JPIRR IRRの未来 JPNIC 川端宏生 <kawabata@nic.ad.jp> NTT コミュニケーションズ JPNIC IRR 企画策定専門家チーム Chair 吉田友哉 <yoshida@ocn.ad.jp>
発表内容 JPNIC IRR(JPIRR) の正式サービス化へ向けた検討報告 川端宏生 JPIRR IRR の未来 吉田友哉 2005/1/21 copyright (c) JPNIC IRR-Plan 2
JPNIC IRR(JPIRR) の正式サービス化へ向けたけた検討報告 JPNIC 川端宏生
現在の JPIRR 実験サービスサービスについて サービスの概要 2002 年 8 月よりサービス開始 2004 年 4 月より提供期間無期限の実験サービスとして提供 IP アドレス管理指定事業者を対象に実施 ミラー先 :APNIC RADB RIPE-NCC 登録オブジェクト数 -- http://jpirr.nic.ad.jp/stat/index.html mntner : 35 aut-num : 20 route : 280 as-set : 20 提供内容 オブジェクトの新規登録 / 更新 / 削除 ガーベージコレクタサービス ポリシーチェックサービス IRR に関する情報提供 上記内容に関する問い合わせ 2005/1/21 copyright (c) JPNIC IRR-Plan 4
今後の JPIRR サービスについて (1) 対象 IP アドレス管理指定事業者 JPNIC 管理下の PI アドレスの割り当てを受けている組織 割り振り / 割り当てを行ったレジストリが リソースの正当性を保証すべき との観点に立ち 対象を選定 AS 番号については 今後の状況に応じて対象に ミラーリング 主要な IRR へのミラーリングを追加 ( ミラーリング先の選定を行い 順次実施予定 ) 各 ISP の IRR 上で JPIRR への登録データが参照できるように 2005/1/21 copyright (c) JPNIC IRR-Plan 5
今後の JPIRR サービスについて (2) 提供予定のサービス オブジェクトの新規登録 登録済みオブジェクトの更新 / 削除 メールや Web インターフェース 登録情報の参照 / 検索 : WHOIS コマンドや Web インターフェース 各種ツール類の提供 経路比較結果表示サービス ガーベージコレクタサービス Filter 生成ツール 上記に関する問い合わせ IRR に関する情報提供 2005/1/21 copyright (c) JPNIC IRR-Plan 6
今後の JPIRR サービスについて (3) IPv6 対応 IPv6 アドレスの経路も登録可能に! 標準サービスとして提供 セキュリティ 登録時の認証強化 実装例 :JPIRR の登録用インターフェースでクライアント認証 JPIRR を参照したユーザが登録情報の正当性を検証する機能 今後のスケジュール 2005 年 07 月 (JANOG16 ごろ ): 第 3 回 JPIRR BoF を予定 もう少し具体的なサービス内容をご紹介します 2005 年 10 月 ( 予定 ): サービス提供開始 2005/1/21 copyright (c) JPNIC IRR-Plan 7
JPIRR IRRの未来 NTT コミュニケーションズ JPNIC IRR-Plan Chair 吉田友哉
現在の IRR 経路データベースとしての利用 ISP における経路参照 抽出元情報 IRR による Prefix フィルタ自動生成 (IRRToolSet) 外部経路監視システムの監視情報の抽出 http://www.ntt.com/release/2004news/0002/0226.html 経路の信憑性確認 異常時のコンタクト 問題点や課題 信憑性の欠如 維持 ゴミオブジェクト問題 情報の分散化 必要情報取得性の低下 最低 50 以上の IRR が世界に存在 (Merit の IRR リストより ) IRR システムの安全性の問題 2005/1/21 copyright (c) JPNIC IRR-Plan 9
未来の IRRへ向けて 信憑性 信頼性の高い IRR を作る 安心して登録出来る 認証局との連携 登録内容を信じて利用出来る レジストリが保証 情報から相手の認証が可能 電子署名 情報の更新 ( の促進 ) ガーベージコレクタシステム IRR の情報の扱い Mirroring Level の明確化 Public IRR 情報 Private IRR 情報 Global Level Local Level 特に IPv6 の世界を作っていく上では重要 情報の保証範囲がおのずと出来あがる Origin AS の認証 検証システム IRR を用いた Origin 認証 検証システム Routing Hijack の撲滅へ 2005/1/21 copyright (c) JPNIC IRR-Plan 10
次世代 IRR 基盤システム 資源管理者 ISP 1 IP レジストリシステム Web AS 管理者作成 知ってる人 ( 任命 ) RADB JPNIC RIPE ポリシー 3 チェック AS 変更範囲 JPIRR の検索 APNIC ミラーの世界 2 Web Whois HTTPS CRISP オブジェクト 情報参照 情報登録 登録を確認 AS 管理者組織アドレス割り振り別のAS 管理者 証明書発行 検証 自動設定マシーン 4 IRR の情報を信じられる状況 5 2005/1/21 copyright (c) JPNIC IRR-Plan 11
次世代 IRR 基盤システム システム (Cont.) オブジェクトの署名 保障 レジストリ JPIRR APNIC レジストリ A オブジェクト A ミラー オブジェクト A レジストリ B 電子署名 電子署名つきオブジェクト 認証 + 暗号通信で登録 入手 署名検証 入手 署名検証 登録者 A 検証者 A 検証者 B レジストリ間では 各々のレジストリが署名していれば 正しい情報であると判断が可能 2005/1/21 copyright (c) JPNIC IRR-Plan 12
Origin ASの認証認証 検証 Routing Hijack 問題 単なる間違いから意図的な悪意のあるものまで様々 実際 ある程度の頻度で観測されている 通常 Origin AS が正しいか否かに関わらず受信 Origin AS の認証 検証方法 S-BGP / sobgp PKI の技術を利用した経路配信メカニズム 一部実装あり IRR の利用 IRR 情報と BGP 経路情報との整合性を確認する手法 2005/1/21 copyright (c) JPNIC IRR-Plan 13
IRRを用いたいた未来未来の経路制御 GW の機能をもった Router が問い合わせを行う あるいは RR のような部分が一括で問い合わせを行う など 1. 定期的に DB に問い合わせ (request) Router 経路広告経路受信 Router 拡張 IRR 2. prefix/origin-as を返す (response) 3. BGP 経路と 2. の結果の比較 #show invalid route Network origin origin in DB 202.12.30.0/24 2400 2515 他の実装による経路判断との共存も可能出来る部分から徐々に実装 信憑性の向上 JPIRR オブジェクト 例えばここは IRR のミラー 署名つきオブジェクト 2005/1/21 copyright (c) JPNIC IRR-Plan 14
IRRを用いたいた未来未来の経路制御 (Cont.) RouterZ RouterZからのからのOrigin=AS2400 は不正と判断は不正と判断 JPNIC JPNIC との通信との通信通信は維持通信は維持 202.12.30.0/24 202.12.30.0/24 を Origin=AS2400 Origin=AS2400で不正広告 Router A Router Z #show invalid route Network origin origin in DB 202.12.30.0/24 2400 2515 正当性検機構あり 不正検知 BGP4 AS2400 拡張版 IRR サーバ IX BGP4 BGP4 誤って RouterZ に転送してしまう 202.12.30.0/24 JPNIC AS2515 Router B 正当性検機構なし RouterZ RouterZに転送 JPNIC JPNIC との通信との通信通信が途絶通信が途絶 パケット転送 2005/1/21 copyright (c) JPNIC IRR-Plan 15
情報の明確化明確化と IRRの拡張 Public IRR Info KRNIC APNIC JPNIC ARIN RADB ミラーリングの拡張実装 BGP の no-export のような実装や一括ミラー RIPE レジストリ間で交換する情報は 互いが保証する 署名 route 情報の保証 Global Level Private IRR Info all no-export ミラーリング LIR LIR LIR 特定の IX 内のみで交換 あるいは特定の ISP 間のみで交換するなど 私的な利用 Local Level 2005/1/21 copyright (c) JPNIC IRR-Plan 16
他システムシステムとのとの融合融合 連携 レジストリ認証局での統一管理 レジストリが IRR サービスを実施することで IP アドレスや AS 番号の管理と同じスキームで IRR のオブジェクトも管理出来る 検索システムの統合 CRISP(Cross Registry Information Service Protocol) が現在 IP と DNS で実装検討中 (ID が存在する ) IRR への拡張 ( 現在進行中 ) IR 階層モデルによる IRR の検索システムの構築 2005/1/21 copyright (c) JPNIC IRR-Plan 17
最後に 目指すは 信頼性 信憑性の高い魅力のある IRR 日本では Whois データベースと連動し 登録の範囲を特定した上で正しい登録者が登録できる状況をまずは作りたい (2005 年度より試験提供予定 ) 世界的には 同じ方向性を目指してより連携を蜜に レジストリ認証局の実装 モデルの共有へ ユーザに魅力ある JPIRR サービスを提供 経路情報とのマッチングによる不整合の検出機能 定期的に Update を促すような実装 IPv6 では 日本がリードしていきたい sbgp や So-BGP でも 最後は IRR が必要だということ エンドユーザ同士が認証する仕組みにおいて その正しさを判断するには 必ず何か判断元のデータベースが必要 IRR データベース 2005/1/21 copyright (c) JPNIC IRR-Plan 18