RPKI関連 - PDF Free Download

IETF 報告会 (88 th バンクーバー ) RPKI 関連木村泰司 taiji-k at nic.ad.jp 1

RPKI とは RPKI ( リソース PKI) Resource Public-Key Infrastructure リポジトリ ROA(IP アドレスと AS 番号の組み合わせ ) リソース証明書 IP アドレス等の割り振り証明書キャッシュ BGP ルーター IP アドレスの割り振り先 / 割り当て先レジストリ (JPNIC など ) Copyright 2013 Japan Network Information Center 2

RPKI のこれまで 4

RPKI のこれまで BBN Report 8217, An Architecture for BGP Countermeasures, November, 1997 IP アドレスの割り振り構造に沿って認証局を置きインターネット経路制御のセキュリティ向上のために IP アドレスと AS 番号を確認できるような電子署名のアーキテクチャを提唱 Secure Inter-Domain Routing WG 発足, 2006 年 4 月 2008 年 2 月 YouTube 経路ハイジャック事件 2011 年 4 月の IPv4 アドレス在庫枯渇に先立ち地域インターネットレジストリがアドレスの割り振り証明として導入を急ぐ Copyright 2013 Japan Network Information Center 5

YouTube 経路ハイジャック事件 YouTube Hijacking: A RIPE NCC RIS case study, 17 Mar 2008, RIPE NCC, http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study Copyright 2013 Japan Network Information Center 6

プロトコル策定の概況 Secure Inter-Domain Routing (SIDR) WG 7

RPKI と SIDR WG SIDR WG 関連のドキュメント Origin Validation はほぼ RFC 化アーキテクチャ RFC6480 証明書プロファイル RFC6487 証明書ポリシー RFC6484 アルゴリズム RFC6485 発行処理 RFC6492 Manifest RFC6486 Ghostbusters RFC6493 ROA 書式 RFC6482 トラストアンカー RFC6490 ROA 検証 RFC6483 prefix 検証 RFC6811 RPKI-to-Router RFC6810 レジストリデータベース (WHOIS) RPKI CA 発行連携リソース証明書 ROA (IP アドレスと AS 番号の併記 ) Manifest etc 保存 ROAの検証 ( 署名検証 ) キャッシュ確認済み Prefix リポジトリ構造 RFC6481 リポジトリ取得 BGP ルータ Copyright 2013 Japan Network Information Center 8

RPKI と Secure BGP の目指すもの IP アドレスの設定ミスや不正な設定を BGP ルーターで検知できる仕組み Origin Validation 他のネットワークが自 AS の IP アドレスを使い始めたことが検知できる Path Validation AS パスが途中で変えられてしまったことが検知できる BGPSEC = Origin Validation + Path Validation Copyright 2013 Japan Network Information Center 9

SIDR WG ドキュメント状況 BGPSEC 関連 An Overview of BGPSEC (BGPSEC の概要 ) A Profile for BGPSEC Router Certificates, Certificate Revocation Lists, and Certification Requests ( ルーター証明書 CRL 発行要求のデータ書式) BGPSEC Protocol Specification (BCPSECのプロトコル仕様) Threat Model for BGP Path Security (BGPパスのセキュリティにおける脅威モデル) Security Requirements for BGP Path Validation (BGPパス検証のためのセキュリティ要求) BGP Algorithms, Key Formats, & Signature Formats ( 鍵のアルゴリズム書式署名形式 ) BGPSEC router key rollover as an alternative to beaconing (BGPルータにおけるキーロールオーバー) bgpsec-overview-03 2013-07-15 ( 大きな変更なし ) bgpsec-pki-profiles-06 2013-09-17 ( 大きな変更なし ) bgpsec-protocol-08 2013-11-05 ( 大きな変更なし ) bgpsec-threats-08 2013-11-22 (IESGレビュ中) bgpsec-reqs-08 2013-10-09 ( 大きな変更なし ) bgpsec-algs-05 2013-09-17 ( 大きな変更なし ) bgpsec-rollover-02 2013-04-15 (Expired) draft-ietf-sidr を省略 Copyright 2013 Japan Network Information Center 10

SIDR WG ドキュメント状況 BGPSEC 関連 ( 新しい I-D) BGPSec Considerations for AS Migration (AS 番号の変更 ) Template for a Certification Practice Statement (CPS) for the Resource PKI (RPKI) (RPKIのためのCPSテンプレート) Policy Qualifiers in RPKI Certificates (policyqualifierを入れるためのrfc6487の変更) A Publication Protocol for the Resource Public Key Infrastructure (RPKI) (XMLを使ったRPKIの情報公開プロトコル) Router Keying for BGPsec (RTRのための鍵生成) BGP Prefix Origin Validation State Extended Community (BGPルータにおける状態のエンコード方式) Responsible Grandparenting in the RPKI (IPアドレスの割り振り元の登録がない場合などの対応) as-migration-00 2013-07-10 cps-isp-03 2013-10-08 policy-qualifiers-01 2013-10-02 publication-04 2013-10-20 rtr-keying-03 2013-09-17 draft-ietf-sidr を省略 origin-validation-signaling-03 2013-08-29 個人ドラフトgrandparenting-03 2013-08-03 Copyright 2013 Japan Network Information Center 11

SIDR WG ドキュメント状況わけあり Expired Local Trust Anchor Management for the Resource Public Key Infrastructure ( ローカルトラストアンカー ) Multiple Repository Publication Points support in the Resource Public Key Infrastructure (RPKI) ( 複数の配布ポイントを作るためのURL 表記 ) Securing RPSL Objects with RPKI Signatures (WHOISやIRRで使われている記述言語 RPSLにおけるRPKI 署名 ) draft-ietf-sidr を省略 ltamgmt-08 2013-04-05 ( 新しい方向へ ) multiple-publication-points-00 2013-05-22 ( rpsl-sig-05.txt 2012-05-10 ( 新しい著者?) Copyright 2013 Japan Network Information Center 12

アジェンダと議論 - WG documents An Out-Of-Band Setup Protocol For RPKI Production Services, Rob Austein draft-austein-sidr-rpki-oob-setup-00 RPKI CA 間のRPKI 用 Business PKI の相互認証プロトコル MLで議論開始 A Publication Protocol for the Resource Public Key Infrastructure (RPKI), Rob Austein draft-ietf-sidr-publication-04 XMLを使ったRPKIの情報公開プロトコル実装がまだ一つのみ Standard(ST) を目指す Copyright 2013 Japan Network Information Center 14

アジェンダと議論 - 継続案件 Suspenders: A Fail-safe Mechanism for the RPKI draft-kent-sidr-suspenders-00 LTAM に代わる LOCK の提案リソース証明書の検証をせずに ROA を検証する方式 RPKI CA が公開鍵と URL を持つ LOCK を発行しておくと URL 先のデータ INRD で指定されている ROA を区別できる議論どの LOCK を信用すればいいのか外部データを加えることと時間の要素を加えることに懸念がある不必要なチェックが増えてしまうのではほか Copyright 2013 Japan Network Information Center 16

アジェンダと議論 - 継続案件 Validation changes draft-huston-rpki-validation-00 IP アドレスが移転されるときのリソース証明書の有効性についての I-D どういう手順になるのか議論直接関係のない EE と別の RIR などが手順を踏む必要があり有効性を保つためには複雑過ぎる結論移転のセマンティクスを WG で議論できるようにすべき Copyright 2013 Japan Network Information Center 17

デプロイメントの状況 ~ Topic エクアドルの IXP ~ 18

Topic エクアドル (1/2) エクアドル国内の IXP である NAP.EC で RPKI を導入するイベントが開催される (2013 年 7 月 9 月 ) IP アドレスの割り振り先組織の担当者が集まってリソース証明書と ROA を発行ルートサーバにおける Origin Validation が実装されるなどツールを用意 RPKI and Origin Validation Deployment in Ecuador, Nov 3 2013, Sofa Silva Berenguer, http://www.iepg.org/2013-11-ietf88/rpki-ecuador-experience-v2b-1.pdf より Copyright 2013 Japan Network Information Center 19

Topic エクアドル (2/2) 2013 年 9 月 4 日 ~5 日に ROA の発行数が激増 IPv4 IPv6 共にカバー率が 90% ほどに上昇 RPKI and Origin Validation Deployment in Ecuador, Nov 3 2013, Sofa Silva Berenguer, http://www.iepg.org/2013-11-ietf88/rpki-ecuador-experience-v2b-1.pdf Copyright 2013 Japan Network Information Center 20

論点と今後 22

BGP ルーター Cisco ASR1000, 7200, 7600 in releases 15.2(1)S or XE 3.5 IOS-XR 4.2.1 以降 ( 設定例 RPKI cache サーバの指定 ) cisco-rpki-rtr#show running-config begin bgp router bgp 64500 bgp log-neighbor-changes bgp rpki server tcp 10.1.1.6 port 8282 refresh 600 ( 参考 ) http://www.ripe.net/lir-services/resource-management/certification/router-configuration http://www.cisco.com/en/us/partner/docs/routers/asr9000/software/asr9k_r4.2/general/release/notes/reln_a9k_421.html Copyright 2013 Japan Network Information Center 24

BGP ルーター JunOS Release 12.2 以降 ( 設定例 RPKI cache サーバの指定 ) routing-options { autonomous-system 64511; validation { } } group rpki-validator { session 10.1.1.6 { refresh-time 120; hold-time 180; port 8282; local-address 10.1.1.5; } } ( 参考 ) http://www.ripe.net/lir-services/resource-management/certification/router-configuration Copyright 2013 Japan Network Information Center 25

RPKI cache サーバ RPKI Tools https://rpki.net/ # apt-get install rpki-rp RIPE NCC RPKI Validator [rcynic] rsync-program = /usr/bin/rsync authenticated = /var/rcynic/data/authenticated unauthenticated = /var/rcynic/data/unauthenticated lockfile = /var/rcynic/data/lock xml-summary = /var/rcynic/data/rcynic.xml jitter = 600 use-syslog = true log-level = log_usage_err trust-anchor-locator.1 = /var/rcynic/etc/apnic-testbed.tal http://localcert.ripe.net:8088/trust-anchors Copyright 2013 Japan Network Information Center 26

ROA と経路情報との違い 51 万経路中 ROA に照らし合わせて valid だった prefix 数約 20,000 invalid だった 2,720 prefix の内訳 AS 番号が異なる Invalid ASN は 1,200 近くある RPKI Dashboard, http://rpki.surfnet.nl/ より Copyright 2013 Japan Network Information Center 31

(2)BGPSEC の仕組みと議論 BGPSEC とは Origin Validation と Path Validation が行われた BGP のセキュリティ技術 Path Validation とは電子署名の技術を使って AS パスを確認すること GROW(Global Routing Operations) WG における指摘 draft-ietf-grow-simple-leak-attack-bgpsec-nohelp Copyright 2013 Japan Network Information Center 32

BGP と AS パス TCP コネクション TCP コネクション BGP ルーター A (AS001) BGP ルーター B (AS002) BGP ルーター C (AS003) 10.0.1/24 10.0.2/24 AS パス 10.0.1/24, AS001 AS パス 10.0.1/24, AS002, AS001 10.0.2/24, AS002 BGP は BGP ルーターが IP アドレスや AS パスについて Peer( または Neighbor) と交換するためのプロトコル BGP では基本的にセッションを張ったままにしネットワークトポロジーに変更があると Update メッセージと呼ばれるメッセージを送りあう 7. インターネット経路制御のセキュリティに関する動向 BGPSEC, IPA, 2011 年 12 月, http://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_07.html Copyright 2013 Japan Network Information Center 33

BGPSEC Path Signature AS001 AS002 AS003 NLRI:10.0.1/24 BGPSEC_Path: Secure_Path: AS001(target),AS002(signer), pcount, Sig(AS001, AS002, pcount) NLRI: Network Layer Reachability Information( ネットワーク層到達性情報 ) Copyright 2013 Japan Network Information Center 34

Route-Leaks & MITM Attacks Against BGPSEC draft-ietf-grow-simple-leak-attack-bgpsec-no-help ISP1 peer ISP2 NLRI:1.1.1.0/24 BGPSEC_Path: AS-ISP2, AS1(signer) customer AS1 1.1.1.0/24 AS1 が ISP2 から受けた経路情報を ISP1 に流し ISP1 が受け入れるポリシーである場合 ( customer 経路を peer からの経路よりも優先する場合 ) ISP1 から 1.1.1.0/24 に向けた経路は AS1 を通ることになってしまう BGPSEC_Path に含める AS 番号を制限できないために起こることが指摘されている Route-Leaks & MITM Attacks Against BGPSEC, draft-ietf-grow-simple-leak-attack-bgpsec-no-help-03 より Copyright 2013 Japan Network Information Center 35

写真 36

おわり 39