はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

Similar documents
irs-log.txt

untitled

IPv6 トラブルシューティング~ ISP編~

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF2E707074>

T8_4-shirasaki.PDF

パブリック6to4リレールータに おけるトラフィックの概略

Microsoft PowerPoint ppt [互換モード]

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

スライド 1

IRS-Meeting-Log txt

15群(○○○)-8編

2011 NTT Information Sharing Platform Laboratories

Microsoft PowerPoint irs14-rtbh.ppt

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF76322E312D8CF68A4A97702E B8CDD8AB B83685D>

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

untitled

total.dvi

IPv6チュートリアルからIPv6化ことはじめ~

橡C14.PDF

BGP ( ) BGP4 community community community community July 3, 1998 JANOG2: What is BGP Community? 2

Microsoft PowerPoint - ykashimu_dslite_JANOG26_rev

_v6-routes_irs.ppt

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

初めてのBFD

事例から学ぶIPv6トラブルシューティング~ISP編~

経路奉行・RPKIの最新動向

2014/07/18 1

Microsoft PowerPoint - janog20-bgp-public-last.ppt

RPKIとインターネットルーティングセキュリティ

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

New IANA allocation な IP Address 利用の手引き ~1. 悲しい編 ~

15群(○○○)-8編

Microsoft PowerPoint - ie ppt

経路奉行の取り組み

Microsoft PowerPoint - janog15-irr.ppt

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

概要

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

untitled

ルーティングの国際動向とRPKIの将来

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

技術的条件集別表 35 IP トランスポート仕様

今からはじめるIPv6 ~IPv6標準化最新動向編~

Mobile IPの概要

設定例集

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

IPv6 リンクローカル アドレスについて

プロジェクトのモチベーション IPv4 ユーザ向けのお試し IPv6 環境づくり 手始めに実装が普及している 6to4に着目 個別の技術にはこだわらず Teredo や ISATAP 等についても検討 IPv4/IPv6 共存技術の普及 設定 運用ノウハウの共有 設定や負荷状況等を積極的に情報を公開

Microsoft PowerPoint - chapter8_2013.pptx

インターネットVPN_IPoE_IPv6_fqdn

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

索引

shtsuchi-janog35.5-grnet.pptx

Microsoft PowerPoint ISC203(印刷版).ppt

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

IPv6セキュリティ概説-プロトコル編-

橡3-MPLS-VPN.PDF

祝?APNICとRPKIでつながりました!

tp2ps output file

IPv4

Microsoft PowerPoint f-InternetOperation04.ppt

SRT/RTX/RT設定例集

3. LISP B EID RLOC ETR B 4. ETR B ITR A 1: LISP 5. ITR A B EID RLOC 6. A SYN 7. ITR A ITR A B EID RLOC SYN ITR A RLOC ETR B RLOC 8. ETR B SYN ETR B B

本資料について

スライド タイトルなし

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

スライド 1

Microsoft PowerPoint - SOHO_HOME_座学_2nd_ ppt [互換モード]

BGPルートがアドバタイズされない場合のトラブルシューティング

橡c13.PDF

ゴール インターネットの動作原理を理解する インターネットは様々な技術が連携して動作する 家族に聞かれて説明できるように主要技術を理解する

Microsoft PowerPoint pptx

irs16.rev5.txt

untitled

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

IPv4aaSを実現する技術の紹介

IPSEC(Si-RGX)

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

IIJ Technical WEEK IIJのバックボーンネットワーク運用

MPLS-VPN とは C 社を中心として RFC2547(Informational) に記された ISP サービスとしての IP-VPN 実現技術 網内パケット転送に MPLS(LDP/TDP) VPN 経路情報交換に BGP(mpBGP:RFC2283) を使用 ルーティングプロトコルがエッジ

HGWとかアダプタとか

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

untitled

ヤマハ ルーター ファイアウォール機能~説明資料~

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

PowerPoint プレゼンテーション

IXに接続してみた。

PIM-SSMマルチキャストネットワーク

実践!初めてのIPv6 ~ルーティング編~

インターネットレジストリにおける レジストリデータの保護と応用

Clos IP Fabrics with QFX5100 Switches

janog40-sr-mpls-miyasaka-00

PowerPoint Presentation

今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

routing_tutorial key

_IRS25_DDoS対策あれこれ.pptx

Transcription:

xsp のルータにおいて設定を 推奨するフィルタの項目について (IPv6 版 ) KDDI 石原 パワードコム向井 DTI 馬渡

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外としたい 2005/10/07 Internet Routing Security Workshop 2

登場するアドレス default ::/0 ループバックアドレス ::1/128 未指定アドレス ::/128 IPv4 互換アドレス ::ffff:/96 ::ffff:a.b.c.d IPv4 射影アドレス ::/96 ::a.b.c.d リンクローカルアドレス fe80::/10 サイトローカルアドレス fec0::/10 もう使われないアドレスだけど ユニークローカルアドレス fec0::/7 New! RFC4193 マルチキャストアドレス ff00::/8 ドキュメントアドレス 2001:db8::/32 自 AS のprefix まさに 2001:db8::/32 の出番 6to4 2002::/16 2005/10/07 Internet Routing Security Workshop 3

フィルタリングをするところ ピア接続 トランジット接続 顧客接続 ルーター自身へのアクセス 2005/10/07 Internet Routing Security Workshop 4

ピア接続パケットフィルタリング Ingress source address が ループバック サイトローカル ユニークローカル ドキュメント マルチキャストのパケットは reject source address が リンクローカルのパケットは accept 自 AS のprefix をreject Egress 特に必要なし 2005/10/07 Internet Routing Security Workshop 5

ピア接続経路フィルタリング Ingress default ループバック リンクローカル サイトローカル ユニークローカル ドキュメント マルチキャスト 自 AS のprefix をor longer でreject as-path filter は特になし Egress 自 AS のprefix は集約して accept private ASN をreject 2005/10/07 Internet Routing Security Workshop 6

トランジット接続パケットフィルタリング Ingress source address が ループバック サイトローカル ユニークローカル ドキュメント マルチキャストのパケットは reject source address が リンクローカルのパケットは accept 自 AS のprefix をreject Egress 特に必要なし 2005/10/07 Internet Routing Security Workshop 7

トランジット接続経路フィルタリング Ingress default ループバック リンクローカル サイトローカル ユニークローカル ドキュメント マルチキャスト 自 AS の prefix をor longer でreject as-path filter は特になし Egress default ループバック リンクローカル ドキュメント マルチキャストを or longer でreject 自 AS のprefix は集約して permit private ASN をreject 2005/10/07 Internet Routing Security Workshop 8

顧客接続パケットフィルタリング Ingress source address が ループバック サイトローカル ユニークローカル ドキュメント マルチキャストのパケットを reject source address が リンクローカルのパケットは accept トランジット顧客の場合 自 AS のprefix がsource address のパケットを reject Egress 特に必要なし 2005/10/07 Internet Routing Security Workshop 9

顧客接続経路フィルタリング BGP 接続顧客を対象 Ingress 顧客に割り当てた prefix をexact でaccept 顧客からアナウンスされる可能性のある prefix をaccept as-path filter は特になし Egress default ループバック リンクローカル サイトローカル ユニークローカル ドキュメント マルチキャストを or longer でreject 自 AS のprefix は集約して accept private ASN をreject 2005/10/07 Internet Routing Security Workshop 10

ルータ自身へのアクセスパケットフィルタリング Ingress ルータで動かしているサービスのうち アクセス可能な source address を限定して accept TELNET / SSH / SNMP / FTP/ TFTP / NTP 利用しないサービスはもちろん disable ebgp / ibgp のneighbor address のみ 179/tcp でaccept 接続リンクにおいて source address がリンクローカルのパケットは accept Egress 特に必要なし 2005/10/07 Internet Routing Security Workshop 11

経路フィルタリング (bogons( routes) IANA から RIR に割り振られた prefix のみ accept する経路フィルターについては 運用ポリシー次第? 例 : 2003::/16 prefix-length length-range /19-/32 /32 accept 2600::/12 prefix-length length-range /19-/32 /32 accept 2a00::/16 prefix-length length-range /19-/32 /32 accept 他は reject ちなみに 各 RIR のポリシーにより IX critical internet infra に対する割り当て長が違うので 気をつける必要があります ARIN だと /48 がroot server などに割り当てられています APNIC RIPE/NCC は /32 でも 全部追従できるか不安 2005/10/07 Internet Routing Security Workshop 12

IPv6 で考慮されるもの 6to4 ::/8 /48 or longer 6bone

6to4 RFC3068 で定義されている 6to4 のglobal なリレールータの prefix 日本なら KDDI lab さんが originate してる模様 2002::/16 192.88.99.0/24 でアナウンスされています 6to4 relay anycast address 192.88.99.1 2002:c058:6301:: reject しないでね ピア トランジット 顧客向けの経路フィルタリングでの扱いどうしましょう? 2005/10/07 Internet Routing Security Workshop 14

::/8 IPv6 への移行を目的としたアドレス IPv4 互換アドレス ::/96 自動設定トンネリングで利用 (RFC2893) IPv4 射影アドレス ::ffff:/96 IPv6 ノードが IPv4 ノードと通信する際に IPv6 ノード内部で利用 特殊な Unicast address(rfc3513) 未指定アドレス (unspecified address) ::/128 neighbor discovery で利用 IPv6 ルータは転送すべきでないと書かれている ループバックアドレス ::1/128 IPv6 ノードは src / dst にループバックアドレスが設定されている場合 そのノードから送信すべきではないと書かれている これら ::/8 のパケットフィルタリング 経路フィルタリングはどうしましょう? 2005/10/07 Internet Routing Security Workshop 15

/48 or longer のprefix 今のところ /48 より長い prefix はsite に割り当てはされない accept? reject? 運用ポリシー次第でどちらでも OK? 2005/10/07 Internet Routing Security Workshop 16

RFC2471 で定義 6bone 3ffe::/16 2006 年 6 月 6 日に終了予定と RFC3701 で書かれている 6bone 終了後は パケットフィルタリング 経路フィルタリングともに reject? 2005/10/07 Internet Routing Security Workshop 17

参考資料 xsp のルータにおいて設定を推奨するフィルタの項目について, http://www.bugest.net/irs/ IPv6 BGP filter recommendations, http://www.space.net/~gert/ripe/ipv6- filters.html 2005/10/07 Internet Routing Security Workshop 18

IANA 参考資料 IPv6 Address Space, http://www.iana.org/assignments/ipv6-address address-spacespace RFC IPv6 Testing Address Allocation, RFC2471 Transition Mechanisms for IPv6 Hosts and Routers, RFC2893 An Anycast Prefix for 6to4 Relay Routers, RFC3068 Internet Protocol Version 6 (IPv6) Addressing Architecture, RFC3513 Unique Local IPv6 Unicast Addresses, RFC4193 2005/10/07 Internet Routing Security Workshop 19

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック