メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1118【臨時号】2013.9.4 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1118 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.1116、vol.1117に続いて、第87回IETFミーティングのレポー
ト[第3弾]として、セキュリティ関連WGの動向についてご紹介します。

発行済みの全体会議報告およびIPv6関連WG報告については、下記のURLから
バックナンバーをご覧ください。次号では、DNS関連WG報告をお届けする予定
です。

また、明日9月5日(水)にISOC-JPとJPNICの主催で、「IETF報告会(87thベルリ
ン)」も開催いたします。参加申し込みは本日17時までとなっておりますの
で、こちらもご興味がありましたら、ぜひご参加ください。

□第87回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.1116)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1116.html
  ○[第2弾] IPv6関連報告 ~6man WG、softwire WG、behave WG、v6ops WG、
    sunset4 WGについて~ (vol.1117)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1117.html

□IETF報告会(87thベルリン)開催のご案内
  https://www.nic.ad.jp/ja/topics/2013/20130827-01.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第87回IETF報告 [第3弾]  セキュリティ関連WG報告 ~RPKIの動向~
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、インターネットのルーティングセキュリティに関するRPKI
(Resource Public-Key Infrastructure)の動向として、「RPKIワークショッ
プ」と「SIDR WG」の模様を詳しく報告します。


◆ RPKIワークショップ

今回の第87回IETFミーティングでは、プレイベントとして三つのワークショッ
プが開催されました。その一つがRPKIワークショップです。2日間のワーク
ショップで、RPKIのオープンソースソフトウェアを試すDay1 (1日目)と、RPKI
の普及に関する議論を行うDay2 (2日目)となっていました。

   - RPKIワークショップ
     日時:2013年7月26日(金)~27日(土)
     場所:Freie Universitaet Berlin (ベルリン自由大学)
     URL:http://rpkiws.realmv6.org/
     参加者数:1日目 6名  2日目 18名

○RPKI Toolsのハンズオン・チュートリアルが行われたDay1

Day1は、RPKIのオープンソースソフトウェア「RPKI Tools」を使ったチュー
トリアルです。ハンズオン形式で、あらかじめ用意されたサーバに設定を行
うなどして、リソース証明書の発行とRPKIキャッシュサーバのセットアップ、
BGPルータからの参照などを行いました。講師は株式会社インターネットイニ
シアティブのRandy Bush氏で、内容はJANOG32で行われた「RPKIセッション」
と同じでした。

   - RPKIセッション - JANOG32
     http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html

   - RRKI-Based OriginValidation, Routers, & Cache
     (PKI workshop Day1 の資料)
     http://psg.com/130726.pdf

○RPKIの普及における課題整理が行われたDay2

Day2はRPKIの普及に向けた方策(RPKI Deployment Strategy)と題し、1日かけ
て議論が行われました。RIPE地域におけるRPKIの議論では中心的な人物の1人
であるRudiger Folk氏をはじめ、Peter Koch氏ら複数のモデレーターによっ
て議論が進められました。

議論は、はじめに議論の目標とテーマが確認されてから始まりました。目標
は「グローバルインターネットの信頼性の向上(回復力、高い信用が置ける
ネットワーク)に向けて、RPKIに関する各種取り組みを情報共有した上で、取
り組みとして足りない事がないかを相互に確認し、関係者がRPKIを導入しや
すい環境づくりをする」となりました。結果的に、午前中には参加者の自己
紹介と各人の取り組みの情報共有がされ、午後には普及状況やRPKIに関する
ツールの紹介、普及に向けた課題が議論されました。

筆者からは、国内とアジア太平洋地域における議論の状況を紹介いたしまし
た。具体的には、第20回ENOGミーティングや第4回電力系NCC勉強会、第34回
APNICミーティングやJANOGで行われたRPKIのワークショップとそこで行われ
た議論の論点を紹介しました。国内でのワークショップを通じて、実際にRPKI
を使ったROA (Route Origination Authorization)を管理する業務が始まる
と、既存のIRRへの登録やルーティング担当者との業務連携が重要になってく
ることが分かってきています。RIRにおいてもこの課題は同じであり、会場か
らは普及に向けた重要な課題だ、といったコメントが挙がりました。

Day2の最後には、黒板にRPKIの普及に向けた課題がまとめられました。

   - RPKI普及に向けた課題 - Day2のまとめ
     (左が分類、右側が挙げられた論点)

     ポリシーと法制度 - RPKIにどんな導入価値とリスクがあるか
                      - 歴史的IPアドレス(日本国内では歴史的PI(Provider
                        Independent)アドレスと呼ばれるIPアドレスに近い
                        もの)のRPKIにおける扱い
                      - 政府によるコントロール

     ツールと基盤整備 - RPKIと経路制御のモニタリングをどうすべきか
                      - RPKI導入を通じた、経路制御のサポートのあり方
                      - RPKIを実現する、一連のシステムの安定性
                      - プログラムを含めた系としての信頼性

     ノウハウ - BCP (Best Current Practice)が必要になってくると考えら
                れるテーマ
                 - ISPにおけるRPKIのノウハウ
                 - 歴史的IPアドレスホルダーに関するRPKIのノウハウ

Day2は、進行の良さと共に、各地域から集まったISP・研究者・レジストリ・
プログラマーといったいろいろな見方の意見が上げられ、充実した議論が行
われた1日でした。


◆ SIDR WG

SIDR (Secure Inter-Domain Routing)WGは、インターネットにおける経路制
御のための、PKI技術を使ったセキュリティの仕組み、すなわちRPKIを使った
セキュアなルーティングの仕様を検討しているWGです。2006年4月に設立さ
れ、2012年の初めにIPアドレスの経路広告元ASを確認できる「Origin
Validation」の仕様がRFCになりました。ASパスを確認する
「Path Validation」に関する仕様は、WGドラフトとして議論が進められてい
る状態です。

IETFミーティングにおけるSIDR WGの会議では、RIRにおける技術導入の状況
やRPKI技術のプログラムの紹介なども行われています。今回はPath 
Validationのドラフトについては、チェアによる状態の確認だけで議論はほ
とんど行われませんでした。Origin Validationのために、RPKIの仕組みを安
定運用できるようにするための技術課題がある状況です。

○RPKI技術を使ったWeb上のツール

RPKIは、BGPルータに対してRPKIの署名検証を通じて確認された「IPアドレス
のプリフィクスとAS番号の組み合わせリスト」を供給することで、不正な経
路情報を検知する用途が注目されています。一方、RPKIを使ったWebのツール
も現れています。

   - RPKI Dashboard
     http://rpki.surfnet.nl/

     NLnet Labsの技術者が中心となって作成しているWebページで、インター
     ネットの経路情報とROAの比較結果を表やグラフで見ることができます。
     五つのRIRで発行されているROAの数に加えて、経路情報の中のどれくら
     いを占めているのか、といった数値を見ることができます。

   - Origin Validation Looking Glass
     http://www.labs.lacnic.net/rpkitools/looking_glass/

     インターネットの経路情報を確認するLooking Glassに、ROAの検証機能
     を付加したものです。発行されているROAでカバーされる経路情報のう
     ち、有効なものと無効なものの割合が円グラフで表示されています。
     ROAの検証結果から、有効な経路情報のリストを出力することもできま
     す。

○リソース証明書の技術課題

リソース証明書とROAの基本的な技術仕様がRFC化されてから、これらの管理
運用のさまざまな場面が想定できるようになってきました。そのため、運用
上の新たな技術課題も明らかになってきています。SIDR WGで議論された技術
課題を紹介します。

   - Rsyncサーバの性能シミュレーション (RPKI Rsync Performance Test
     Update), David Mandelberg氏

     リソース証明書とROAの配布に使われるrsyncサーバの性能に関するシ
     ミュレーション結果の報告です。インターネットにおけるフルルートの
     経路数に近い、400万のROAを作成し、何台のクライアントが接続する
     と、転送が遅くなり始めるかを計測しました。その結果、全ROAをクラ
     イアントが一度に要求した場合、25クライアント目で遅くなり始めまし
     た。全ROAの5%を要求した場合、189クライアント目です。遅くなる原因
     は、サーバの性能だけでなく接続しているネットワーク帯域が原因にな
     ることも分かりました。リソース証明書を提供するレジストリにとっ
     て、性能の維持は課題になりそうです。

この他に、IPアドレスの移転が行われたときに、ツリー構造であるCAはどの
ようにリソース証明書を発行すればいいのか、特定のIPアドレスに対するROA
が有効な状態を保つためにはどのように運用すればいいのか、といった議論
が行われました。

RPKIの「Origin Validation」の実際の運用にあたっては、まだ技術課題に取
り組んでいく必要がありそうです。

                ◇                ◇                ◇

次回の第88回IETFは、2013年11月3日~8日、カナダのバンクーバーで行われ
る予定です。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1118/1a8fa41d377c4617d9a07c9765015a10┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1118/92d83c36d3345ea8c0f7e9d7734ecccb┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1118 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2013 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.