RPKIとインターネットルーティングセキュリティ

Similar documents
インターネットレジストリにおける レジストリデータの保護と応用

経路奉行・RPKIの最新動向

RPKI in DNS DAY

祝?APNICとRPKIでつながりました!

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

Microsoft PowerPoint - janog15-irr.ppt

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

PKIの標準化動向と リソースPKI

ルーティングの国際動向とRPKIの将来

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

BBIX-BGP-okadams-after-02

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

RPKI関連

PowerPoint プレゼンテーション

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

聞けそうで聞けないIPアドレスとAS番号の話

IIJ Technical WEEK IIJのバックボーンネットワーク運用

(JPOPM Showcase-3) IPv4のアドレス移転とは?

IETF報告会(90th トロント) RPKI関連

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ

IPアドレス・ドメイン名資源管理の基礎知識

_v6-routes_irs.ppt

JANOG44-Kobe

untitled

経路制御とセキュリティの最新動向

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

IPアドレス等料金改定に関するご説明

求人面接資料PPT

/07/ /10/12 I

目次 2 1. APNIC Open Policy Meeting とは 2. SIGとは 3. 第 14 回 APNIC Open Policy Meeting 4. JPNICが関係したプレゼンテーション 5. 主なミーティングの報告 6. 次回ミーティングのご案内

Microsoft PowerPoint - janog20-bgp-public-last.ppt

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

Microsoft PowerPoint - 今井.ppt

APR. JUL. AUG. MAY JUN. 2

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

untitled

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

初めに:

Microsoft PowerPoint ppt [互換モード]

スライド 1

15群(○○○)-8編

irs-log.txt

セキュアなDNS運用のために

PowerPoint プレゼンテーション

JPOPF-ENOG-Niigata

IPv4アドレス在庫枯渇に関する報告

contents

_2009MAR.ren

スライド 1

Microsoft PowerPoint [互換モード]

極地研 no174.indd

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

経路奉行の取り組み

スライド 1

本文

ENUM

インターネット・トピックス

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

インターネットガバナンスの状況

請求記号:DVD 70- -1  栄光のフィレンツェ・ルネサンス  1 夜明け   55分 

第3 章 電子認証技術に関する国際動向

IETF報告会(93rd プラハ) SAAG/CFRG/TLS/SIDR/ACME

PowerPoint プレゼンテーション

Microsoft PowerPoint - ie ppt

2011 NTT Information Sharing Platform Laboratories

<4D F736F F F696E74202D B F8089BB82CC88EA91A496CA C982A882AF82E9504B4982CC8FF38BB52E707074>

IPv6普及状況とIPアドレス最新レポート

untitled

PowerPoint プレゼンテーション

有明海・八代海総合調査評価委員会 委員会報告書 別添資料

インターネット白書2017

ENOG56-Niigata (ロゴなし)

Microsoft Word - 007†^P †^fi¡Œì.doc.doc

スライド 1

iw2009-routesec

企業ネットワークにおける 認証基盤の構築に関する研究

ENUM トライアルジャパン 第3次報告書

Microsoft Word - sigtunaDAR3-2s.doc

_IRS25_DDoS対策あれこれ.pptx

akira


JPNIC のご紹介 (1) 一般社団法人日本ネットワークインフォメーションセンター JaPan Network Information Center 活動理念 : インターネットの円滑な運用のために各種の活動を通じてその基盤を支え 豊かで安定したインターネツト社会の実現を目指す 設立年月日 :19

橡3-MPLS-VPN.PDF

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

ENUM? ENUM (E.164 ) URI DNS ( ) URI IETF ITU-T DNS IW IP( ) DNS IW2003 4

APNIC40 に行ってきたお話 2015/09/07 09/11 Shun Tsutsui 1

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

IPアドレス割り当て管理業務について

Anonymous IPsec with Plug and Play

ipmtg2010

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

IPv6アドレス JPNICでの逆引きネームサーバ登録と逆引き委譲設定の方法


1. IP アドレス管理とは 目次 2 2. IP アドレス管理指定事業者とは 3. ポリシとは 4. IP 業務関連の申請 5. JPNIC 審議について 6. その他申請注意点 7. 参考資料

Microsoft PowerPoint - t10-RuriHiromi-T10-IPv6_into_Enterprise_hiromi

058 LGWAN-No155.indd

Transcription:

RPKI とインターネット ルーティングセキュリティ ~ ルーティングセキュリティの未来 ~ セキュリティ事業担当 木村泰司

内容 1. リソース証明書と RPKI 2. 国際的な動きと標準化動向 3. ディスカッションのポイント 2

1 リソース証明書と RPKI

リソース証明書とは ~ アドレス資源の 正しさ ~ イ ) これは正しいアドレスだ whois $ whois h whois.nic.ad.jp 192.0.2.0 ロ ) ハードディスク 192020 192.0.2.0 192.0.2.255 2 255 4

リソース証明書と RPKI 正しい リソースとは レジストリに登録された通りに割り振りまたは割り当てが行われているリソースである AfriNIC RIPE NCC APNIC ARIN LACNIC リソース証明 CNNIC KRNIC TWNIC リソース証明書 RPKI のイメージ PA 割当先指定事業者ユーザ組織 当該アドレスを利用する権利 5

リソース証明書の 検証 IPアドレスの割り振りと割り当て IPアドレスの例リソース証明書 APNIC 192.168.0.0/16 APNIC 自身が発行 192.168.128.0/17 APNIC が発行 LIR (IP 指定事業者 ) 192.168.128.0/24 JPNICが発行 LIRがユーザ組織 192.168.128.128/25168 128 128/25 発行 チェックポイント IP アドレスが発行元の IP アドレスの範囲に入っていること 元を辿っていくとレジストリの認証局にたどり着くこと 6

RPKI の用途 a. アドレス資源の管理 Whoisに代わる 正しい アドレス資源を証明する基盤 b. 応用 セキュアルーティング セキュアなインターネット経路制御の自動化 IX におけるアドレス確認業務の補強 7

RPKI RPKIを使ったセキュアなインターネット経路制御 AfriNIC RIPE NCC APNIC ARIN LACNIC CNNIC KRNIC TWNIC レジストリデータベース PA 割当先 ユーザ組織 指定事業者 リポジトリ リソース CA BGPメッセージをチェック ROAとリソース証明書の入手 ( オンライン ) 格納 発行 格納 発行 BGP ルータ等 Route Origination Authorization (ROA) ( 経路広告の認可情報 ) リソース証明書 BGP オペレーター 指定事業者 8

2 国際的な動きと標準化動向動向

RIR におけるリソース証明書 APNIC ARIN RIPE NCC LACNIC AfriNIC JPNIC リソース証明書 提供中 試験提供中 提供中 検討中 Resource Certificati on project 検討中 調査と検討 APNIC RIPE NCC ではリソース証明書を既に提供中 ARIN は試験提供 10

時系列 2004 th Jun RFC3779 IETF APNIC 2006 年度 2007 年度 2008 年度 2009 年度 Mar I-D ROA Mar 1 st SIDR BoF Apr I-D profile Aprp SIDR WG 結成 Jul I-D architecture リソース証明書エンジン部分の開発 I/F 等の開発 Dec I-D rpsl-sig Sep MyAPNIC での正式提供開始 Feb I-D trust anchor ARIN 開発への参加 システム設計開始 レジストリ連携の開発 Jul 試験提供開始 RIPE NCC JPNIC Oct CATF 結成 CertPROTO 開発への参加業務の検証 開発 RIR 検討への参加 / リソースセキュリティの調査 経路情報の登録機構開発 利用実験 Oct ベータテスト Oct ポリシー提案 2008-08 Jul 正式提供開始 経路ハイジャックに関する情報提供 11

IETF における標準化動向 RFC X.509 Extensions for IP Addresses and AS Identifiers (RFC3779) X.509 証明書にIPアドレスとAS 番号を入れられるようにする拡張 Internet-Draft An Infrastructure to Support Secure Internet Routing (draft-ietf-sidrarch-09.txt) リソース証明書や ROA の説明 RPKI の構造やレジストリにおける CA の役割など A Profile for Route Origin Authorizations (ROAs) (draft-ietf-sidr-roa- format-06.txt) txt) IPアドレスのholderがASに経路広告を認可するというROAを定義 A Profile for X.509 PKIX Resource Certificates (draft-ietf-sidr-res- certs-17.txt) txt) リソース証明書の意味 right-to-use やリソース証明書の記載内容( プロファイル ) を定義 12

RPKI の主要オブジェクト Resource Certificate( リソース証明書 ) IPアドレスやAS 番号の利用権利 (right-of-use) を示す電子証明書 Route Origination Authorizations(ROA) IPアドレスの割り振り先 ( または割り当て先 ) が ASに対してIPアドレスの経路広告を認可 (authorization) したことを示す電子署名付きのデータ Manifest RPKIにおける認証局が発行したリソース証明書 ROA CRLのリストに電子署名を付けたデータ リソース証明書 ROA CRLなどの 一部を消して再配布するような 不正行為対策のデータ 13

3 ディスカッションのポイント

ディスカッションのポイント 1 リソース証明書の内容は正しいのか レジストリデータベースと変わらないスと変わらない 2 RPKIを使ってみるには何がいるのか レジストリから発行されたリソース証明書 ( もしくは ) リソース証明書やROAを発行するプログラム リソース証明書やROAを検証するプログラム (OpenSSL-0.9.8e 頃より表示が可能になっている ) 3 Route Origination Authorization アドレスの利用権利を持つものが経路制御を決める 4 RPKIを使わないといけなくなるのか ARIN RIPE NCC ARINは提供開始 使わないといけないわけではない 5 日本はどうするのか? JPNIC リソース証明書について継続的に調査中 セキュアな経路制御の為に 経路情報の登録認可機構を含めて検討中 15

RPKI と JPNIC の活動 (1) JPNICの 電子証明書を用いた認証 ユーザ認証です 資源申請者 JPNIC 資源管理者 Web 申請システム 指定事業者契約に電子メールと基づく 資源管理カード オフライン確認に基づく電子証明書 認証 ID の有効性 16

RPKI と JPNIC の活動 (2) 経路情報の登録認可機構 IPアドレスの割り振り先 ( 指定事業者 ) がIRRへの登録条件を設定 ROAの考え方 ROA 管理インターフェースを視野 Whoisを使って想定される登録情報を参照利用方法設定 レジストリデータベース 実験用 IRR Route オブジェクトの登録 経路情報の登録認可機構 IRR への登録条件を設定 BGP ルータ等 BGPオペレーター 指定事業者 17

情報源 IETF Secure Inter-Domain Routing g( (sidr) http://www.ietf.org/dyn/wg/charter/sidrcharter.html APNIC Resource Certification http://www.apnic.net/services/services-apnic- net/services/services-apnicprovides/resource-certification Resource Certification (RIPE NCC) https://certtest.ripe.net/ Resource Certification (ARIN) http://rpki-pilot.arin.net/ 18

おわり

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック