メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.412【臨時号】2006.12.13 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.412 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、第53回RIPEミーティングで行われた議論に関して、vol.398での全
体報告に続き、セキュリティ関連の議論の動向についてお届けいたします。

□第53回RIPEミーティング報告
○9月定期号:全体報告(vol.398)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol398.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ RIPE NCCにおけるデータベースのセキュリティ動向
   ~第53回RIPEミーティングでの議論~
                           JPNIC 技術部/インターネット推進部  木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2006年10月2日~6日にオランダのアムステルダムで開かれた第53回RIPEミー
ティングに参加いたしました。インターネット推進部では、ルーティングのセ
キュリティ向上を視野に入れた登録情報の正当性とデータベースのあり方につ
いて調査研究を行っており、その一環としてRIRのデータベースの動向を調査
しています。今回は、RIPEミーティングに参加してセキュリティに関する議論
の動向を調べるとともに、RIPE NCCのスタッフに、RIPEデータベースの仕組み
や課題について話を伺ってまいりました。

本稿ではこれらを通じて見えてきたRIPEデータベースのセキュリティの動向に
ついて紹介いたします。

                ◇              ◇              ◇

第53回RIPEミーティングでは、初日に主にLIR向けのチュートリアルが行わ
れ、初日から3日目にかけて全体会議であるPlenaryが行われました。3日目以
降はWGのセッションが開かれました。ミーティングの参加登録者は355名で、
ここ1年ではほぼ平均的な人数です。

セキュリティに関しては、全体会議であるPlenaryとNCC Services WGでリソー
ス証明書に関する議論が、Database WGでIRTオブジェクトとCRYPT-PWを廃止す
る案についての議論が行われていました。これらの議論についてご紹介しま
す。


■リソース証明書に関して

リソース証明書については、Plenaryをはじめ複数のWGで議論が行われていま
した。リソース証明書はIPアドレスやAS番号が入った電子証明書(*1)で、
WHOISの代わりにIPアドレスの割り振りや割り当てを証明するために使われま
す。IPアドレスの割り振り構造に従って発行され、そのツリー構造の末端部分
ではIPアドレスとAS番号の両方が入った電子証明書が発行されます。この電子
証明書はBGPなどにおける経路制御を安全にするために使われることが想定さ
れています(*2)。リソース証明書の実装は、2006年4月頃よりAPNICとRIPE NCC
が中心となって進められてきました。

(*1) RFC3779
     http://www.ietf.org/rfc/rfc3779.txt

(*2) Secure Border Gateway Protocol (S-BGP)
     --- Real World Performance and Deployment Issues
     http://www.ir.bbn.com/sbgp/NDSS00.S-BGP.ps

Plenaryでは、APNICのGeoff Huston氏によって、リソース証明書を使ってIRR
の登録情報に電子署名を行うデモが行われました。この電子署名はIRRの
route-setオブジェクトに対して行われるもので、そのroute-setオブジェクト
に含まれるrouteオブジェクトがauthorize(認可)されたことを意味していま
す。routeオブジェクトには広告元(すなわちそのアドレスを持つノードの収容
先) となるAS番号が記載されているため、LIRがそのASに対してインターネッ
トでそのIPアドレスを使うことを認可した、という意味になります。この認可
の概念はROA(Route Origination Authorization)と呼ばれています。インター
ネットレジストリの割り振りを意味するリソース証明書は2006年7月の時点で
既に実装されていたので、このROAを示すリソース証明書の発行によって、ツ
リー構造の最上位から末端までのすべてのリソース証明書が発行できる状況に
なったことになります。

Plenaryの会場では、このプログラムが無事に動作したことに対して賞賛の拍
手が送られる一方、リソース証明書の発行に使われるデータベースが信頼に足
るかどうかという根本的な疑問が投げかけられていました。リソース証明書自
体が信頼できる仕組みであっても、証明書の元になるデータが間違っていたら
意味がないためです。RIPE NCCでは既にこの点に着目しており、リソース証明
書の導入に関して、予測される効果やインパクトを評価する活動が提案されて
います。この活動はNCC Services WGで発表されていました。

2007年度のRIPE NCCの活動計画によると(*3)、RIPE NCCでは2006年度のAPNIC 
の実装プロジェクトへの参加に引き続き、リソース証明書に着目した活動が行
われていくとされています。NCC Services WGでのAlex Pawlik氏(RIPE NCC)の
発表では、2007年度の本格的な活動に先立って、Evaluation Task Force(評価
タスクフォース)の立ち上げが提案されていました。この評価は必要となる業
務の詳細やポリシーへの影響を明らかにすることが目標になっています。
Evaluation Task Forceは現行の開発活動やトライアルに参加しつつ、まずリ
ソース証明書が持つ目標とその目標に現行のアプローチが適するかどうかを調
査して報告することになっています。最終的には2007年5月に予定されている
第55回RIPEミーティングで、導入の方向性について決定が行われることとなっ
ています。

これは、これまで実装を行ってきたAPNICをはじめ、リソース証明書の効果に
対して同様の疑問が投げかけられているARINコミュニティ、そして認証局に関
する調査研究を行ってきた当センターにとっても注目に値する活動だと考えら
れます。というのも、RIPE NCCのデータベースはアドレスの割り振り/割り当
て情報を登録するデータベースと経路に関する情報が登録されるIRRが統一さ
れている上に、インターネットで経路広告されているアドレスとIRRの登録情
報を比較する調査プロジェクトが行われてきているためです(*4)。これによっ
て、RIPE NCCでは、登録されているにもかかわらず実際には使われていないア
ドレスを調べることができます。使われていないアドレスや登録情報と異なる
経路広告の量がわかれば、リソース証明書が現状で何割程度のアドレスに対し
て発行できるのか、またそれらの管理が現実的なものなのかどうかがわかる可
能性があります。

(*3) New or Significantly Developed Activities for 2007
     http://www.ripe.net/ripe/draft-documents/gm-october2006/ap-2007.html#3

(*4) Routing Registry Consistency Check Project
     https://www.ripe.net/projects/rrcc/index.html


■RIPEデータベースのセキュリティ機能に関して

RIPEデータベースには、ユーザを認証したりユーザが編集できる登録情報の範
囲を限定するといったデータベースを保護する機能の他に、あるアドレスで起
こったコンピューターインシデントに関する連絡先となるIRT(Incident
Responce Team)の情報を提供するという、コミュニティのセキュリティを考慮
した機能があります。

ここではRIPEミーティングの5日目に行われたDatabase WGの議論の中から、ユー
ザ認証の機能であるCRYPT-PWの廃止に関する提案と、IRT情報を提供するIRTオ
ブジェクトに関する議論をご紹介します。

RIPEデータベースはLIRに対して四つの認証方式を提供しており、ユーザは好
きなものを選んで使用できるようになっています。現在提供されている認証方
式は、CRYPT-PW、MD5-PW、PGP-KEY、X509で、CRYPT-PWとMD5-PWはいわゆるパ
スワード認証方式です。LIRがメールで申請業務を行う場合、送信するフォー
ムの中であらかじめ登録されているパスワード文字列を記入します。パスワー
ド文字列が正しければ、RIPEデータベースはユーザ本人によって送信されたと
判断でき、申請内容のチェックに移ることができます。-PWの前についている
CRYPTとMD5は、パスワード文字列をRIPEデータベースの中で処理する方式の名
前です。CRYPTは昔のUNIXでパスワード文字列を隠蔽するために使われていた
方式で、パスワードとして指定できる文字の長さは8文字です。一方、MD5は
メッセージダイジェスト関数のMD5を用いた方式で、RIPEデータベースでは65
文字のパスワードをつけることができます(*5)。

(*5) Crypted password generation
     https://www.ripe.net/cgi-bin/crypt.cgi

今回の提案は、CRYPT-PWで利用できる文字列が短いために、ブルートフォース
攻撃(総当たり攻撃)や辞書攻撃といった基本的な攻撃が通用してしまうため、
今後この方式の利用を廃止しようというものです。既に第52回RIPEミーティン
グで基本的な方針についてはコンセンサスが得られており、今後はスケジュー
ルについて検討したいとのことでした。しかし、約2300のメンテナーで
CRYPT-PWが使われているそうで、完全な廃止にはやや時間がかかりそうです。
また変更手続きが間に合わなかったユーザへの対応なども検討する必要がある
と考えられます。

一方、IRTオブジェクトに関する議論は潜在的な問題を抱えたままの提案とな
りました。今回の提案はWHOISを使って、あるIPアドレスを元にinetnumオブジェ
クトが検索された場合、検索時のオプションに-cが指定されていなくても
WHOISのサーバは関連するIRTオブジェクトを返すというものです。このことで
WHOISでIPアドレスを調べるだけでIRTオブジェクトが自動的に表示されるよう
になります。このことはユーザの観点では便利になるという意味でとてもよい
ことです。またIRTオブジェクトは一旦一つのメンテナーに対して定義してお
けば、そのメンテナーによって管理されている割り振り/割り当て情報のすべ
てに対して適用されるという意味で、LIRにとっても利便性は高いと言えま
す。そのためRIPE NCCではIRTオブジェクトの利用を推奨しています。

IRTオブジェクトの普及に関する潜在的な問題は、abuse-mailboxという類似し
た連絡先情報の存在です。abuse-mailboxはinetnumやinet6numといった個々の
割り振り/割り当て情報に付加される情報で、そのアドレスブロックにおける 
abuse(不正や不具合に対する連絡)用のメールアドレスが記載されています。
abuse-mailboxは2004年1月の第47回RIPEミーティングで採用されたもので、そ
れ以降多くのinetnum/inet6numで登録されてきました。一方、IRTオブジェク
トは100程度に留まっており、利用されているものは60程度に留まっているよ
うです。しかし両者共に効果が見えにくいことなどから、議論の余地が大きい
ため、RIPEのコミュニティの中でも扱いにくい話題になっているようです。

                ◇              ◇              ◇

RIPE NCCでのヒアリングの結果、RIPEデータベースは、IPアドレスの割り振り
/割り当て情報とIRRが統合されたシステムであるだけでなく、LIRがAS管理者
に対して経路情報(routeオブジェクト)の登録認可する機構を備えていること
がわかりました。この機構によって、IPアドレスの割り振り先とASの運用が別
の組織によって行われていても、どのIPアドレスがどのASから経路広告される
のかが、絞り込めるようになっています。

他の組織によって間違った経路広告をされてしまうことで、本来は自分のネッ
トワークで使われるべきIPアドレスが使えなくなってしまうことは"経路ハイ
ジャック"と呼ばれています。これを検出し防止するためには、RIPEデータ
ベースが持つ機構は有効です。この後の調査で、ARINのコミュニティでもIPア
ドレスとAS番号の組み合わせがわかる仕組みが提案されていることがわかりま
した。今後、機会がありましたらこれらの仕組みの違いや、JPNICでの取り組
みについてご紹介したいと思います。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 
===================================
 JPNIC News & Views vol.412 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2006 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.