祝?APNICとRPKIでつながりました!

Similar documents
お話したいこと レジストリが管理する資源情報を公開するサービスであるWHOISについて 技術的 政策的な観点から抜本的な見直しが進行しています 本発表にて 次世代 WHOISプロトコルと言われるRDAPの規格や実装状況 およびICANNや各インターネットレジストリにおける政策議論の最新動向を紹介させ

RPKIとインターネットルーティングセキュリティ

RPKI in DNS DAY

経路奉行・RPKIの最新動向

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

インターネットレジストリにおける レジストリデータの保護と応用

ルーティングの国際動向とRPKIの将来

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

Microsoft PowerPoint - janog15-irr.ppt

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

IPアドレス・ドメイン名資源管理の基礎知識

_v6-routes_irs.ppt

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

PowerPoint プレゼンテーション

JANOG44-Kobe

BBIX-BGP-okadams-after-02

IPアドレス等料金改定に関するご説明

IIJ Technical WEEK IIJのバックボーンネットワーク運用

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ

(JPOPM Showcase-3) IPv4のアドレス移転とは?

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

聞けそうで聞けないIPアドレスとAS番号の話

Microsoft PowerPoint - 今井.ppt

経路制御とセキュリティの最新動向

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

JPOPF-ENOG-Niigata

次世代WHOIS検討の状況

Microsoft PowerPoint ppt [互換モード]

/07/ /10/12 I

RPKI関連

ENOG56-Niigata (ロゴなし)

IPv4アドレス在庫枯渇に関する報告

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

インターネット・トピックス

irs-log.txt

untitled

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

目次 2 1. APNIC Open Policy Meeting とは 2. SIGとは 3. 第 14 回 APNIC Open Policy Meeting 4. JPNICが関係したプレゼンテーション 5. 主なミーティングの報告 6. 次回ミーティングのご案内

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

スライド 1

IPv6アドレス JPNICでの逆引きネームサーバ登録と逆引き委譲設定の方法

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

Microsoft Word - 007†^P †^fi¡Œì.doc.doc

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

第8回 JPNIC Open Policy Meeting まとめ

untitled

インターネット白書2017

Whoisに関する動向

akira

スライド 1

セキュアなDNS運用のために

IETF報告会(90th トロント) RPKI関連

Microsoft PowerPoint - janog20-bgp-public-last.ppt

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

インターネットガバナンスの状況

ゴール インターネットの動作原理を理解する インターネットは様々な技術が連携して動作する 家族に聞かれて説明できるように主要技術を理解する

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

IPv6普及状況とIPアドレス最新レポート

2

情報処理概論及演習 第 5 週インターネット 保坂修治 インターネット ありとあらゆるものをデジタルでつなぐ 常に世界規模で変化し続けている 2011 キーワード クラウド コンピューティング HTML5 LTE SNS メディア スマートグリッド スマートテレビ 1

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

DNSでのBGP Anycast運用による 影響の計測 a.dns.jpのクエリログから

JPNIC のご紹介 (1) 一般社団法人日本ネットワークインフォメーションセンター JaPan Network Information Center 活動理念 : インターネットの円滑な運用のために各種の活動を通じてその基盤を支え 豊かで安定したインターネツト社会の実現を目指す 設立年月日 :19

情報通信の基礎

PKIの標準化動向と リソースPKI

rpki-test_ver06.pptx

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

Juniper Networks Corporate PowerPoint Template

untitled

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

背景

1. IP アドレス管理とは 目次 2 2. IP アドレス管理指定事業者とは 3. ポリシとは 4. IP 業務関連の申請 5. JPNIC 審議について 6. その他申請注意点 7. 参考資料

1 Windows XP/Vista/7/8 ( 有線 LAN) Ⅰ LAN ケーブル接続 Ⅱ ブラウザ設定 Ⅲ ログオン 端末登録 の順に設定を行う <ⅠLAN ケーブル接続 > 1-1 LAN ケーブルを差しこむ学内アクセスポイントには LAN ケーブルの差込口が用意されています LAN ケーブ

ict4.key

OS5.2_SSLVPN設定手順書

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

経路奉行の取り組み

索引

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

OSSTechプレゼンテーション

ENUM? ENUM (E.164 ) URI DNS ( ) URI IETF ITU-T DNS IW IP( ) DNS IW2003 4

IPアドレス割り当て管理業務について


SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

PowerPoint Presentation

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

TFTP serverの実装

IPアドレス登録管理業務について

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

15群(○○○)-8編

VPN の IP アドレス

IPv6アプリケーション

2014/07/18 1

Microsoft PowerPoint - DNSSECとは.ppt

iw2009-routesec

Mobile Access簡易設定ガイド

Transcription:

