Pada APNIC 55 yang lalu, telah disetujui pembaharuan proposal kebijakan APNIC nomor 150 tentang “ROA/whois object with Private, Reserved and Unallocated (reserved/available) Origin ASN” atau “Penggunaan Objek ROA/Whois untuk ASN yang bersifat privat, dicadangkan atau tidak dialokasikan”. Karena, meskipun proposal 138v2 telah menjadi pedoman untuk anggota untuk tidak membuat ROA dengan rentang ASN Pribadi, cadangan, dan tidak terisi, namun pada kenyataannya masih ada ROA yang menggunakan rentang tersebut. Selain itu, jika anggota membuat ROA dengan menggunakan ASN orang lain atau jika APNIC ingin mengklaim kembali ASN tersebut karena alasan kebijakan apa pun (non-pembayaran, penutupan akun, dll) maka hal ini meninggalkan masalah keamanan bagi anggota. Sehingga perlu pembatasan bagi anggota APNIC untuk membuat ROA dengan ASN pribadi, dicadangkan, atau tidak dialokasikan. Selain itu, APNIC perlu menginformasikan kepada anggota jika ASN miliknya yang ada ROA mereka sudah tidak dialokasikan (dicadangkan/tersedia), dan jangan melakukan memperbarui ROA tersebut secara otomatis apabila ASN sudah tidak dialokasikan (dicadangkan/tersedia).

Usulan solusi kebijakan yang disetujui adalah perlunya proses otorisasi penerbitan ROA yang secara umum harus memiliki tiga informasi wajib yaitu Prefix, Origin AS dan Maxlength. Prefiks disini adalah hanya prefiks IPv4 dan IPv6 yang tercantum dalam "Sumber Daya Internet" pada portal APNIC termasuk informasi panjang prefiks sebagai MaxLength. Origin AS adalah nomor AS resmi sesuai ketentuan IANA dan HARUS tidak mengandung ASN dari:

• 23456  # AS_TRANS RFC6793
• 64496-64511 # Yang dicadangkan untuk digunakan dalam 
  dokumen dan kode RFC5398
• 64512-65534 # Yang dicadangkan untuk penggunaan pribadi 
  RFC6996
• 65535 # Untuk cadangan sesuai RFC7300
• 65536-65551 # Yang dicadangkan untuk digunakan dalam 
  dokumen dan kode RFC5398
• 65552-131071 # Dicadangkan
• 4200000000-4294967294 # Yang dicadangkan untuk 
  penggunaan pribadi RFC6996
• 4294967295 # Untuk cadangan sesuai RFC7300

Kebijakan yang sama harus diterapkan pada objek Whois route/route6 yang sesuai, dan untuk objek ROA dan route/route6 yang masuk sebagai nomor AS Pribadi, Dicadangkan, dan tidak dialokasikan TIDAK BOLEH diperbarui (setelah masa kedaluwarsa) dan harus dihapus database setelah memberi tahu pemegang prefiks tersebut.

Apabila anggota sudah membuat ROA dengan nomor AS yang bukan miliknya dan ada kemungkinan nomor AS tersebut telah dibatalkan oleh APNIC karena penutupan akun atau alasan lainnya, maka anggota tersebut harus menerima pemberitahuan (melalui email - jika pemberitahuan email diaktifkan atau melalui portal myapnic) yang menyarankan bahwa ROA tersebut tidak berisi nomor ASN yang valid dan harus dihapus. Selain itu, ROA ini juga tidak akan diperpanjang secara otomatis.

Beberapa pertimbangan untuk implementasi proposal ini adalah:

• Anggota APNIC akan terhindari dari kesalahan dalam membuat ROA yang tidak perlu dengan menggunakan sumber daya pribadi/privat, yang dicadangkan, dan tidak dialokasikan. Karena dengan membuat ROA dengan ASN yang tidak dialokasikan (dicadangkan/tersedia), maka akan terhindar dari masalah keamanan.
• Kekurangannya adalah menambah overhead bagi APNIC untuk mengembangkan perangkat pemeriksaan Origin AS dan untuk meminta anggota menghapus ROA yang ada dan objek route/route6 dengan ASN asal pribadi/privat, cadangan, dan tidak dialokasikan.

Kontributor: Aris C. Risdianto
Sumber referensi:
https://www.apnic.net/wp-content/uploads/2023/01/prop-150-v002.txt