te checken.
Persoonlijk zou ik zelf graag zien dat RPKI zsm in een RIPE policy wordt overgenomen, om daarna zsm ook PI te gaan ondersteunen, aangezien de kans groter is dat iemand met rare prefixes aankomt zetten die geen PA zijn.
Mvg,
Erik Bais
Ps. Ik heb zowel Alex Band (de product manager mbt RPKI bij RIPE) en Andree Toonk (BGPMon.net) in cc gezet. Ik weet niet of ze ook via de maillijst kunnen mailen.
On 20 Apr 2011, at 13:25, Mark Meijerink wrote:
> De implementatie van Andree is een eerste aanzet voor het kunnen verifi?ren van de route origin. En zeker bruikbaar voor een eerste handmatige controle van prefixes. Het het is nu wachten op een implementatie in de routeing software van routers.
Wij werken actief samen met Cisco om RPKI-Router ondersteuning te ontwikkelen. Ik heb hier twee Cisco 7200s liggen met beta RPKI-RTR firmware, waar wij een (open source, niet-vendor specifieke) validation toolset omheen bouwen:
https://datatracker.ietf.org/doc/draft-ietf-sidr-rpki-rtr/
Juniper is hier ook actief mee bezig. In Q4 2011 kun je de eerste firmwares van fabrikanten verwachten. Dan zorgen wij dat er een end-to-end oplossing is.
-Alex
_____
From: Erik Bais [mailto:erik@bais.name]
To: NLNOG at nlnog.net [mailto:NLNOG at nlnog.net]
Cc: Andree at bgpmon.net [mailto:Andree at bgpmon.net] Alex Band [mailto:alexb at ripe.net]
Sent: Wed, 20 Apr 2011 11:10:03 +0200
Subject: [Nlnog] RPKI certification & BGPMON add-in
Hoi,
Ik heb gisteren even zitten te twitteren met Andree Tonk van BGPMon.net, nadat ik gelezen had dat hij druk bezig is met het implementeren van RPKI route validation.
Voorbeeld : whois -h bgpmon.net 46.244.0.0/17| grep RPKI
De RPKI certification is iets wat je via de RIPE LIR portal kan instellen voor je eigen PA prefixes. Dat kost je een kleine 5 tot 10 minuten omdat even in te regelen. Meer info : http://ripe.net/certification/
Mijn vragen hier:
* Heb je al eens naar Resource certification gekeken ?
* Heb je je eigen prefixes al via de LIR portal onder een ROA gezet ?
* Ben je op de hoogte dat er een RIPE policy proposal mbt RPKI momenteel ter goedkeuring ligt bij de address-policy-wg @ RIPE ? (http://www.ripe.net/ripe/policies/proposals/2008-08 )
o Wat is je mening hierover ? En ben je op de komende RIPE meeting (mei 2011 - Amsterdam) aanwezig waar dit verder besproken gaat worden ?
Ik heb bij ons de prefixes er reeds in staan, inclusief de blokjes die we buiten ons eigen AS gebruiken.
Het is naar mijn mening een nuttig concept en hoop ook dat het wat breder (meer partijen, meer ondersteuning) zal worden toegepast in de toekomst. Ik ben aanwezig op de GM, of ik naar de rest van de RIPE meeting ga weet ik nog niet.
* Denk je dat je zelf dit systeem zou gaan gebruiken om:o Routes van klanten te checken voordat je transit voor ze gaat verzorgen.
o Routes van je peers / transits te checken.
Hiermee heb je een extra tool in handen om het verhaal van een partij te verifi?ren, en dat is altijd meegenomen.
Persoonlijk zou ik zelf graag zien dat RPKI zsm in een RIPE policy wordt overgenomen, om daarna zsm ook PI te gaan ondersteunen, aangezien de kans groter is dat iemand met rare prefixes aankomt zetten die geen PA zijn.
PI zou inderdaad welkom zijn, echter dan zit je wel met het probleem dat de afnemer van de PI space dit bij elke verhuizing opnieuw moet regelen met de lir waarvan hij deze afneemt.
Mvg,
Stefan Ideler
Doorgestuurd op verzoek van Mark Meijerink.
-----Original Message-----
From: Mark Meijerink
Sent: Wednesday, April 20, 2011 1:26 PM
To: 'Erik Bais'; NLNOG at nlnog.net
Cc: Andree at bgpmon.net; Alex Band
Subject: RE: RPKI certification & BGPMON add-in
Erik,
Binnen het Research On Networks(RON) project van SURFnet heb ik hier vanuit SARA naar gekeken en heb ik ook deel genomen aan aan de RIPE Certification Task Force.
In die tijd ook zelf de ROA's aangemaakt voor onze eigen prefixen en de portal getest. Dit werkte op zich allemaal redelijk eenvoudig inderdaad. Ik ben op dit moment echter niet meer actief betrokken bij de RIPE Certification Task Force maar volg de ontwikkelingen nog wel.
De implementatie van Andree is een eerste aanzet voor het kunnen verifi?ren van de route origin. En zeker bruikbaar voor een eerste handmatige controle van prefixes. Het het is nu wachten op een implementatie in de routeing software van routers.
Wij zouden het denk ik in eerste instantie gaan gebruiken voor het verifi?ren van de BGP prefixes van onze IP transit klanten. Hoe het daarna precies verder ingezet zal gaan worden is nog niet geheel duidelijk.
Mvg,
Mark
-----Original Message-----
From: nlnog-bounces at nlnog.net [mailto:nlnog-bounces@nlnog.net] On Behalf Of Erik Bais
Sent: Wednesday, April 20, 2011 11:10 AM
To: NLNOG at nlnog.net
Cc: Andree at bgpmon.net; Alex Band
Subject: [Nlnog] RPKI certification & BGPMON add-in
Hoi,
Ik heb gisteren even zitten te twitteren met Andree Tonk van BGPMon.net, nadat ik gelezen had dat hij druk bezig is met het implementeren van RPKI route validation.
Voorbeeld : whois -h bgpmon.net 46.244.0.0/17| grep RPKI
De RPKI certification is iets wat je via de RIPE LIR portal kan instellen voor je eigen PA prefixes. Dat kost je een kleine 5 tot 10 minuten omdat even in te regelen. Meer info : http://ripe.net/certification/
Mijn vragen hier:
* Heb je al eens naar Resource certification gekeken ?
* Heb je je eigen prefixes al via de LIR portal onder een ROA gezet ?
* Ben je op de hoogte dat er een RIPE policy proposal mbt RPKI momenteel ter goedkeuring ligt bij de address-policy-wg @ RIPE ? (http://www.ripe.net/ripe/policies/proposals/2008-08 )
o Wat is je mening hierover ? En ben je op de komende RIPE meeting (mei 2011 - Amsterdam) aanwezig waar dit verder besproken gaat worden ?
* Denk je dat je zelf dit systeem zou gaan gebruiken om:
o Routes van klanten te checken voordat je transit voor ze gaat verzorgen.
o Routes van je peers / transits te checken.
Persoonlijk zou ik zelf graag zien dat RPKI zsm in een RIPE policy wordt overgenomen, om daarna zsm ook PI te gaan ondersteunen, aangezien de kans groter is dat iemand met rare prefixes aankomt zetten die geen PA zijn.
Mvg,
Erik Bais
Ps. Ik heb zowel Alex Band (de product manager mbt RPKI bij RIPE) en Andree Toonk (BGPMon.net) in cc gezet. Ik weet niet of ze ook via de maillijst kunnen mailen.
_______________________________________________
NLNOG mailing list
NLNOG at nlnog.nethttp://mailman.nlnog.net/mailman/listinfo/nlnog