祝?APNIC と RPKI で つながりました! (WHOIS の話題も少し ) 川端宏生 (JPNIC)

今日のお知らせ APNIC と RPKI つながりました WHOIS 関連の動向 1

RPKI

リソース証明書 リソース証明書 IP アドレスの割り振り先 / 割り当て先 レジストリ (JPNIC など ) リソース証明書 =IP アドレスや AS 番号が書かれている電子証明書 3

IP アドレスの管理 IP アドレスの管理 - JPNIC より, https://www.nic.ad.jp/ja/ip/admin.html 4

リソース証明書リソース証明書は 下に行くほど小さな prefix が記載される リソース証明書 +IP アドレスの管理 レジストリデータベース ICANN/IANA IP アドレス AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry CNNIC KRNIC TWNIC NIR: National Internet Registry ISP 事業者 LIR: Local Internet Registry ユーザ組織 ISP 事業者 192.0.0.0/8 192.168.0.0/16 192.168.64.0/22 5

これまで (APNIC) - 世界から見ると APNIC のルート CA URI APNIC メンバー 192.0.0.0/8 (1) APNIC の TAL ファイル 192.168.64.0/16 リポジトリ (APNIC) (2) トラストアンカーロケーター JPNIC からの分配先には発行不可能 APNIC から分配されたアドレスにしかリソース証明書が発行されていなかった ROA キャッシュサーバ 世界からは日本のアドレスは検証できない 6

これまで (JPNIC) JPNIC のルート CA URI 192.168.64.0/16 (1) JPNIC の TAL ファイル JPNIC URI 192.168.64.0/16 JPNIC からの分配先 リポジトリ (JPNIC) (2) トラストアンカーロケーター 192.168.64.0/22 ROA (192.168.64.0/24) ROA キャッシュサーバ 日本のアドレスは JPNIC 独自のルート CA を使うことで検証可能になっていました 7

今回の連携により システム連携! APNIC のルート CA URI JPNIC 192.0.0.0/8 (1) APNIC の TAL ファイル URI 192.168.64.0/16 JPNIC からの分配先 リポジトリ (APNIC) (2) (3) トラストアンカーロケーター 192.168.64.0/22 ROA (192.168.64.0/24) リポジトリ (JPNIC) ROA キャッシュサーバ 世界から日本のアドレスが検証可能に BGPMON などからも見えます! 8

祝!BGPMOM でもみえました 8/7 の検索結果 $ whois -h whois.bgpmon.net " --roa 2515 202.12.30.0/24" [Querying whois.bgpmon.net] [whois.bgpmon.net] 1 - Not Found 8/18 の検索結果 $ whois -h whois.bgpmon.net " --roa 2515 202.12.30.0/24" [Querying whois.bgpmon.net] [whois.bgpmon.net] 0 - Valid ------------------------ ROA Details ------------------------ Origin ASN: AS2515 Not valid Before: 2017-07-18 15:27:08 Not valid After: 2018-07-17 08:58:07 Expires in 333d1h16m31s Trust Anchor: rpki-repository.nic.ad.jp Prefixes: 202.12.30.0/24 (max length /32) 9

Tips JPNIC の TAL は消さないで併用 APNIC から辿れなくなったときにも ROA が検証できます RPKI に起きている問題の原因究明に役立ちます 10

リソース証明書と ROA Route Origination Authorization IP アドレスのホルダーによる署名付きデータで 割り当てられた IP アドレスの経路広告を特定の AS から経路広告することを認可したことを示す ROA は BGPsec の Origin Validation に使われる リポジトリ ROA リソース証明書 RPKI 検証キャッシュサーバ BGP ルータ 割り振り先 / 割り当て先 レジストリ ISP 事業者 (JPNICなど) 歴史的 PIアドレスホルダー など 11

参考情報 JPNIC Web ページ リソース PKI(RPKI) https://www.nic.ad.jp/ja/rpki/ ROA の作成と管理の方法 https://www.nic.ad.jp/ja/rpki/howto-create-roa.html JPNIC 技術セミナー ハンズオン 無料 RPKI 入門 ~BGPSEC と最新動向 ROA 管理まで ~ https://www.nic.ad.jp/ja/tech/seminar/rpki-basic.html 12

WHOIS

WHOIS から RDAP へ Registration Data Access Protocol RFC7480-7485(2015 年 ) 特徴 HTTP(s) RESTful http://[rdap-server]/ip/192.0.2.0/24 http://[rdap-server]/autnum/64496 http://[rdap-server]/domain/domain.example JSON bootstrap 14

RDAP(Cont.) 機械可読 例 : https://rdap.apnic.net/ip/202.12.30.0/24 の応答 { "handle" : "202.12.30.0-202.12.30.255", "startaddress" : "202.12.30.0", "endaddress" : "202.12.30.255", "ipversion" : "v4", "name" : "JPNIC-NET-JP", "type" : "ASSIGNED PORTABLE", "country" : "JP", "objectclassname" : "ip network", "entities" : [ { ( 以下略 ) 15

RDAP(Cont.) Authoritative であるリソースの参照場所を示す 例 : http://data.iana.org/rdap/ipv4.json { "description": "RDAP bootstrap file for IPv4 address allocations", "publication": "2015-08-11T00:09:31Z", } "services": [ ( 略 ) "202.0.0.0/8", ( 略 ) ], [ "https://rdap.apnic.net/" ] 仮に ARIN の RDAP サーバー (*) に問い合わせても APNIC にリダイレクトされて応答 *https://rdap.arin.net/registry/ip/202.12.30.0/24 16

RDAP(Cont.) RIR( 地域レジストリ ) はサービス提供中 https://rdap.apnic.net/ https://rdap.arin.net/ https://rdap.db.ripe.net/ https://rdap.lacnic.net/rdap/ https://rdap.afrinic.net/rdap/ APNIC 地域の NIR( 国別レジストリ ) は対応検討中 17

WHOWAS WHOIS 登録情報の過去データを閲覧 RIR ARIN: 所定の申請手続を経て閲覧する https://www.arin.net/resources/whowas/ RIPE NCC: 公開 WHOIS コマンドで所定のオプションを付ける APNIC:RDAP を応用したサービスとして開発 試験公開中 18

WHOWAS(Cont.) APNIC WHOWAS の Web UI https://www.apnic.net/static/whowas-ui/ https://www.apnic.net/static/whowasui/#202.12.30.0/24 19

WHOIS 登録情報の正確性向上 法執行機関の問題意識 WHOIS は 公安事案 犯罪捜査の際に利用 データが不正確 ( 特に二次割り当て ) データが不足 ( 例 : ポート番号がない ) 2016 年秋頃から EUROPOL/FBI などの警察関係者が各 RIR/NIR コミュニティで議論喚起 議論 + 提案 :ARIN 議論 :RIPE NCC/APNIC/JPNIC 20

WHOIS 登録情報の正確性向上 (Cont.) ARIN39(2017/04) ルール 年に一度全 POCに電子メールを送信し 登録情報の正確性確認を実施 反応がない情報は その旨 WHOISで表記 90 日以上反応がない場合 逆引きの委任停止 ( 今回の提案 ) 議論 趣旨に大筋賛成で好意的 登録情報の削除は効果が薄いうえに問題を悪化させるとして反対意見多数 21

参考情報 JPNIC Blog RDAP ~ 次世代 WHOIS プロトコル ~ の紹介 https://blog.nic.ad.jp/blog/rdap-intro/ 22

ご清聴 ありがとうございました

付録

RPKI のはじめ方 資源管理者証明書を準備 ( 資源管理カード / ブラウザ内 ) 申請における認証について https://www.nic.ad.jp/ja/ip/id-procedure.html 資源申請者証明書を担当者に発行 ( ブラウザ内 ) 資源申請者証明書発行マニュアル https://www.nic.ad.jp/doc/issue-manual-02.pdf リソース証明書と ROA の発行開始 https://rpki.nic.ad.jp/ 発行完了! お問合せ窓口 : ip-service@nir.nic.ad.jp ( または rpki-query@nic.ad.jp) 25

ROA の登録と管理の方法 ( ガイド ) 26

ROA の登録と管理の方法 ( ガイド ) https://www.nic.ad.jp/ja/rpki/howto-create-roa.html 27

おわり

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック