(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

Similar documents
ルーティングの国際動向とRPKIの将来

祝?APNICとRPKIでつながりました!

RPKIとインターネットルーティングセキュリティ

RPKI in DNS DAY

経路奉行・RPKIの最新動向

インターネットレジストリにおける レジストリデータの保護と応用

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

Microsoft PowerPoint - janog15-irr.ppt

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

IIJ Technical WEEK IIJのバックボーンネットワーク運用

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

BBIX-BGP-okadams-after-02

IPアドレス・ドメイン名資源管理の基礎知識

PowerPoint プレゼンテーション

経路制御とセキュリティの最新動向

CONTENTS No.53 March 2013 JPNIC News letter No.53 March

rpki-test_ver06.pptx

_v6-routes_irs.ppt

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

Microsoft PowerPoint - 今井.ppt

PowerPoint プレゼンテーション

CONTENTS No.55 November 2013 JPNIC News letter No.55 November

(JPOPM Showcase-3) IPv4のアドレス移転とは?

RPKI関連

IPv4アドレス在庫枯渇に関する報告

今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

PowerPoint プレゼンテーション

お話したいこと レジストリが管理する資源情報を公開するサービスであるWHOISについて 技術的 政策的な観点から抜本的な見直しが進行しています 本発表にて 次世代 WHOISプロトコルと言われるRDAPの規格や実装状況 およびICANNや各インターネットレジストリにおける政策議論の最新動向を紹介させ

IETF報告会(90th トロント) RPKI関連

JANOG44-Kobe

Microsoft PowerPoint - janog20-bgp-public-last.ppt

IPアドレス等料金改定に関するご説明

JPOPF-ENOG-Niigata

スライド 1

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

聞けそうで聞けないIPアドレスとAS番号の話

Microsoft PowerPoint ppt [互換モード]

irs-log.txt

初めてのBFD

目次 2 1. APNIC Open Policy Meeting とは 2. SIGとは 3. 第 14 回 APNIC Open Policy Meeting 4. JPNICが関係したプレゼンテーション 5. 主なミーティングの報告 6. 次回ミーティングのご案内

PowerPoint プレゼンテーション

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

2014/07/18 1

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート



経路奉行の取り組み

インターネット白書2017

宛先変更のトラブルシューティ ング

情報処理概論及演習 第 5 週インターネット 保坂修治 インターネット ありとあらゆるものをデジタルでつなぐ 常に世界規模で変化し続けている 2011 キーワード クラウド コンピューティング HTML5 LTE SNS メディア スマートグリッド スマートテレビ 1

U コマンド

仕様と運用

akira

HGWとかアダプタとか

untitled

証明書インポート用Webページ

企業ネットワークへのIPv6導入の是非

15群(○○○)-8編

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

_mokuji_2nd.indd

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

IPv6普及状況とIPアドレス最新レポート

Untitled

/07/ /10/12 I

スライド 1

セキュアなDNS運用のために

TRAVENTY CG V 動作検証報告書

起動する 起動方法は ご使用の OS により異なります 同一ネットワーク内で 本ソフトを複数台のパソコンから起動すると 本ソフト対応の LAN DISK にアクセスが集中し エラーとなる場合があります [ スタート ] メニュー [( すべての ) プログラム ] [I-O DATA] [LAN D

1. IP アドレス管理とは 目次 2 2. IP アドレス管理指定事業者とは 3. ポリシとは 4. IP 業務関連の申請 5. JPNIC 審議について 6. その他申請注意点 7. 参考資料

Mobile IPの概要

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

PowerPoint プレゼンテーション

PKIの標準化動向と リソースPKI

P コマンド

証明書インポート用Webページ

presen1.pptx

Microsoft Word - sigtunaDAR3-2s.doc

第8回 JPNIC Open Policy Meeting まとめ

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

第11週 インターネット

ENOG56-Niigata (ロゴなし)

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

ケーブルインターネットのIPv6対応

PowerPoint Presentation

Microsoft PowerPoint pptx

ゴール インターネットの動作原理を理解する インターネットは様々な技術が連携して動作する 家族に聞かれて説明できるように主要技術を理解する

Openconfigを用いたネットワーク機器操作

VPN 接続の設定

ios 用 IPSec-VPN 設定手順書 Ver. 1.0 承認確認担当 年 1 0 月 2 2 日株式会社ネットワールド S I 技術本部インフラソリューション技術部

【公開】村越健哉_ヤフーのIP CLOSネットワーク

クライアント証明書導入マニュアル

講座内容 第 1 回オープンネットワークの概念と仕組み ( 講義 90 分 ) 基本的なネットワークの構成及び伝送技術について大規模化 マルチプロトコル化を中心に技術の発展と 企業インフラへの適用を理解する その基本となっている OSI 7 階層モデルについて理解する (1) ネットワークの構成と機

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装

Microsoft PowerPoint irs14-rtbh.ppt

untitled

Transcription:

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

内容 RPKI について RIR の中で最も先行する RIPE 地域の動向 第 64 回 RIPE ミーティング (RIPE64) での話題 どういう状況で何が課題となっているのか 日本における RPKI の展望と課題 2

Resource PKI(RPKI) RIR で準備が進められている リソース証明書 を提供する仕組み AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry CNNIC KRNIC NIR: National Internet Registry TWNIC PA 割当先 LIR: Local Internet Registry 指定事業者 APNIC member ユーザ組織 RPKI のイメージ 3

RIPE64 における RPKI の話題 RPKI チュートリアル 初のチュートリアル ポリシー WG での議論 移転するアドレスの正当性を確認するためにリソース証明書と ROA を使う という考え方が WG 内にある 一時検討されたが ポリシー提案に至っていない プレナリーでの議論 RPKI のインターネット運用への影響 4

RPKI チュートリアル 社団法人日本ネットワークインフォメーションセンター

チュートリアルの概要 管理モデルは (1) メンバーで各自立ち上げて RIPE NCC を上位認証局 ( トラストアンカー ) とするか (2)RIPE NCC にホストしてもらうモデルの 2 つ ROA の管理とルータにおける解釈 VALID: ROA found, authorised announcement INVALID: ROA found, unauthorised announcement UNKNOWN: No ROA found (resource not yet signed) RPKI テストルーター Cisco Juniper 6

RPKI テストルーター Cisco rpki-rtr.ripe.net telnet username: ripe, no password sh ip bgp 93.175.146.0/24 (or your prefix), sh ip bgp rpki table, sh ip bgp ipv6 unicast rpki table, sh ip bgp rpki server Juniper 193.34.50.25, 193.34.50.26 telnet username: rpki, password: testbed show validation session detail, show validation statistics, show validation database, show route protocol bgp validation-state valid 7

チュートリアルでの質疑応答 ( 主なもの ) 失効によって起こることは何か? origin の検証に失敗するが BGP ルーターでそれをどう扱うかはやり方による Loose モードでおこなうと失敗したことがわかるだけ 秘密鍵を RIPE NCC に持たせることは不安ではないのか? 短期間では Web のツールはいいが 長期的にはよくないのでは その通りであるが いずれはユーザのチョイスであると思う 8

プレナリーでの議論 社団法人日本ネットワークインフォメーションセンター

RPKI に関する発表 プレナリー (4/17 第二部 ) ROA の検証と発行について, Randy Bush 氏 (IIJ) ルータにおける ROA のチェック方式の説明 prefix が長過ぎるものは無効とする プライベートアドレスのような 経路広告されない IP アドレスへの対応方法 :AS0 などの紹介 リソース証明 (RPKI) のセキュリティ ~ 耐性 自律性 ~ Alex Band 氏 (RIPE NCC) ROA に入れる prefix をまとめて管理できる UI の紹介 前回の第 63 回 RIPE ミーティングで指摘されたことへの対応として 10

前回の RIPE63 ミーティングで挙げられ 今回議論された 3 つの懸案事項 1. AS 運用の自律性が失われる可能性 法執行機関により RIR がリソース証明書の操作 ( 失効等 ) を行う可能性があること 2. RPKI システムのセキュリティ RPKI のシステムが不正に侵入されたり エラーが起きたりする可能性があること ( 経路制御に影響する可能性があるため セキュリティ対策が重要になる ) 3. RPKI システムの耐性 RPKI システムの動作不良が起きうること リソース証明書等のデータが取得できなくなることで経路制御に影響する可能性があること 11

会場での議論 (1/2) 1. AS 運用の自律性が失われる可能性 インターネット経路制御が依存するところ ( すなわち政府 ( 法執行機関 ) がインターネットの経路制御に関与できるポイント ) をいかになくすか RIPE NCC があるオランダの法律は 実際にルーターがあるオランダ外では関係なく この提供者と運用者の状況の違いも考慮する必要がある ルーターにおけるトラストアンカーの設定が ルーティングオペレーターに委ねられていることで独立性を担保できると言えるか そこまでは言えない 12

会場での議論 (2/2) ホワイトリストとブラックリストの方式でうまくいくか スパムフィルターと同じで 他人に登録されたらそれを直すのは結局人手で行わなければならない ルーターや他の実装でも RIPE NCC のように行われるとは限らない 結論のような意見 : アドレス管理が階層的に行われていることはもはや変えられないし インターネット経路制御に対する AS の独自性に影響するようなことは避けるように考えていこう 13

対応案 トラストアンカーを設定するのはルーターのオペレーターであるという点を踏まえた上で... RIPE NCC のツール RPKI Validator の機能の改良 ( 案 ) RPKI の検証結果を無視する設定 White List (Apply RPKI status Valid ) Ignore Filter (Apply RPKI status Unknown ) 14

現在の White List 操作画面 Alex Band 氏の発表資料より 15

現在の Ignore Filter 操作画面 Alex Band 氏の発表資料より 16

改良案 Alex Band 氏の発表資料より 17

2, 3.RPKI システムのセキュリティと ユーザ認証の強化 耐性 SMS を併用した二要素認証 8,000 名以上 (72 ヶ国 ) で使える方式として 独立した人員による認証局のコード評価 障害と攻撃への対応 Hosted Certificate and ROA management LIR Portal Non-hosted Parent Certificate system up/down Data retrieval RIPE NCC ROA Repository 18

第 63 回 RIPE ミーティング ( 前回 ) の議論 社団法人日本ネットワークインフォメーションセンター

RIPE63 の RIPE NCC 総会における決議事項 RIPE NCC は RPKI の取り組み ( 以下 2 点 ) を続ける リソース証明書はオプトインで提供 BGP の Origin Validation に関するプラットホームを提供 20

RIPE NCC として RIPE メンバーが賛同していると認識している事項 (3 点 ) アドレス資源の検証可能な証拠 ( リソース証明書 ) を提供するサービスを行うこと BGP Origin Validation に期待される活用方法 ( 以下 2 点 ) 経路ハイジャック ( 意図的でないものを含む ) を防ぐこと BGP のパス検証を行う BGPSEC への布石になること これらのメリットが潜在的なリスク ( 以下 2 点 ) よりも重みを持つこと BGP による経路制御においてオペレーターのコントロール範囲を狭める RPKI のなんらかの障害によってネットワークが到達しなくなることがある 21

日本における RPKI の展望と課 題 社団法人日本ネットワークインフォメーションセンター

日本における現状と今後の見通し 現状 RPKI testbed などの実装があり日本国内でも ローカルで RPKI を試すことができる ルーターにおける実装は進みつつあるが 低価格のルーターで稼動させるには至っていない JPNIC でも検証環境を準備中 今後の見通し 実効性を持って導入される状況ではないが 実装が増えていく見通し RPKI が運用可能であり効果を持つのかの検証がより重要になってくる 23

RPKI に関する課題 RPKI の運用と実効性 リソース証明書を発行する認証局 証明書などを配布するリポジトリ 証明書を検証するルーターなどが RPKI 導入の効果を発揮できるように運用可能なのかの検証など ルーティングの自律性や RPKI システム耐性 リソース証明書がある状況で自律性をどう担保するかの検証と整理 RPKI システム ( 発行サイドと検証サイド ) に耐性をどう持たせるか 枠組みの検討 国内で検証を行っていく時期になってきたと考えられる 24

まとめ RPKI に関する論点 1. AS 運用の自律性 2. システムセキュリティ 3. RPKI の耐性 RIPE 地域では整理と対策の議論が進められている 日本でも技術的な検証と共に上記の論点を踏まえた検討を行っていく必要がある 25

おわり 社団法人日本ネットワークインフォメーションセンター

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック