ルーティングの国際動向とRPKIの将来

Similar documents
経路奉行・RPKIの最新動向

RPKI in DNS DAY

RPKI関連

RPKIとインターネットルーティングセキュリティ

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

祝?APNICとRPKIでつながりました!

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

IPアドレス・ドメイン名資源管理の基礎知識

経路制御とセキュリティの最新動向

IIJ Technical WEEK IIJのバックボーンネットワーク運用

IETF報告会(90th トロント) RPKI関連

聞けそうで聞けないIPアドレスとAS番号の話

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

インターネット白書2017

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

IPアドレス等料金改定に関するご説明

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

Microsoft PowerPoint - janog20-bgp-public-last.ppt


今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

つるい27-5月号PDF.indd

PDF Information

Microsoft PowerPoint ppt [互換モード]

スライド 1

Presentation Template Koji Komatsu

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

IPv6普及状況とIPアドレス最新レポート

Microsoft PowerPoint irs14-rtbh.ppt

shtsuchi-janog35.5-grnet.pptx

HGWとかアダプタとか

情報処理概論及演習 第 5 週インターネット 保坂修治 インターネット ありとあらゆるものをデジタルでつなぐ 常に世界規模で変化し続けている 2011 キーワード クラウド コンピューティング HTML5 LTE SNS メディア スマートグリッド スマートテレビ 1

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

PKIの標準化動向と リソースPKI

キャッシュポイズニング攻撃対策

資料 19-3 J:COM サービスの IPv6 アドレス対応状況について 2012 年 5 月 30 日 株式会社ジュピターテレコム

The overview of IPv4 over IPv6 technique - ENOG 17

Office 365 とのドメイン間フェデレーション

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

JANOG 38 - Root DNS Anycast Performance_aka2

スライド 1

97-00

/07/ /10/12 I


「DNSSECの現状と普及に向けた課題」

インターネット・トピックス

IPv6-IPv6_Summit_in_Miyazaki-Osamu-san

untitled

初めてのBFD

Transcription:

ルーティングの国際動向と RPKI の将来 ~2013 年の国際動向と今後の課題 ~ 木村泰司 1

エクアドル (1/2) 2013 年 9 月 4 日 ~5 日に ROA の発行数が激増 IPv4 IPv6 共にカバー率が 90% ほどに上昇 http://www.iepg.org/2013-11-ietf88/rpki-ecuador-experience-v2b-1.pdf Copyright 2013 Japan Network Information Center 2

エクアドル (2/2) エクアドル国内の IXP である NAP.EC で RPKI を導入するイベントが開催される IP アドレスの割り振り先組織の担当者が集まってリソース証明書と ROA を発行 ルートサーバにおける Origin Validation が実装されるなどツールも用意 エクアドルで RPKI が動き始めた! Copyright 2013 Japan Network Information Center 3

この発表の内容 RPKI とは 2013 年の国際動向 ~IETF を中心に ~ Origin Validation の導入課題 Copyright 2013 Japan Network Information Center 4

RPKI とは RPKI ( リソース PKI) Resource Public-Key Infrastructure リポジトリ ROA(IP アドレスと AS 番号の組み合わせ ) リソース証明書 IP アドレス等の割り振り証明書 キャッシュ BGP ルーター IP アドレスの割り振り先 / 割り当て先 レジストリ (JPNIC など ) Copyright 2013 Japan Network Information Center

2013 年の国際動向 ~IETF を中心に ~ 6

2013 年の RPKI の国際動向 リソース証明書と ROA の増加 RIPE 地域 エクアドルの IXP RPKI の実装や利用環境も徐々にできてきた 統計 可視化の Web サイトの登場 BGP ルータの対応 ディスカッションが進む RPKI ワークショップ (2013 年 7 月 ) RPKI オペレーショナルパネル (2013 年 8 月 ) Copyright 2013 Japan Network Information Center 7

リソース証明書の発行数 RIPE 地域が突出 http://certification-stats.ripe.net/ Copyright 2013 Japan Network Information Center

ROA の発行数 ROA も RIPE が突出 エクアドルのある LACNIC 地域の延び Copyright 2013 Japan Network Information Center

統計 可視化の Web サイト http://rpki.surfnet.nl/ Copyright 2013 Japan Network Information Center

統計 可視化の Web サイト 51 万経路中 ROA に照らし合わせて valid だった prefix 数約 20,000 invalid だった 2720 prefix の内訳 AS 番号が異なる Invalid ASN は 1,200 近くある Copyright 2013 Japan Network Information Center

RPKI ワークショップ (2013 年 7 月 ) http://rpkiws.realmv6.org/ Copyright 2013 Japan Network Information Center 12

プログラム http://rpkiws.realmv6.org/#program Copyright 2013 Japan Network Information Center 13

RPKI ワークショップ Day2 のまとめ RPKI の今後の課題 Deployment Strategy 黒板 Policy&Regal Value / Risk Legacy / PI Tools&Infrastructure Monitoring Route (support) How To BCP / Deployment Control (Gov) Stability Reliability (includes implementation.) その他の話題 Single Root Monitoring (RPKI Dashboard) Legacy Holder(RIPE で発行対象でない ) RPKI の導入価値 : 発行数の増加が価値なのではなく 運用者による不正な経路情報を検知し 復旧できることにこそ価値があるのではないか ( 木村 ) RPKI Dashboard で変化を表示しては Copyright 2013 Japan Network Information Center 14

RPKI オペレーショナルパネル (2013 年 8 月 ) in APNIC36 日時と場所 2013 年 8 月西安 中国 パネリスト Geoff Huston 氏 (APNIC) Randy Bush 氏 (IIJ) 吉田友哉氏 ( インターネットマルチフィード ) 松崎吉伸氏 (IIJ) 木村 (JPNIC) 興味深い議論 グローバルトラストアンカー (GTA) IANA に設置され RIR の上位認証局すなわちルートの認証局となる GTA の必要性 トラストアンカーの考え方 GTA RIR NIR に各々認証局が設置される レジストリにおける障害対応 認証局やリポジトリにおける障害が BGP に影響する可能性 ( 認証局 リポジトリ キャッシュ各々の運用要件は異なる ) Copyright 2013 Japan Network Information Center

Origin Validation の導入課題 BGPSEC = Origin Validation + Path Validation 16

RPKI と BGPSEC Origin Validation イマココ 他のネットワークが自 AS の IP アドレスを使い始めたことが検知できる Path Validation AS パスが途中で変えられてしまったことが検知できる Copyright 2013 Japan Network Information Center 17

Origin Validation の導入課題 1. Multiple Origin は扱えるのか 重なっている prefix に対する複数の ROA は発行できる しかし ISP にとっての顧客が IP アドレスを割り振られている場合やパンチングホールの場合は ROA を管理 / 運用できるような形作りが必要になってくる RPKI における ROA の発行者はあくまで IP アドレスのホルダーであるため Copyright 2013 Japan Network Information Center

Origin Validation の導入課題 2. RPKI を使うためのキャッシュは自分で立ち上げる必要があるのか RPKI キャッシュを立ち上げることは ( 技術的には ) 難しくないが 安定運用には工夫が必要 共有して使うための RPKI キャッシュが立ち上がってくると BGP ルーターの設定のみでよく 新たなサーバを運用しなくて良くなる リポジトリにアクセスできなくても キャッシュにアクセスできれば RPKI は利用できる Copyright 2013 Japan Network Information Center

Origin Validation の導入課題 3. RPKI に依存したルーティングになってしまわないか RPKI ワークショップで指摘されているように 経路制御は BGP ルータにおける設定による ケーススタディが重要になってくると考えられる おそらく Invalid prefix を全く取り入れない BGP ルータは到達できるネットワークが少なすぎてしまう レジストリの認証局にデータの正しさという意味で依存する形にはなるが 認証局が止まっても経路制御に影響がでにくく かつ不適切な経路情報を検出して対応できる仕組みづくりが重要だと考えられる Copyright 2013 Japan Network Information Center

JPNIC の模擬環境 IPアドレス管理業務に関わる新技術のRPKIにご興味のある方に その技術を体験していただくために 模擬環境を提供しています JPNICのIPレジストリシステムとは独立しており 模擬環境のご利用によって IPアドレス等の登録情報に影響することはありません ご利用方法 ca-query@nic.ad.jp 資源管理者 資源管理者略称 と 氏名 メールアドレス をお書き添えの上 お申し込みください Webインターフェースのアカウントを作成致します Copyright 2013 Japan Network Information Center

まとめ 2013 年の RPKI の国際動向 リソース証明書と ROA の増加 統計 可視化の Web サイトや BGP ルータの対応 RPKI ワークショップなどが開催されディスカッションが進んだ Origin Validation の導入課題 AS 運用の現状に合わせた ROA の管理 RPKI という新たな仕組みを導入することという二種類に大別される課題がある Copyright 2013 Japan Network Information Center

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック