JPOPM15 2008 年 11 月 27 日秋葉原コンベンションホール RIR/JPNIC における電子認証技術と インターネット経路制御のセキュリティ向上に関する動向 木村泰司
内容 RIR/JPNIC における電子認証技術 インターネット経路制御のセキュリティ向上に向けた取り組み JPNIC における取り組み Copyright 2008 Japan Network Information Center 2
RIR/JPNIC における電子認証技術 IP アドレスハイジャックを防げ
IP アドレスハイジャック Copyright 2001-2004 Completewhois Project 手続きを含めて登録者認証は重要 Copyright 2008 Japan Network Information Center 4
RIR と JPNIC における電子認証 ( ユーザ認証 ) Mail-from はほぼ使われていない CRYPT-PW はなくなりつつある JPNIC APNIC ARIN RIPE NCC AfriNIC LACNIC ユーザ認証の方式 パスワード 電子証明書 ( X.509) パスワード PGP X.509 (Mail-from) PGP X.509 MD5-PW PGPKEY X.509 CRYPT-PW MD5-PW PGPKEY パスワード X.509 申請方式 電子メール Web 電子メール Web 電子メール 電子メール Web 電子メール Web Web JPNIC ではパスワードも廃止予定 2008 年 11 月現在 Copyright 2008 Japan Network Information Center 5
IP アドレスに関わる申請業務の形態 ( メールと Web) TLS/SSL パスワード GPG/MIME S/MIME Copyright 2008 Japan Network Information Center 6
RIR と JPNIC における認証局の構築 RIR/JPNIC が認証局を運用 JPNIC APNIC ARIN RIPE NCC AfriNIC LACNIC 認証局の運用 ユーザ認証用電子証明書 - - 2005/9 2002/9 2004/4 2003/5 2005/2 - 利用用途 TLS client TLS client S/MIME TLS client, S/MIME TLS client, S/MIME - TLS もしくは S/MIME で利用 2008 年 11 月現在 Copyright 2008 Japan Network Information Center 7
JPNIC における電子証明書を用いたユーザ認証 資源申請者 JPNIC 資源管理者 Web 申請システム 指定事業者契約に基づく 資源管理カード 電子メールとオフライン確認に基づく電子証明書 証明書認証 ID の有効性 Copyright 2008 Japan Network Information Center 8
JPNIC における電子証明書を用いた ユーザ認証 Copyright 2008 Japan Network Information Center 9
インターネット経路制御のセキュリティ向上に向けた取り組み 経路ハイジャックの被害を減らすためにできること
YouTube の AS に対する経路ハイジャック 2008 年 2 月 24 日 18:47~21:03 UTC 別の Origin AS による経路広告 more specific route(/24) 経路広告が止まるまで復旧せず RIPE NCC における分析 YouTube Hijacking: A RIPE NCC RIS case study http://www.ripe.net/news/study-youtube-hijacking.html BGPPlay and The Youtube Incident - As Seen Through RIS (RIPE-56) ROUTE FILTERING Copyright 2008 Japan Network Information Center 11
インターネット経路制御のセキュリティ向上に向けた取り組み Internet Routing Registry Resource PKI Copyright 2008 Japan Network Information Center 12
Internet Routing Registry 経路制御ポリシーを登録するためのレジストリシステム 目的 自組織や他組織のオペレーターと経路制御ポリシーを共有すること 主な用途 自 AS の経路制御ポリシーを登録しておき 他の AS の経路フィルターなどの設定変更の時に参照してもらう IXP やトランジットプロバイダー 経路フィルターを設定している AS Copyright 2008 Japan Network Information Center 13
Internet Routing Registry ISP や任意団体によって運用されている IRR/RR RADb Level3 OCNIRR IIJ など RIR/JPNIC において運用されている IRR RIPE NCC RIPE whoisd APNIC IRR ARIN IRR JPIRR 2002 年以降 RIR における IRR の運用が開始してきた (RIPE NCC は whoisd において統合されており運用されてきた ) Copyright 2008 Japan Network Information Center 14
Internet Routing Registry トピック RIPE NCC MyASN Proposal 2008-04 draft-kisteleki-sidr-rpsl-sig-00 APNIC RPKIと連携? JPIRR 経路ハイジャック情報通知実験 経路情報の登録認可機構利用実験 Copyright 2008 Japan Network Information Center 15
RPKI Resource PKI (Public-Key Infrastructure) IP アドレスや AS 番号といったアドレス資源 ( Resource) の割り振りや割り当てを表現するための PKI リソース証明書 アドレス資源の利用権利を示す電子証明書 IP アドレスや AS 番号が記載される Copyright 2008 Japan Network Information Center 16
リソース証明書 WHOIS データベース ICANN/IANA IP アドレス 割り振り AfriNIC RIPE NCC APNIC ARIN LACNIC RIR: Regional Internet Registry CNNIC KRNIC TWNIC NIR: National Internet Registry ISP 事業者 LIR: Local Internet Registry ユーザ組織 ISP 事業者 割り振り 割り振り 割り当て リソース証明書 IP アドレスの一意性を保証し経路制御の適応性を向上させる仕組み Copyright 2008 Japan Network Information Center 17
RPKI の役割 IP アドレスの利用権利を確認するための認証基盤 (RPKI) セキュアなインターネット経路制御 ( 将来的に ) Copyright 2008 Japan Network Information Center 18
RPKI の動向 RIR s scope RFC3779 sidr-res-cert-14 sidr-repos-struct-01 sidrrescerts-provisioning-03 sidr-roa-format-04 sidr-bogons-02 sidr-roa-validation-01 Pmohapat-sidr-pfxvalidate-00 Any discussions? Issue Resource Cert. ROA Allocation database Resource CA CRL etc Issue BOA store CA in LIR Verification of ROA/BOA Decisions on prefixes Prototype/beta system in APINC, RIPE NCC, ARIN? Protocols: RIR-LIR, RIR-RIR retrieve repository routers Well managed routing table Kisteleki-sidr-rpsl-sig-00 RIPE 2008-04 Route obj. in IRR IRR tools Digital sign. in IRR JPNIC (1) ROA approach (2) IRR approaches Prefix hijacking detection Copyright Copyright 2008 2008 Japan Japan Network Network Information Information Center Center 19 19
ここまでのまとめ RIR と JPNIC における電子認証技術 RIR と JPNIC において認証局を構築 申請業務で電子証明書を用いたユーザ認証を導入 インターネット経路制御のセキュリティ向上に向けた取り組み RIR や JPNIC において RR を運用 新しい認証基盤として Resource PKI の策定 / 開発 リソース証明書は目下策定中 課題もある Copyright 2008 Japan Network Information Center 20
JPNIC で取り組んでいること
JPNIC で取り組んでいること 経路ハイジャック情報通知実験 経路情報の登録認可機構 Copyright 2008 Japan Network Information Center 22
経路ハイジャック情報通知実験 目的 概要 JPIRR 登録者に経路ハイジャック情報を通知することで 登録情報更新を促し JPIRR 登録情報の正確性向上 JPIRR の登録情報と異なる経路情報を 経路ハイジャックが疑われる状況 として検出 その検知結果を希望する JPIRR 登録者へ通知 実験期間 2008 年 5 月 21 日 ( 水 ) ~ 2009 年 3 月 31 日 ( 火 ) 実験に参加頂ける方 情報 JPIRR にメンテナーオブジェクトを登録いただいている方 http://jpirr.nic.ad.jp/ Copyright 2008 Japan Network Information Center 23
経路情報の登録認可機構 JPIRR に不適切な prefix が登録されることを防ぐ Copyright 2008 Japan Network Information Center 24
開発の背景 IRR には不適切な prefix が登録される可能性がある 不適切な IP アドレス : 他の ISP の prefix 未割り振りの prefix これでは 登録しさえすれば 使える IP レジストリシステム IP アドレスの照合は行われていない IRR Copyright 2008 Japan Network Information Center 25
許可リスト 割り振り先組織 (IP 指定事業者 ) がメンテナーを指定する IP アドレスの割り振り先が IRR に登録される IP アドレスを管理できる Copyright 2008 Japan Network Information Center 26
route オブジェクトの登録制限 指定された prefix だけが route オブジェクトとして登録可能 正しい IP アドレスと AS 番号の組み合わせが IRR に蓄積される Copyright 2008 Japan Network Information Center 27
導入の意義 経路広告を意識した IP アドレス管理業務 IP アドレスハイジャックや経路ハイジャックの被害を減らすために役立つよう 登録情報を整える 許可リスト で IP アドレスと AS の管理者とを結びつける RPKI Copyright 2008 Japan Network Information Center 28
まとめ RIR と JPNIC における電子認証技術 RIR と JPNIC において認証局を構築 申請業務で電子証明書を用いたユーザ認証を導入 インターネット経路制御のセキュリティ向上に向けた取り組み RIR や JPNIC において RR を運用 新しい認証基盤として Resource PKI の策定 / 開発 JPNIC における取り組み 経路奉行を用いた経路ハイジャック検知 JPIRR に不適切な prefix が登録されることを防ぐ 経路情報の登録認可機構 Copyright 2008 Japan Network Information Center 29
参照 経路情報の登録認可機構 http://www.nic.ad.jp/ja/research/ca/routereg-outline/ IRRd http://www.irrd.net/ Internet Routing Registry Toolset Project https://www.isc.org/software/irrtoolset (AfriNIC) supporting documents http://www.afrinic.net/documents.htm#supporting (RIPE NCC) RIPE Database Update Reference Manual http://www.ripe.net/db/support/update-reference-manual.pdf (RIPE NCC) Routing Registry Training Courses Material http://www.ripe.net/training/rr/material/ Copyright 2008 Japan Network Information Center 30