祝?APNICとRPKIでつながりました!

Similar documents
RPKIとインターネットルーティングセキュリティ

RPKI in DNS DAY

経路奉行・RPKIの最新動向

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

ルーティングの国際動向とRPKIの将来

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

IPアドレス・ドメイン名資源管理の基礎知識

IPアドレス等料金改定に関するご説明

IIJ Technical WEEK IIJのバックボーンネットワーク運用

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

聞けそうで聞けないIPアドレスとAS番号の話

経路制御とセキュリティの最新動向

Microsoft PowerPoint ppt [互換モード]

/07/ /10/12 I

RPKI関連

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

インターネット・トピックス

untitled

スライド 1

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

インターネット白書2017

IETF報告会(90th トロント) RPKI関連

Microsoft PowerPoint - janog20-bgp-public-last.ppt

IPv6普及状況とIPアドレス最新レポート

2

情報処理概論及演習 第 5 週インターネット 保坂修治 インターネット ありとあらゆるものをデジタルでつなぐ 常に世界規模で変化し続けている 2011 キーワード クラウド コンピューティング HTML5 LTE SNS メディア スマートグリッド スマートテレビ 1

情報通信の基礎

PKIの標準化動向と リソースPKI

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

Juniper Networks Corporate PowerPoint Template

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1. IP アドレス管理とは 目次 2 2. IP アドレス管理指定事業者とは 3. ポリシとは 4. IP 業務関連の申請 5. JPNIC 審議について 6. その他申請注意点 7. 参考資料

OS5.2_SSLVPN設定手順書

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

索引

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

ENUM? ENUM (E.164 ) URI DNS ( ) URI IETF ITU-T DNS IW IP( ) DNS IW2003 4

IPアドレス割り当て管理業務について


SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

TFTP serverの実装

IPアドレス登録管理業務について

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

VPN の IP アドレス

IPv6アプリケーション

Mobile Access簡易設定ガイド

Transcription:

祝?APNIC と RPKI で つながりました! (WHOIS の話題も少し ) 川端宏生 (JPNIC)

今日のお知らせ APNIC と RPKI つながりました WHOIS 関連の動向 1

RPKI

リソース証明書 リソース証明書 IP アドレスの割り振り先 / 割り当て先 レジストリ (JPNIC など ) リソース証明書 =IP アドレスや AS 番号が書かれている電子証明書 3

IP アドレスの管理 IP アドレスの管理 - JPNIC より, https://www.nic.ad.jp/ja/ip/admin.html 4

リソース証明書リソース証明書は 下に行くほど小さな prefix が記載される リソース証明書 +IP アドレスの管理 レジストリデータベース ICANN/IANA IP アドレス AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry CNNIC KRNIC TWNIC NIR: National Internet Registry ISP 事業者 LIR: Local Internet Registry ユーザ組織 ISP 事業者 192.0.0.0/8 192.168.0.0/16 192.168.64.0/22 5

これまで (APNIC) - 世界から見ると APNIC のルート CA URI APNIC メンバー 192.0.0.0/8 (1) APNIC の TAL ファイル 192.168.64.0/16 リポジトリ (APNIC) (2) トラストアンカーロケーター JPNIC からの分配先には発行不可能 APNIC から分配されたアドレスにしかリソース証明書が発行されていなかった ROA キャッシュサーバ 世界からは日本のアドレスは検証できない 6

これまで (JPNIC) JPNIC のルート CA URI 192.168.64.0/16 (1) JPNIC の TAL ファイル JPNIC URI 192.168.64.0/16 JPNIC からの分配先 リポジトリ (JPNIC) (2) トラストアンカーロケーター 192.168.64.0/22 ROA (192.168.64.0/24) ROA キャッシュサーバ 日本のアドレスは JPNIC 独自のルート CA を使うことで検証可能になっていました 7

今回の連携により システム連携! APNIC のルート CA URI JPNIC 192.0.0.0/8 (1) APNIC の TAL ファイル URI 192.168.64.0/16 JPNIC からの分配先 リポジトリ (APNIC) (2) (3) トラストアンカーロケーター 192.168.64.0/22 ROA (192.168.64.0/24) リポジトリ (JPNIC) ROA キャッシュサーバ 世界から日本のアドレスが検証可能に BGPMON などからも見えます! 8

祝!BGPMOM でもみえました 8/7 の検索結果 $ whois -h whois.bgpmon.net " --roa 2515 202.12.30.0/24" [Querying whois.bgpmon.net] [whois.bgpmon.net] 1 - Not Found 8/18 の検索結果 $ whois -h whois.bgpmon.net " --roa 2515 202.12.30.0/24" [Querying whois.bgpmon.net] [whois.bgpmon.net] 0 - Valid ------------------------ ROA Details ------------------------ Origin ASN: AS2515 Not valid Before: 2017-07-18 15:27:08 Not valid After: 2018-07-17 08:58:07 Expires in 333d1h16m31s Trust Anchor: rpki-repository.nic.ad.jp Prefixes: 202.12.30.0/24 (max length /32) 9

Tips JPNIC の TAL は消さないで併用 APNIC から辿れなくなったときにも ROA が検証できます RPKI に起きている問題の原因究明に役立ちます 10

リソース証明書と ROA Route Origination Authorization IP アドレスのホルダーによる署名付きデータで 割り当てられた IP アドレスの経路広告を特定の AS から経路広告することを認可したことを示す ROA は BGPsec の Origin Validation に使われる リポジトリ ROA リソース証明書 RPKI 検証キャッシュサーバ BGP ルータ 割り振り先 / 割り当て先 レジストリ ISP 事業者 (JPNICなど) 歴史的 PIアドレスホルダー など 11

参考情報 JPNIC Web ページ リソース PKI(RPKI) https://www.nic.ad.jp/ja/rpki/ ROA の作成と管理の方法 https://www.nic.ad.jp/ja/rpki/howto-create-roa.html JPNIC 技術セミナー ハンズオン 無料 RPKI 入門 ~BGPSEC と最新動向 ROA 管理まで ~ https://www.nic.ad.jp/ja/tech/seminar/rpki-basic.html 12

WHOIS

WHOIS から RDAP へ Registration Data Access Protocol RFC7480-7485(2015 年 ) 特徴 HTTP(s) RESTful http://[rdap-server]/ip/192.0.2.0/24 http://[rdap-server]/autnum/64496 http://[rdap-server]/domain/domain.example JSON bootstrap 14

RDAP(Cont.) 機械可読 例 : https://rdap.apnic.net/ip/202.12.30.0/24 の応答 { "handle" : "202.12.30.0-202.12.30.255", "startaddress" : "202.12.30.0", "endaddress" : "202.12.30.255", "ipversion" : "v4", "name" : "JPNIC-NET-JP", "type" : "ASSIGNED PORTABLE", "country" : "JP", "objectclassname" : "ip network", "entities" : [ { ( 以下略 ) 15

RDAP(Cont.) Authoritative であるリソースの参照場所を示す 例 : http://data.iana.org/rdap/ipv4.json { "description": "RDAP bootstrap file for IPv4 address allocations", "publication": "2015-08-11T00:09:31Z", } "services": [ ( 略 ) "202.0.0.0/8", ( 略 ) ], [ "https://rdap.apnic.net/" ] 仮に ARIN の RDAP サーバー (*) に問い合わせても APNIC にリダイレクトされて応答 *https://rdap.arin.net/registry/ip/202.12.30.0/24 16

RDAP(Cont.) RIR( 地域レジストリ ) はサービス提供中 https://rdap.apnic.net/ https://rdap.arin.net/ https://rdap.db.ripe.net/ https://rdap.lacnic.net/rdap/ https://rdap.afrinic.net/rdap/ APNIC 地域の NIR( 国別レジストリ ) は対応検討中 17

WHOWAS WHOIS 登録情報の過去データを閲覧 RIR ARIN: 所定の申請手続を経て閲覧する https://www.arin.net/resources/whowas/ RIPE NCC: 公開 WHOIS コマンドで所定のオプションを付ける APNIC:RDAP を応用したサービスとして開発 試験公開中 18

WHOWAS(Cont.) APNIC WHOWAS の Web UI https://www.apnic.net/static/whowas-ui/ https://www.apnic.net/static/whowasui/#202.12.30.0/24 19

WHOIS 登録情報の正確性向上 法執行機関の問題意識 WHOIS は 公安事案 犯罪捜査の際に利用 データが不正確 ( 特に二次割り当て ) データが不足 ( 例 : ポート番号がない ) 2016 年秋頃から EUROPOL/FBI などの警察関係者が各 RIR/NIR コミュニティで議論喚起 議論 + 提案 :ARIN 議論 :RIPE NCC/APNIC/JPNIC 20

WHOIS 登録情報の正確性向上 (Cont.) ARIN39(2017/04) ルール 年に一度全 POCに電子メールを送信し 登録情報の正確性確認を実施 反応がない情報は その旨 WHOISで表記 90 日以上反応がない場合 逆引きの委任停止 ( 今回の提案 ) 議論 趣旨に大筋賛成で好意的 登録情報の削除は効果が薄いうえに問題を悪化させるとして反対意見多数 21

参考情報 JPNIC Blog RDAP ~ 次世代 WHOIS プロトコル ~ の紹介 https://blog.nic.ad.jp/blog/rdap-intro/ 22

ご清聴 ありがとうございました

付録

RPKI のはじめ方 資源管理者証明書を準備 ( 資源管理カード / ブラウザ内 ) 申請における認証について https://www.nic.ad.jp/ja/ip/id-procedure.html 資源申請者証明書を担当者に発行 ( ブラウザ内 ) 資源申請者証明書発行マニュアル https://www.nic.ad.jp/doc/issue-manual-02.pdf リソース証明書と ROA の発行開始 https://rpki.nic.ad.jp/ 発行完了! お問合せ窓口 : ip-service@nir.nic.ad.jp ( または rpki-query@nic.ad.jp) 25

ROA の登録と管理の方法 ( ガイド ) 26

ROA の登録と管理の方法 ( ガイド ) https://www.nic.ad.jp/ja/rpki/howto-create-roa.html 27

おわり

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック