RPKI in DNS DAY

Similar documents
内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

RPKIとインターネットルーティングセキュリティ

祝?APNICとRPKIでつながりました!

経路奉行・RPKIの最新動向

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

ルーティングの国際動向とRPKIの将来

インターネットレジストリにおける レジストリデータの保護と応用

Microsoft PowerPoint - janog15-irr.ppt

/07/ /10/12 I

IETF報告会(90th トロント) RPKI関連

IIJ Technical WEEK IIJのバックボーンネットワーク運用

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

IPアドレス・ドメイン名資源管理の基礎知識

経路制御とセキュリティの最新動向

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

BBIX-BGP-okadams-after-02

PKIの標準化動向と リソースPKI

ネットワークのおべんきょしませんか? 究める BGP サンプル COMMUNITY アトリビュートここまで解説してきた WEIGHT LOCAL_PREFERENCE MED AS_PATH アトリビュートはベストパス決定で利用します ですが COMMUNITY アトリビュートはベストパスの決定とは

【公開】村越健哉_ヤフーのIP CLOSネットワーク

RPKI関連

PowerPoint プレゼンテーション

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

_v6-routes_irs.ppt

宛先変更のトラブルシューティ ング

スライド 1

Microsoft PowerPoint - 今井.ppt

untitled

Juniper Networks Corporate PowerPoint Template

Microsoft PowerPoint irs14-rtbh.ppt

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

rpki-test_ver06.pptx

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ

聞けそうで聞けないIPアドレスとAS番号の話

BGPルートがアドバタイズされない場合のトラブルシューティング

(JPOPM Showcase-3) IPv4のアドレス移転とは?

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

Microsoft PowerPoint ppt [互換モード]

ENUM

IPアドレス等料金改定に関するご説明

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using con

PowerPoint プレゼンテーション

JANOG44-Kobe

IPv4アドレス在庫枯渇に関する報告

3. /dev/urandom 1024 ~CA0/private/cakey.pem $ openssl genrsa -rand /dev/urandom -out \ private/cakey.pem 1024 Generating RSA private key

Microsoft PowerPoint - janog20-bgp-public-last.ppt

ENUM? ENUM (E.164 ) URI DNS ( ) URI IETF ITU-T DNS IW IP( ) DNS IW2003 4

IETF報告会(93rd プラハ) SAAG/CFRG/TLS/SIDR/ACME

橡C14.PDF

セキュアなDNS運用のために

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

スライド 1

第3 章 電子認証技術に関する国際動向

インターネット白書2017

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

企業ネットワークにおける 認証基盤の構築に関する研究

Mobile Access簡易設定ガイド

PowerPoint プレゼンテーション

1. はじめに ブリッジ CA (UTF8) 証明書プロファイル 相互認証証明書 ( ブリッジ CA (UTF8) 組織 CA ) 相互認証証明書 ( ブリッジ CA (UTF8) 政府認証基盤ブリッジ CA )..

wide97.dvi

はじめに

untitled

¥¤¥ó¥¿¡¼¥Í¥Ã¥È·×¬¤È¥Ç¡¼¥¿²òÀÏ Âè5²ó

Microsoft PowerPoint 版_Root_JPの状況.ppt

スライド 1

untitled

JPOPF-ENOG-Niigata

PowerPoint プレゼンテーション

DNSSEC導入に関する世界的動向

今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

お話したいこと レジストリが管理する資源情報を公開するサービスであるWHOISについて 技術的 政策的な観点から抜本的な見直しが進行しています 本発表にて 次世代 WHOISプロトコルと言われるRDAPの規格や実装状況 およびICANNや各インターネットレジストリにおける政策議論の最新動向を紹介させ

untitled

情報処理概論及演習 第 5 週インターネット 保坂修治 インターネット ありとあらゆるものをデジタルでつなぐ 常に世界規模で変化し続けている 2011 キーワード クラウド コンピューティング HTML5 LTE SNS メディア スマートグリッド スマートテレビ 1

15群(○○○)-8編

仕様と運用



IPv6普及状況とIPアドレス最新レポート

Microsoft PowerPoint - private-dnssec

untitled



企業ネットワークへのIPv6導入の是非

2014/07/18 1

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

見本

2011 NTT Information Sharing Platform Laboratories

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

2

のコピー

 

ENUM トライアルジャパン 第3次報告書

ip nat outside source list コマンドを使用した設定例

経路奉行の取り組み

Adobe Reader 署名検証設定手順書

Transcription:

RPKI in DNS DAY 木村泰司 2015 年 11 月 19 日 ( 木 )

発表者 名前 木村泰司 ( きむらたいじ ) 所属 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) CA / RPKI / DNSSEC / セキュリティ情報 : 調査 ( 執筆 ) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DPS/ 鍵管理 /HSM 他 ) 1

Resource PKI(RPKI) の目的 アドレス資源 (IP アドレスや AS 番号 ) の真正性を確認するための認証基盤 利用例 : ルーティングの情報を確認するため 利用例 : 移転元の IP アドレスを確認するため ( 構想 ) リソース証明書 ROA( 署名データ ) RPKI 検証サーバ BGP ルータ リソースホルダー (IP 指定事業者 歴史的 PI アドレスホルダ 特殊用途用 PI アドレスホルダ他 ) 2

RPKI の利用イメージ (1/2) リソースホルダー リソースホルダーが 発行されたリソース証明書の私有鍵を使って ROA (Prefix に対して BGP の Origin AS を示した署名データ ) に署名し 経路情報の正しい広告元 Origin AS を確認できるようにしておく 3

RPKI の利用イメージ (2/2) bgpd# show ip bgp BGP table version is 0, local router ID is 192.168.10.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, R Removed Validation: v - valid, n - notfound, i - invalid,? - undefined SRx Status: I - route ignored, D - SRx evaluation deactivated SRxVal Format: validation result (origin validation, path validation) Origin codes: i - IGP, e - EGP,? - incomplete Ident SRxVal SRxLP Status Network Next Hop Metric LocPrf Weight Path *> DE83681B v(v,-) + 200, 192.168.1.0 172.16.10.1 200s 0 65001 64496 *> FBF4BE57 n(n,-) + 100, 192.168.2.0 172.16.10.2 100s 0 65001 64497 bgpd# 対応ルータは 経路表で Origin AS が正しいかどうかを判別でき IP アドレスを不正に利用した経路情報を無視できる = 経路ハイジャックの影響を受けないようにできる 4

リソース証明書の役割 レジストリデータベース ICANN/IANA IP アドレス AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry CNNIC KRNIC TWNIC NIR: National Internet Registry : Local Internet Registry ユーザ組織 192.0.0.0/8 192.168.0.0/16 192.168.64.0/22 あることを証明する リソース証明書レジストリから正しく分配されたリソースで 5

リソース証明書の例 Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha256withrsaencryption Issuer: CN=D5BBADA3 Validity Not Before: Apr 15 10:24:39 2014 GMT Not After : Apr 14 10:24:39 2019 GMT Subject: CN=D5BBADA3 Subject Public Key Info: Public Key Algorithm: rsaencryption Public-Key: (2048 bit) sbgp-autonomoussysnum: critical Autonomous System Numbers: 0-4294967295 sbgp-ipaddrblock: critical IPv4: 0.0.0.0/0 IPv6: ::/0 X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: 18:CE:ED:52:F0:99:02:8A:58:3C:F1:7B:53:71:0E:1F:5D:37:4F:8D X509v3 Key Usage: critical Certificate Sign, CRL Sign Subject Information Access: CA Repository - URI:rsync://rpki01.nic.ad.jp/repository/ 1.3.6.1.5.5.7.48.10 - URI:rsync://rpki01.nic.ad.jp/repository/jpnic-ta-03.mft 6

トラストアンカーと 信頼モデル

トラストアンカーと署名検証 SubjectInfoAccess: <RSYNC URI> 192.0.0.0/8 TAL ファイルでトラストアンカーを指定する SubjectInfoAccess: <RSYNC URI> 192.168.0.0/16 リポジトリ A (1) URL SubjectInfoAccess: <RSYNC URI> 192.168.64.0/22 リポジトリ B (2) トラストアンカーロケーター (TAL ファイル ) ROA (192.168.64.0/24) リポジトリ C 上位の prefix は下位の prefix を内包する (3) RPKI 検証サーバ 8

TAL ファイル trust anchor locator TAL ファイルの例 rsync://rpki-repository.nic.ad.jp/ta/jpnic-preliminary-ca-s1.cer MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnjfovjOzuZP5zOT5iHtB 3z35k9uarx3ltKHrh4eq1xO4f7i0Dt/VEsqLJxuBfuRPUwskaH/96ewzqeeL9iPv vghl479kj6yrhn7stknxlvepxw4uhe7dwuw0cssrcleu+ssswtixyep3olkgutuv mwzrnz1acfi8tvibz44v1iyvoyctxrxgvwnejbxepqt+2xchhwmrjbiwsexdqvk7 1/iMHXChEr6wCzZyFW2rJjeFEAF6nFnu1DDhb1bSVe+PEd4PmrQ5vNeYkcffC3dL Y8ZrjCU51LFD441EA8ae0gDRBnnD7+O3J0rjUi+Y34xLu5XSw8nDordErnX31sqV XwIDAQAB 署名検証する前に入手済みの TAL ファイルを読み込んでトラストアンカーの証明書をダウンロードする 9

ツリー構造の実際 (2) IANA/ICANN (1) AfriNIC RIPE NCC APNIC APNIC LACNIC ARIN (3) BusinessPKI 接続 (4) (5) (5) (1) 長い議論の末 実現していない (2) 移転のツリーを分ける 5 つの TA (3) 多くは RIR/NIR で鍵管理 (4)APNIC と未接続 (5) アジアの NIR を除いてほぼカバー 10

トラストアンカーの指定 あるキャッシュサーバにおけるトラストアンカーの設定 % ls /var/rcynic/conf/trust-anchors afrinic.tal apnic-rpki-root-ripeorigin.tal apnic-rpki-root-afrinic-origin.tal apnic-testbed.tal apnic-rpki-root-arin-origin.tal jpnic-preliminary-ca-s1.tal apnic-rpki-root-iana-origin.tal lacnic.tal apnic-rpki-root-lacnic-origin.tal ripe-ncc-root.tal % 11

トラストアンカーと信頼モデル トラストアンカーは 5 つの RIR と JPNIC トラストアンカーは TAL ファイルで指定 RPKI の署名検証ソフトウェアに付属 正しい TAL ファイルであることの確認方法... 第三者による認証業務のチェックはない RPKI の Certificate Policy(CP) はある (RFC6484) どの位セキュアな運用を行うか (ex. CPS) の指標はない 12

RPKI における鍵管理 生成公開 配送 / 導入 更新失効 期限 / 廃棄 RPKI Web サービスでは RIR/NIR のシステム内で鍵生成される BPKI(Business PKI) 接続の場合は 側 規定なし リポジトリ (rsync サーバ ) への公開 予め入手した TAL で確認 RPKI Web サービスの場合は自動的にシステム内で行われることが多い BPKI 接続の場合は BPKI を使って更新 リポジトリに CRL が置かれる OCSP などはない 抜け防止のために Manifest 2 年ほど 鍵更新を伴わない証明書更新はない 13

RPKI の DNS とのかかわり 署名つきオブジェクトの配送 TAL ファイルに記述された URI AuthorityInfoAccess に記述された URI 証明書や ROA 一式の正しさは署名検証で確認 DNS の RPKI への応用 DNS を使った RPKI への機能連携は... 特になし 逆引き DNS(DNSSEC は必須 ) を使って経路情報を確認する提案 (RLOCK RR) が IETF で行われているが標準化は進んでいない 14

おわり

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック