===================================
__
/P▲ ◆ JPNIC News & Views vol.993【臨時号】2012.8.1 ◆
_/NIC
===================================
---------- PR --------------------------------------------------------
【(株)ASJ http://www.asj.ad.jp/】
┏・・・■緊急時の連絡ツールに役立ちます!■・・・ ━━━━━━━┓
┃ スマートフォンに対応したクラウド型グループウェア「HotBiz7」
┃ まずは60日間無料試用版でお試しください。詳しくはこちらから↓
┗━━━━━━━━━━━━━━━━━━━ http://www.hotbiz.ne.jp/
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.993 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.991に続き、JANOG30ミーティングレポートの[後編]として、
BGPセキュリティに関する最新動向と日本の現状についてご紹介します。
なお、JANOG30ミーティング全体の報告については、以下のURLからバックナ
ンバーをご覧ください。
□JANOG30ミーティングレポート [前編] ~全体報告~
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2012/vol991.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ JANOG30ミーティングレポート [後編] ~「BGPセキュリティの最新動向と
日本の現状 ~RPKI時代のルーティング~」について~
JPNIC 技術部 岡田雅之
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
私は、JANOG30において"BGPセキュリティの最新動向と日本の現状 ~RPKI時
代のルーティング~"を発表しました。本稿ではこの発表を行うことになった
経緯と内容について紹介します。
■ 今回発表へ応募した経緯
このプログラムを応募した私の動機は、2012年の3月にインドにて開催された
APNIC/APRICOTミーティングにおいて、RPKIやBGPのセキュリティ動向に世界
の関心が急速に高まっていることを感じ、日本の皆さまと現状を共有したい
と考えたことでした。
私は、JPNICの中でも特にJPIRRなどのIRRに関連する活動に従事していること
から、IRRと関連があるかどうかは未知数ながらも、RPKIのルーティングへの
応用が今後のIRRサービスにどのように関係するか、これまでも興味を持って
継続的に情報収集をしていました。
インドでのAPNIC/APRICOTミーティングからの帰国後、早速公開されている
RPKIのツールキットをダウンロードし、同僚の木村泰司と相談しながらビル
ドを試みました。手元にて試してみたところ、証明書の発行や、IPアドレス
のOrigin AS番号を証明するRoute Origin Authorization (ROA)の発行が実際
に可能であることがわかり、ルータでどう動くか、現状の実装度合いや安定
性などを実機でぜひとも確認したいと考えるようになりました(なお、ビルド
や設定の過程では、RPKI Tool kitのマニュアルには「証明書のやり取りにUSB
メモリだけでなく鳥類キャリアも可能」といった記述があり、英語が苦手な
私は一瞬解釈に難儀する場面が複数存在しました)。
また幸運なことに、JPIRRに関連していろいろと相談していた、インターネッ
トマルチフィード株式会社の渡辺英一郎氏にこうした状況をお話ししたとこ
ろ、ご厚意により、検証機材を用いて実際にROAをルータへ参照させる予備実
験に協力してもらえました。この予備実験においては、ROAを蓄えてルータへ
提供する「ROAキャッシュサーバ」と「RPKI/ROA対応ルータ」のやり取りが一
部うまくいかず、一時は検証するまでの状態に実装が至っていないのではと
不安になったこともありましたが、継続してプロトコルの16進数ダンプを眺
め、ルータとサーバ間のやり取りの矛盾を把握し、うまくやり取りができる
ように設定を調整することで、なんとかルータにおける実装状況を確認する
ことができました。
このように渡辺氏と実施した予備実験のおかげで、ルータへROAを参照させる
ことが確認できましたので、具体的なRPKIとROA参照ルータのイメージをネッ
トワークオペレーターの皆さまへ提供できると考え、JANOGへ応募する運びと
なりました。
■ 応募の目的と準備
今回の応募にあたっては、日本のネットワークオペレーターの方に、
・RPKIの基盤整備とルータの実装がある程度進んでいること
・現状のルーティング環境と比較して、ROAを用いたルーティングでは、経路
選択アルゴリズムにどのような変化が起こるかの概要
をお伝えすることで、皆さまに少しでも「RPKI時代が来るかもしれない」こ
とを意識していただくことをめざしました。
このようなプログラムの目的に対応し、実装の話をしてもらえないかインター
ネットマルチフィード株式会社の吉田友哉氏へ依頼したところ、快くお引き
受けいただきました。また、RPKIの普及度合いに関してもぜひ取り上げた方
が良いということで、吉田氏からさらに株式会社インターネットイニシアティ
ブのRandy Bush氏に講演を依頼し、こちらもご快諾いただくことができまし
た。Bush氏はRPKIだけでなく、さまざまなインターネットの発展に貢献され
ています。
また、Bush氏の発表時の日本語での情報提供については、次期JANOGの会長で
もあるNECビッグローブ株式会社の川村聖一氏へお願いいたしました。川
村氏には、Bush氏の資料の日本語化までご対応いただきました。
この準備の時期にも、吉田氏や渡辺氏と実際に検証を行ったのですが、予備
実験から数ヶ月後のルータソフトウェアでは、以前確認された問題は修正さ
れており、問題なく動作検証を進めることができました。このような修正が
なされている点などからも、ルータベンダーの注目が高まっていると感じま
した。
■ 発表の内容について
当日は、私からは、RPKIとROAのおさらい、国際動向としてRPKI/ROAの普及状
況やRPKI/ROAについての海外での議論を紹介し、吉田氏とBush氏の発表につ
なげる準備体操となる内容をお話ししました。
今回、私が発表資料を作成するにあっては、ルータでの検証作業を行ってい
るのですが、その際には次の二つのポイントを重点的に確認することにしま
した。
・ROAと経路比較がどのように行われるのか
・フルルートと、フルルートに対応したROAの経路情報評価は、ルータの性能
面にどのような影響を与えるのか
この検証により、簡単にまとめると以下のような結果を得ることができまし
た。
(1)経路比較については想定通り
経路情報とROAに比較では次のような3種類の経路評価が行われると想定さ
れています。
Validの場合
BGP経路情報:10.0.0.0/16 Origin AS 65000
ROA :10.0.0.0/16 Origin AS 65000
Invalidの場合
BGP経路情報:10.0.0.0/16 Origin AS 65000
ROA :10.0.0.0/16 Origin AS 65001
NotFoundの場合
BGP経路情報:10.0.0.0/16 Origin AS 65000
ROA :なし
今回の検証では上記の想定通りに評価が行われ、経路の評価自体に大きな
問題はなさそうであることがわかりました。
(2)相性問題
ROAを用いたOrigin AS Validationには、ROAと経路情報の経路評価結果を
AS内に伝播する仕組みが存在します。この仕組みを検証したところ、異な
るベンダーのルータを相互接続した場合、経路評価結果が共有できないこ
とがわかりました。
またルータとROAキャッシュサーバとのやり取りも、うまくいったりうまく
いかなかったりする場合がありました。しかしながら、このような相性問
題は実装初期によく見られるもので、今後改善されていくものと予想して
います。
(3)フルルートとROAの比較時の状況
現在のインターネットは、40万から45万の経路情報を元にパケットのやり
取りをしています。ルータにおいても40万の経路情報からRIBやFIBを作成
しています。ルータでのROA参照時には、これまでのルータの機能に加えて
ROAに関する経路評価の余分な作業が発生します。
今回の発表準備の検証では、実際にルータへフルルートを投入し、RIPE NCC
が提供するRISの情報などから作成した40万個のROAもルータへ投入し、正
しく経路情報の評価が可能かを検証しました。ルータの種類にもよります
が、検証では、数分で経路情報の評価が可能なことが判明し、ルータにお
いてROA検証機能をOffにした場合と比較し動作はほとんど変化しないこと
から、40万経路情報へROAを適用しても経路評価上大きな問題はないとの結
論に至りました。
(4) 経路制御への影響
検証では機能面において大きな問題はありませんでしたが、検証途中にお
いてROAサーバが何らかの障害により停止した場合、ルータは即座にすべて
の経路情報がValid状態から異なる状態へ変化することなどの状況に直面
し、経路制御へROAを関与させることの是非についてもあらためて考えさせ
られる場面が複数見受けられました。
詳細な内容については、JANOG Webサイトにて後日公開予定の発表資料をご参
照ください。
続いて吉田氏からは、実装面の評価結果として、検証結果で得られた知見の
詳細を会場に共有しました。
またBush氏からは、実際のRPKIのテストベッド運用状況として、RPKI.netへ
のROAの参照数や登録数の経過などが共有されました。Bush氏の発表では、最
近実施されたうるう秒での対応で、ROA共有システムがうまく動かなくなるな
ど、ROA共有システムのさらなる安定化が必要である点などが紹介されまし
た。
Bush氏の発表では、最後のまとめにおいてレジストリへの期待なども添えら
れており、私自身は、レジストリの担当者として、身が引き締まる思いを壇
上で感じておりました。
発表後の会場からの質疑では、RPKI/ROAに依存することの課題についてのRIPE
方面での議論や、特殊なAS番号であるAS番号"0"に関するROAの取り扱いなど
について共有と質疑がなされました。
http://www.janog.gr.jp/meeting/janog30/program/rpk.html
■ 今後に向けた期待と課題
RPKIやROAを活用する経路制御はまだ実験が始まった段階であり、実用化に
は、コミュニティでの合意形成を含め、超えなければならないさまざまなハー
ドルがあると考えています。
このような経路制御が必要とされる状況になった場合にレジストリとしてお
手伝いができるように、必要な情報共有、技術検証などの準備を進めたいと
考えています。
■ 終わりに
本セッション終了後、JANOG前会長の池尻雄一氏から、発表者の1人であるBush
氏がインターネットの殿堂(The Internet Hall of Fame)(*)へ列せられたこ
とを祝福するメッセージがBush氏および会場へ伝えられました。また、当日
会場にはいらっしゃいませんでしたが同じくインターネットの殿堂へ列せら
れた、財団法人インターネット協会の高橋徹氏へ、会場全体からお祝いの拍
手がなされました。
Bush氏からも会場へメッセージがあり、祝福ムードに包まれながらプログラ
ムを無事終えることができました(Bush氏のメッセージは、受賞時の答辞とな
りますが"インターネットの殿堂"のWebサイトにおいて視聴することが可能で
す)。 検証や調整など準備に至らない点もありましたが、情報共有と、本件
に関心を持っていただくという二つの目的は、なんとか達成できたのではと
思います。
(*)インターネットの殿堂
http://www.internethalloffame.org/
今回の発表を実現するには、複数の人のつながりによって問題の解決や方向
性の議論を行う必要がありました。インターネットと同様、人のネットワー
クの重要性も再認識させられました。
最後になりますが、発表にご協力いただいた渡辺氏、吉田氏、Bush氏、川村
氏をはじめ、JANOGの皆さまに感謝いたします。ありがとうございました。
■ 参考一覧:
"A Standard for the Transmission of IP Datagrams on Avian Carriers
http://tools.ietf.org/html/rfc1149
An Infrastructure to Support Secure Internet Routing
http://tools.ietf.org/html/rfc6480
A Profile for Route Origin Authorizations (ROAs)
http://tools.ietf.org/html/rfc6482
BGP Prefix Origin Validation
http://tools.ietf.org/html/draft-ietf-sidr-pfx-validate-02
BGP Prefix Origin Validation State Extended Community
http://tools.ietf.org/html/draft-ietf-sidr-origin-validation-signaling-01
The RPKI/Router Protocol
http://tools.ietf.org/html/draft-ietf-sidr-rpki-rtr-26
RIPE RIS(Routing Information Service)
http://www.ripe.net/ris/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/993/8ede6908b1fefbe4668db2008f97ae2b ┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/993/ab02f8ecf002ce0df0d09bbcde5baef4 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.993 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
バックナンバー http://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: http://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2012 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
