内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

Similar documents
RPKI in DNS DAY

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

RPKIとインターネットルーティングセキュリティ

経路奉行・RPKIの最新動向

祝?APNICとRPKIでつながりました!

ルーティングの国際動向とRPKIの将来

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

Microsoft PowerPoint - janog15-irr.ppt

インターネットレジストリにおける レジストリデータの保護と応用

RPKI関連

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

IIJ Technical WEEK IIJのバックボーンネットワーク運用

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

IPアドレス・ドメイン名資源管理の基礎知識

rpki-test_ver06.pptx

経路制御とセキュリティの最新動向

BBIX-BGP-okadams-after-02

Microsoft PowerPoint - janog20-bgp-public-last.ppt

(JPOPM Showcase-3) IPv4のアドレス移転とは?

/07/ /10/12 I

Office 365 とのドメイン間フェデレーション

JANOG44-Kobe

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

IETF報告会(90th トロント) RPKI関連

_v6-routes_irs.ppt

untitled

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ



セキュアなDNS運用のために

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

クライアント証明書インストールマニュアル

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

IPv4アドレス在庫枯渇に関する報告

アルファメールプレミア 移行設定の手引き

IPアドレス等料金改定に関するご説明

PowerPoint プレゼンテーション

Vista IE7 ブラウザの設定手順

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

クライアント証明書導入マニュアル

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

システム設計書

PowerPoint プレゼンテーション

eYACHO 管理者ガイド

目次 1. 動作環境チェック 動作必要環境 Java のインストール Java のインストール Firebird のインストール Firebird のインストール Adobe Reader のインストール

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

スライド 1

クライアント証明書インストールマニュアル

PKIの標準化動向と リソースPKI

2014/07/18 1

IETF報告会(93rd プラハ) SAAG/CFRG/TLS/SIDR/ACME

WL-RA1Xユーザーズマニュアル

ブラウザ Internet Explorer 7 の設定について 第3版

PowerPoint プレゼンテーション

Microsoft Word - クライアントのインストールと接続設定

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

JPOPF-ENOG-Niigata

聞けそうで聞けないIPアドレスとAS番号の話

VPN 接続の設定

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

needlework_update_manual_rev1.4

目次 1. CSV の種類と権限 各アドレス帳 CSV ファイルの登録 更新 削除 会社アドレス帳 CSV の登録 更新 削除 個人アドレス帳 CSV の登録 更新 削除 端末認証リスト CSV ファイルの登録 更新 削除 端末認証リスト CSV の登録 更

スライド 1

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

サーバー証明書 インストール手順-Microsoft IIS 8.x

証明書インポート用Webページ

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

BACREX-R クライアント利用者用ドキュメント

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

15群(○○○)-8編

宛先変更のトラブルシューティ ング

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

目次 1. 改版履歴 概要 WEB 版薬剤在庫管理システムのインストール 事前準備 インストール アプリケーションのセットアップ WEB 版薬剤在庫管理システムの初期設定

Microsoft Word - XOOPS インストールマニュアルv12.doc

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

「MT-3_2-ja

いよぎんインターネットEB ご利用の手引

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

Helix Swarm2018.1アップグレード手順

- 2 / 25 - 表示される

JAIST Cloud Service利用ガイド

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

第5回 マインクラフト・プログラミング入門

EV3 の初期設定

ServerView ESXi CIM Provider VMware ESXi 4インストールガイド

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

<4D F736F F F696E74202D208C928D4E95DB8CAF81458CFA90B6944E8BE095DB8CAF94ED95DB8CAF8ED28E918A698EE693BE93CD81698EA58B43947D91CC93CD8F918DEC90AC D834F A82F097E182C682B582BD652D476F E71905C90B

Mobile Access簡易設定ガイド

新環境への移行手順書

スライド 1

Proselfの利用方法

Transcription:

JANOG35.5 RPKI システムの試験的な提供について ~ 利用開始と使い方 ~ 一般社団法人日本ネットワークインフォメーションセンター木村泰司岡田雅之

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

お知らせ JPNIC における RPKI 機能として ROA Web BPKI 接続設定 の試験提供を開始しました APNIC との BPKI 接続は近日予定 ( 訳は後ほど ) http://rpki.nic.ad.jp/ 2

ご利用方法 ( 発行側 ) a. 技術的な動作の検証をしたい RPKI 模擬環境もしくは ROAパブリックキャッシュサーバ b. 国内で検証可能な ROA を利用したい ROA Web c. きちんと RPKI の分散運用を BPKI 接続 3

ご利用方法 ( 検証側 ) Origin Validation を行うには ROA キャッシュサーバに JPNIC の TAL ファイルをダウンロードして指定 / 対応ルータを設定 https://serv.nic.ad.jp/capub/rpki/ jpnic-preliminary-ca-s1.tal (JPNIC の TAL) 対応ルータで ROA パブリックキャッシュを指定 https://www.nic.ad.jp/ja/rpki/howtousepubcache.html ( 設定例 ) 4

お問い合わせ先 JPNIC RPKI 担当 rpki-query@nic.ad.jp 5

RPKI と Origin Validation 6

RPKI Resource Public-Key Infrastructure IP アドレスや AS 番号といった番号資源 (Number Resource) の割り振り / 割り当てを証明する PKI 1997 年頃 Stephen Kent 氏 (BBN Technologies) によって提案され 現在は IETF (Internet Engineering Task Force) の SIDR WG で仕様策定が行われている IP アドレスの割り振り / 割り当てを証明する リソース証明書 のための PKI です 最近の SIDR WG では Path Validation の実装と RSYNC に代わる差分転送プロトコルの話題 7

リソース証明書 レジストリデータベース ICANN/IANA IP アドレス AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry NIR NIR NIR: National Internet Registry LIR: Local Internet Registry PI ホルダ NIR ユーザ組織 ISP 事業者 192.0.0.0/8 192.168.0.0/16 192.168.64.0/22 リソース証明書8

トラストアンカーと署名検証 SIA(URI) 192.0.0.0/8 TAL ファイルでトラストアンカーを指定します SIA(URI) 192.168.0.0/16 リポジトリ A (1) URL SIA(URI) 192.168.64.0/22 リポジトリ B (2) トラストアンカーロケーター (TAL ファイル ) ROA (192.168.64.0/24) リポジトリ C (3) 上位の prefix は 下位の prefix を内包しています ROA キャッシュサーバ 9

TAL ファイル trust anchor locator TAL ファイルの例 rsync://rpki-repository.nic.ad.jp/ta/jpnic-preliminary-ca-s1.cer MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnjfovjOzuZP5zOT5iHtB 3z35k9uarx3ltKHrh4eq1xO4f7i0Dt/VEsqLJxuBfuRPUwskaH/96ewzqeeL9iPv vghl479kj6yrhn7stknxlvepxw4uhe7dwuw0cssrcleu+ssswtixyep3olkgutuv mwzrnz1acfi8tvibz44v1iyvoyctxrxgvwnejbxepqt+2xchhwmrjbiwsexdqvk7 1/iMHXChEr6wCzZyFW2rJjeFEAF6nFnu1DDhb1bSVe+PEd4PmrQ5vNeYkcffC3dL Y8ZrjCU51LFD441EA8ae0gDRBnnD7+O3J0rjUi+Y34xLu5XSw8nDordErnX31sqV XwIDAQAB 署名検証するためには 入手済みの TAL ファイルを読み込んでトラストアンカーの証明書をダウンロードします 10

ROA Route Origination Authorization ROA の内容例 $ cd /var/rcynic/data/authenticated/rpki-repository.nic.ad.jp/ $ print_roa 1003/6gaLktvYFfRfkbwTJnYU-STtxYI.roa ROA Version: 0 SigningTime: 2015-03-20T11:12:21Z asid: 2515 addressfamily: 1 IPAddress: 192.41.192.0/24 $ print_roa publication/1003/hkek_75jqymcwp26zfdz2icxsig.roa ROA Version: 0 SigningTime: 2015-03-20T11:12:21Z asid: 2515 addressfamily: 1 IPAddress: 202.11.240.0/21 $ ROA には署名日時と AS 番号 IP アドレスの範囲が記載されています 11

Origin Validation の仕組み ROA キャッシュサーバ リソース証明書の署名検証を通じて IP アドレスが正式に割り当てられたものであることを確認 ROA の署名検証を通じて 経路広告元の AS 番号が正式な IP アドレスの割り当て先によって指定されたものであることを確認 BGP ルータ BGP Update メッセージとして伝播してきた IP アドレス prefix と経路広告元の AS 番号を確認 BGP ルータにおいて IP アドレスの割り当て先組織の意図と異なる経路情報を検出できます 12

JPNIC の RPKI システム ~ 試験提供とは ~

JPNIC の RPKI システムの試験提供 分配済み IP アドレスが入ったリソース証明書 RPKI システムは WHOIS データベースと連携しています 資源申請者証明書を使ってログイン Web 申請システム と認証連携をしています 日本語化対応 模擬環境では英語でしたが日本語メッセージにしています ( 多国語言語対応 ) 日本国内で実際の IP アドレスを使って Origin Validation のできる状況にすべく開発し提供開始 14

ROA ご利用までの流れ (BPKI 接続 ) (3) rsync ROA リソース証明書 (2)BPKI 接続 ( ビジネス PKI) リソース証明書 ROA キャッシュサーバ (4) rtr 設定 RPKI システム ( ユーザ側 ) (1)BPKI 接続設定 RPKI システム (JPNIC) BGP ルータ IP 指定事業者 PI アドレスホルダー 15

ROA ご利用までの流れ (ROA Web) (2) rsync パブリック ROA キャッシュサーバ ROA リソース証明書 ROA キャッシュサーバ (3) rtr 設定 RPKI システム (JPNIC) (1) ROA Web 開始 BGP ルータ IP 指定事業者 PI アドレスホルダー 16

RPKI システムの使い方

利用開始画面 資源申請者証明書を使ってユーザ認証します ROA Web と BPKI 接続設定 を選べます 18

BPKI( ビジネス PKI) 接続設定 XML ファイルをアップロードするとリソース証明書の発行を開始します 19

ROA Web (ROA 発行代行機能 ) Web の操作のみで ROA の作成ができます 20

ROA Web を使った ROA 作成 AS 番号を指定して ROA を作成します 21

ROA Web の ROA 管理画面 発行された ROA とリソース証明書は rsync を使ってリポジトリからダウンロードできるようになります 22

ROA Web の使い方詳細 二つの Origin AS を並行運用したい 再利用ボタンを使うと Origin AS の異なる二つの ROA を追加できます 一部のアドレスを除いて ROA を一括作成したい 一部のアドレスの ROA を仮に作成してから 残りのアドレスの ROA を一括作成 一部を削除します 表を項目ごとにソートをしたい 項目の行をクリックするとその項目でソートされます ROA の発行一覧をバックアップしたい エクスポート で CSV 形式でダウンロードできます リストアは インポート です AS0 を指定したい ( 経路広告されないアドレス ) Origin AS に 0 を指定します 23

タイムスケール BGP ルーター ROA キャッシュ RPKI システム 経路情報のチェック 署名検証 ROA 作成 ( 数分程度 ) 割り振り / 返却手続き 数分 数分 ~ 一日 (ROA キャッシュの設定次第 ) 一日 24

アドレスの種別と RPKI APNIC から割り振られた IP アドレス MyAPNIC の Resource certification メニューからアクセス JPNIC から割り振られた IP アドレス RPKI システムの ROA Web もしくは BPKI 接続設定 25

ROA キャッシュサーバの設置方法

ROA キャッシュサーバの導入方法 RIR と JPNIC の RPKI リポジトリ RPKI キャッシュサーバ RPKI Tools インストール例 (Ubuntu) $ wget -q -O - http://download.rpki.net/apt/apt-gpgkey.asc sudo apt-key add $ sudo wget -q -O /etc/apt/sources.list.d/rpki.list http://download.rpki.net/apt/rpki.precise.list $ sudo apt-get update $ sudo apt-get install rpki-rp $ vi /usr/local/etc/rpki.conf BGP ルータ BGP ルータ ( 詳細 http://rpki.net/ ) ROA とリソース証明書の検証を行うことができる 27

