Microsoft PowerPoint - janog15-irr.ppt

Similar documents
RPKIとインターネットルーティングセキュリティ

経路奉行・RPKIの最新動向

インターネットレジストリにおける レジストリデータの保護と応用

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

ルーティングの国際動向とRPKIの将来

祝?APNICとRPKIでつながりました!

経路奉行の取り組み

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

RPKI in DNS DAY

_v6-routes_irs.ppt

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

IPアドレス・ドメイン名資源管理の基礎知識

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

BBIX-BGP-okadams-after-02

untitled

スライド 1

セキュアなDNS運用のために

内容 インターネットとAS AS間ルーティングにおけるインシデント IPアドレス管理とRPKI Origin Validationの仕組みと現状 技術課題 信頼構造 1

(JPOPM Showcase-3) IPv4のアドレス移転とは?

irs-log.txt

Microsoft PowerPoint - janog20-bgp-public-last.ppt

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

スライド 1

Microsoft PowerPoint - 今井.ppt

PowerPoint プレゼンテーション

第8回 JPNIC Open Policy Meeting まとめ

irs16.rev5.txt

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

2014/07/18 1

JANOG44-Kobe

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

Contents 1. インターネット番号管理とは何か 2. インターネット番号管理における課題 1. レジストリ組織構造 2. ポリシ策定 3. インターネット番号管理業務 3. 各 RIRの状況 4. まとめ Copyright (c) 2003 社団法人日本ネットワークインフォメーションセンタ

目次 2 1. APNIC Open Policy Meeting とは 2. SIGとは 3. 第 14 回 APNIC Open Policy Meeting 4. JPNICが関係したプレゼンテーション 5. 主なミーティングの報告 6. 次回ミーティングのご案内

Microsoft PowerPoint - DNSSECとは.ppt

IPv6アドレス JPNICでの逆引きネームサーバ登録と逆引き委譲設定の方法

ゴール インターネットの動作原理を理解する インターネットは様々な技術が連携して動作する 家族に聞かれて説明できるように主要技術を理解する

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

IIJ Technical WEEK IIJのバックボーンネットワーク運用

内容 2003 年のトピック ルーティング動向 ネットワーク トポロジーの状況 トラフィック状況 2

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

IPアドレス等料金改定に関するご説明

製品概要

スライド 0

本日のお話 運用 / 運用システムの現状 ネットワーク運用の自動化のススメ 1) ネットワーク管理の自動化 2) ネットワーク工事 ( 設定 ) の自動化 3) ネットワーク運用時 ( 障害時 ) の自動化 Copyright 2012 NTT Communications Corporation.

PowerPoint プレゼンテーション

スライド 1

Microsoft PowerPoint irs14-rtbh.ppt

スライド 1

ENOG56-Niigata (ロゴなし)

聞けそうで聞けないIPアドレスとAS番号の話

Mobile Access簡易設定ガイド

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Microsoft PowerPoint ppt [互換モード]

LGWAN-1.indd

PowerPoint プレゼンテーション

U コマンド

_mokuji_2nd.indd

untitled

UCSセキュリティ資料_Ver3.5

NTT Communications PowerPoint Template(38pt)

総セク報告書(印刷発出版_.PDF

IIJ Technical WEEK2017 経路制御の課題と対策

ENUM? ENUM (E.164 ) URI DNS ( ) URI IETF ITU-T DNS IW IP( ) DNS IW2003 4

_IRS25_DDoS対策あれこれ.pptx

PowerPoint Presentation

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

アジェンダ DNSBLのおさらい 当社メールサーバへの導入 DNSBLに登録されちゃった ネットワーク構成の変更 まとめ Copyright (c) 2014 Global Network Core Co.,Ltd. 1

事例から学ぶIPv6トラブルシューティング~ISP編~

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

FUJITSU Cloud Service K5 認証サービス サービス仕様書

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

ENUM トライアルジャパン 第3次報告書

橡C14.PDF

マイナンバー対策マニュアル(技術的安全管理措置)

DNSでのBGP Anycast運用による 影響の計測 a.dns.jpのクエリログから

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

15群(○○○)-8編

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

PowerPoint プレゼンテーション

New IANA allocation な IP Address 利用の手引き ~1. 悲しい編 ~

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

背景

お話したいこと レジストリが管理する資源情報を公開するサービスであるWHOISについて 技術的 政策的な観点から抜本的な見直しが進行しています 本発表にて 次世代 WHOISプロトコルと言われるRDAPの規格や実装状況 およびICANNや各インターネットレジストリにおける政策議論の最新動向を紹介させ

Microsoft PowerPoint - ykashimu_dslite_JANOG26_rev

Microsoft Word - 007†^P †^fi¡Œì.doc.doc

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について



(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

山添.pptx

058 LGWAN-No155.indd

インターネットVPN_IPoE_IPv6_fqdn

R80.10_FireWall_Config_Guide_Rev1

目次 はじめに KDDIのIPv6への取り組み auひかりのipv6 World IPv6 Dayに起きたこと World IPv6 Dayのその後 1

Transcription:

JPIRR IRRの未来 JPNIC 川端宏生 <kawabata@nic.ad.jp> NTT コミュニケーションズ JPNIC IRR 企画策定専門家チーム Chair 吉田友哉 <yoshida@ocn.ad.jp>

発表内容 JPNIC IRR(JPIRR) の正式サービス化へ向けた検討報告 川端宏生 JPIRR IRR の未来 吉田友哉 2005/1/21 copyright (c) JPNIC IRR-Plan 2

JPNIC IRR(JPIRR) の正式サービス化へ向けたけた検討報告 JPNIC 川端宏生

現在の JPIRR 実験サービスサービスについて サービスの概要 2002 年 8 月よりサービス開始 2004 年 4 月より提供期間無期限の実験サービスとして提供 IP アドレス管理指定事業者を対象に実施 ミラー先 :APNIC RADB RIPE-NCC 登録オブジェクト数 -- http://jpirr.nic.ad.jp/stat/index.html mntner : 35 aut-num : 20 route : 280 as-set : 20 提供内容 オブジェクトの新規登録 / 更新 / 削除 ガーベージコレクタサービス ポリシーチェックサービス IRR に関する情報提供 上記内容に関する問い合わせ 2005/1/21 copyright (c) JPNIC IRR-Plan 4

今後の JPIRR サービスについて (1) 対象 IP アドレス管理指定事業者 JPNIC 管理下の PI アドレスの割り当てを受けている組織 割り振り / 割り当てを行ったレジストリが リソースの正当性を保証すべき との観点に立ち 対象を選定 AS 番号については 今後の状況に応じて対象に ミラーリング 主要な IRR へのミラーリングを追加 ( ミラーリング先の選定を行い 順次実施予定 ) 各 ISP の IRR 上で JPIRR への登録データが参照できるように 2005/1/21 copyright (c) JPNIC IRR-Plan 5

今後の JPIRR サービスについて (2) 提供予定のサービス オブジェクトの新規登録 登録済みオブジェクトの更新 / 削除 メールや Web インターフェース 登録情報の参照 / 検索 : WHOIS コマンドや Web インターフェース 各種ツール類の提供 経路比較結果表示サービス ガーベージコレクタサービス Filter 生成ツール 上記に関する問い合わせ IRR に関する情報提供 2005/1/21 copyright (c) JPNIC IRR-Plan 6

今後の JPIRR サービスについて (3) IPv6 対応 IPv6 アドレスの経路も登録可能に! 標準サービスとして提供 セキュリティ 登録時の認証強化 実装例 :JPIRR の登録用インターフェースでクライアント認証 JPIRR を参照したユーザが登録情報の正当性を検証する機能 今後のスケジュール 2005 年 07 月 (JANOG16 ごろ ): 第 3 回 JPIRR BoF を予定 もう少し具体的なサービス内容をご紹介します 2005 年 10 月 ( 予定 ): サービス提供開始 2005/1/21 copyright (c) JPNIC IRR-Plan 7

JPIRR IRRの未来 NTT コミュニケーションズ JPNIC IRR-Plan Chair 吉田友哉

現在の IRR 経路データベースとしての利用 ISP における経路参照 抽出元情報 IRR による Prefix フィルタ自動生成 (IRRToolSet) 外部経路監視システムの監視情報の抽出 http://www.ntt.com/release/2004news/0002/0226.html 経路の信憑性確認 異常時のコンタクト 問題点や課題 信憑性の欠如 維持 ゴミオブジェクト問題 情報の分散化 必要情報取得性の低下 最低 50 以上の IRR が世界に存在 (Merit の IRR リストより ) IRR システムの安全性の問題 2005/1/21 copyright (c) JPNIC IRR-Plan 9

未来の IRRへ向けて 信憑性 信頼性の高い IRR を作る 安心して登録出来る 認証局との連携 登録内容を信じて利用出来る レジストリが保証 情報から相手の認証が可能 電子署名 情報の更新 ( の促進 ) ガーベージコレクタシステム IRR の情報の扱い Mirroring Level の明確化 Public IRR 情報 Private IRR 情報 Global Level Local Level 特に IPv6 の世界を作っていく上では重要 情報の保証範囲がおのずと出来あがる Origin AS の認証 検証システム IRR を用いた Origin 認証 検証システム Routing Hijack の撲滅へ 2005/1/21 copyright (c) JPNIC IRR-Plan 10

次世代 IRR 基盤システム 資源管理者 ISP 1 IP レジストリシステム Web AS 管理者作成 知ってる人 ( 任命 ) RADB JPNIC RIPE ポリシー 3 チェック AS 変更範囲 JPIRR の検索 APNIC ミラーの世界 2 Web Whois HTTPS CRISP オブジェクト 情報参照 情報登録 登録を確認 AS 管理者組織アドレス割り振り別のAS 管理者 証明書発行 検証 自動設定マシーン 4 IRR の情報を信じられる状況 5 2005/1/21 copyright (c) JPNIC IRR-Plan 11

次世代 IRR 基盤システム システム (Cont.) オブジェクトの署名 保障 レジストリ JPIRR APNIC レジストリ A オブジェクト A ミラー オブジェクト A レジストリ B 電子署名 電子署名つきオブジェクト 認証 + 暗号通信で登録 入手 署名検証 入手 署名検証 登録者 A 検証者 A 検証者 B レジストリ間では 各々のレジストリが署名していれば 正しい情報であると判断が可能 2005/1/21 copyright (c) JPNIC IRR-Plan 12

Origin ASの認証認証 検証 Routing Hijack 問題 単なる間違いから意図的な悪意のあるものまで様々 実際 ある程度の頻度で観測されている 通常 Origin AS が正しいか否かに関わらず受信 Origin AS の認証 検証方法 S-BGP / sobgp PKI の技術を利用した経路配信メカニズム 一部実装あり IRR の利用 IRR 情報と BGP 経路情報との整合性を確認する手法 2005/1/21 copyright (c) JPNIC IRR-Plan 13

IRRを用いたいた未来未来の経路制御 GW の機能をもった Router が問い合わせを行う あるいは RR のような部分が一括で問い合わせを行う など 1. 定期的に DB に問い合わせ (request) Router 経路広告経路受信 Router 拡張 IRR 2. prefix/origin-as を返す (response) 3. BGP 経路と 2. の結果の比較 #show invalid route Network origin origin in DB 202.12.30.0/24 2400 2515 他の実装による経路判断との共存も可能出来る部分から徐々に実装 信憑性の向上 JPIRR オブジェクト 例えばここは IRR のミラー 署名つきオブジェクト 2005/1/21 copyright (c) JPNIC IRR-Plan 14

IRRを用いたいた未来未来の経路制御 (Cont.) RouterZ RouterZからのからのOrigin=AS2400 は不正と判断は不正と判断 JPNIC JPNIC との通信との通信通信は維持通信は維持 202.12.30.0/24 202.12.30.0/24 を Origin=AS2400 Origin=AS2400で不正広告 Router A Router Z #show invalid route Network origin origin in DB 202.12.30.0/24 2400 2515 正当性検機構あり 不正検知 BGP4 AS2400 拡張版 IRR サーバ IX BGP4 BGP4 誤って RouterZ に転送してしまう 202.12.30.0/24 JPNIC AS2515 Router B 正当性検機構なし RouterZ RouterZに転送 JPNIC JPNIC との通信との通信通信が途絶通信が途絶 パケット転送 2005/1/21 copyright (c) JPNIC IRR-Plan 15

情報の明確化明確化と IRRの拡張 Public IRR Info KRNIC APNIC JPNIC ARIN RADB ミラーリングの拡張実装 BGP の no-export のような実装や一括ミラー RIPE レジストリ間で交換する情報は 互いが保証する 署名 route 情報の保証 Global Level Private IRR Info all no-export ミラーリング LIR LIR LIR 特定の IX 内のみで交換 あるいは特定の ISP 間のみで交換するなど 私的な利用 Local Level 2005/1/21 copyright (c) JPNIC IRR-Plan 16

他システムシステムとのとの融合融合 連携 レジストリ認証局での統一管理 レジストリが IRR サービスを実施することで IP アドレスや AS 番号の管理と同じスキームで IRR のオブジェクトも管理出来る 検索システムの統合 CRISP(Cross Registry Information Service Protocol) が現在 IP と DNS で実装検討中 (ID が存在する ) IRR への拡張 ( 現在進行中 ) IR 階層モデルによる IRR の検索システムの構築 2005/1/21 copyright (c) JPNIC IRR-Plan 17

最後に 目指すは 信頼性 信憑性の高い魅力のある IRR 日本では Whois データベースと連動し 登録の範囲を特定した上で正しい登録者が登録できる状況をまずは作りたい (2005 年度より試験提供予定 ) 世界的には 同じ方向性を目指してより連携を蜜に レジストリ認証局の実装 モデルの共有へ ユーザに魅力ある JPIRR サービスを提供 経路情報とのマッチングによる不整合の検出機能 定期的に Update を促すような実装 IPv6 では 日本がリードしていきたい sbgp や So-BGP でも 最後は IRR が必要だということ エンドユーザ同士が認証する仕組みにおいて その正しさを判断するには 必ず何か判断元のデータベースが必要 IRR データベース 2005/1/21 copyright (c) JPNIC IRR-Plan 18

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック