BGPsecとは
BGPsec (Border Gateway Protocol Security)は、 インターネット経路制御を行うルータにおいて、間違った経路情報を検出する仕組みです。 BGPsecはBGPを拡張したプロトコルで、 RPKI(リソースPKI)の電子証明書を使って経路情報の正しさを確認します。
インターネットに接続している組織や通信事業者では、 BGPを使って経路情報を交換するルータが運用され、 アドレスや経路が変化し続けているインターネットにおいて接続性を保っています。 しかしBGPルータで、意図的に、もしくは意図せずに誤ったネットワークの設定がされると、 それが経路情報として伝搬し、IPパケットが到達しなくなったり、 IPパケットの転送先や経路が変わったりすることがあります*1。
BGPsecは、 このような誤った経路情報をオリジン検証(Origin Validation)とASパス検証(AS Path Validation)という、 二つの仕組みで検出する仕組みです。オリジンとは経路情報の広告元のことで、 あるIPアドレスの経路情報が本来のオリジンによって経路広告されたものなのかどうかを、 デジタル署名が施されたROA (Route Origin Authorization)と経路情報を比較することで検証します。 ROAはRPKIの電子証明書を使って署名されているため、 IPアドレスが正しく割り当てられたものであることも確認できます。 一方、ASパス検証とは、 IPパケットが伝送される経路が正しいかどうかを確認する仕組みです。 経路情報を伝搬する際にASの順列が分かるようにデジタル署名を施し、 正しいかどうかを確認します。
BGPsecのオリジン検証はIETF SIDR (Secure Inter-Domain Routing) WG*2で2006年頃から検討され、 2008年には地域インターネットレジストリ(RIR)においてリソース証明書の提供が開始されました。 その後、 オリジン検証のできるRPKI Tools*3などの実装が2013年頃に進み、 Cisco社やJuniper社といった大手メーカーのルータでサポートされるようになりました。 JPNICでは2015年からリソース証明書を試験提供しており、 国内のIPアドレスでオリジン検証ができるようになっています。 ASパス検証は2011年頃から仕様の検討が行われ、2016年に実装が現れました。
*1 故意に行われると、特定のWebサイトを閲覧できなくすることが可能なほか、 DNSサーバを含む各種サーバになりすます、攻撃パケットの送信元が分からないようにする、 大規模な通信傍受を行うといった、さまざまなことができてしまいます。
*2 Secure Inter-Domain Routing (sidr)
https://datatracker.ietf.org/wg/sidr/charter/
*3 dragonresearch/rpki.net
https://github.com/dragonresearch/rpki.net/