ROA キャッシュサーバを使う設定例 RPKI キャッシュサーバ BGP ルータ RIR と JPNIC の RPKI リポジトリ BGP ルータ [Cisco IOS 設定例 ] router bgp <AS number> bgp rpki server tcp <RPKI cache server> port 42420 refresh 60 [JunOS 設定例 ] routing-options { validation { group rpki { session <RPKI cache server> { refresh-time 60; port 42420; } RPKI } キャッシュサーバのIPアドレスとリフレッシュタイムなどを設定する } } 28

RPKI を使った Origin Validation [Cisco IOS example] >show ip bgp 10.0.1.0/24 BGP routing table entry for 10.0.15.0/24, version 64 : 192.168.0.15 from 192.168.0.253 (192.168.0.253) Origin IGP, metric 0, localpref 100, valid, external, best path 7F53CAD85C08 RPKI State valid > [JUNOS example] BGP ルータ > show route protocol bgp all : 10.0.1.0/24 *[BGP/170] 17:11:58, MED 0, localpref 100, from 192.168.0.253 AS path: 65001 I, validation-state: valid > to 192.168.0.1 via ge-1/0/0.0 > 経路情報のprefix 毎の確認結果が表示されるようになる 29

RPKI の技術課題 ~ これから導入を検討される皆様へ ~

トラストアンカーから検証する PKI 署名検証の結果としては 有効な IP アドレスと AS 番号の組み合わせリスト が得られる その中から特定の経路情報の有効性を確認するのはROAキャッシュサーバが担う Origin Validationを行う上では 一つのROAの有効性ではなく 有効なROAの塊がトラブルシュートの対象になります 一つのエラーが多数の検証結果に一度に現れてしまう仕組みです BPKI が原因で検証に成功しないリソース証明書や ROA ができてしまうことがあります 31

RPKI の信頼構造 5 つの RIR がトラストアンカーロケーターを提供 ひとつの CA 証明書の有効性が NIR 全域の有効性に影響する NIR もトラストアンカーに指定できる ( 予備 ) RP 側に別の仕組みを設ける? draft-ietf-sidr-ltamgmt draft-dseomn-sidr-slurm draft-kent-sidr-suspenders service agreement (ARIN) LIR は Web 上の提供 ( 鍵は RIR/NIR サーバ上 ) 予備 +HSM を使ったリスク回避策の後 APNIC との BPKI 接続を目指します 32

ROA キャッシュサーバ パブリックキャッシュサーバ ROA の検証結果を返すサーバ 対応する BGP ルータの設定を行うだけで ROA と RPKI の検証結果が利用できる 今後も設置箇所が増えていく可能性あり RPKI RP のあるべき姿は? 署名検証は手元で行うべき? 署名検証サーバを立ち上げないと利用できない仕組みになってしまう パブリックキャッシュサーバを併用? 単一障害点を避けるために 33

運用上の課題 自律分散への影響 単一障害点ができないようにするにはどうすればよいのか レジストリのRPKI 認証局 リポジトリ ROA キャッシュサーバ システムの信頼性 暗号アルゴリズムはRSA2,048/SHA-256のみ TALやSIAではドメイン名で指定 DNSに依存 BGP を使ったルーティングの自律分散という特徴を崩さずにセキュリティ技術を導入するにはどうすべきなのか 34

まとめ RPKI システムの試験提供開始しました ROA Web Web 上で ROA を作成できる BPKI 接続設定 RPKI システムを接続できる Origin Validation できるようにするには ROA を作成しておきます ROA キャッシュサーバを使って検証できます ( 有効なアドレスと AS の組み合わせを取り出せる ) 対応する BGP ルータでパブリック ROA キャッシュサーバを指定する方法もあります 引き続き技術課題があります 試験提供の段階でご利用頂くことで RPKI を御社の到達性を守るのに役立つツールにしていきませんか! 35

おわり

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック