メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1154【臨時号】2013.12.19 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1154 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.1152、vol.1153に続いて、カナダのバンクーバーで開催され
た第88回IETFレポート[第3弾]として、セキュリティ関連WGのうちから、イン
ターネットのルーティングセキュリティとして関心が高まっている、RPKIの
動向を中心にご報告します。

昨日までに発行した、全体会議報告およびIPv6関連WG報告については、下記
のURLからバックナンバーをご覧ください。次号では、DNS関連WG報告をお届
けする予定です。

□第88回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.1152)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1152.html
  ○[第2弾] IPv6関連WG報告 ~6man WG、v6ops WGについて~ (vol.1153)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1153.html

なお、この第88回IETFの報告会を、明日12月20日(金)にISOC Japan Chapter
とJPNICの共催で、東京・神田神保町の株式会社インターネットイニシアティ
ブ本社会議室にて開催いたします。

参加費は無料で、登録受付は本日19日(木)17:00までとなっております。
本レポートをお読みになりご興味を持たれた方は、ぜひご参加ください。

■ IETF報告会(88thバンクーバー)開催のご案内
   https://www.nic.ad.jp/ja/topics/2013/20131205-02.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第88回IETF報告 [第3弾]  セキュリティ関連WG報告 ~RPKIの動向~
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、セキュリティ関連WGのうち、インターネットのルーティングセキュ
リティ技術として注目されている、リソースPKI (Resource Public-Key 
Infrastructure; RPKI)の動向をまとめてお送りします。

RPKIは、IPアドレスの記載された電子証明書(以下、リソース証明書と呼ぶ)
と、AS番号が記載されたROA (Route Origin Authorization)と呼ばれる電子
署名のついたデータを使って、不正な経路情報を検出できるセキュリティの
技術です。

今回のIETFでは、WGでの議論に加えて、LACNICからエクアドルでのRPKI導入
に関する興味深い発表がありましたので、SIDR WGの報告と併せて、この
LACNICのプレゼンテーションについても取り上げます。


◆ SIDR WG - BGPSECの仕様策定は足踏み状態、Origin Validationの改良が
   続く

SIDR (Secure Inter-Domain Routing)WGは、インターネットにおける経路制
御のための、PKI技術を使ったセキュリティの仕組み、すなわちRPKIを使った
セキュアなルーティングの仕様を検討しているWGです。第88回IETFミーティ
ングでは、2時間半のミーティングが1回行われました。参加者は40名ほどで、
多くが常連の顔ぶれでした。

SIDR WGでは、経路情報のAS番号とIPアドレスの組み合わせを確認するOrigin 
Validation(経路広告元ASの検証技術)と、ASパスを確認するPath Validation 
(ASパスの検証技術)の二つの技術課題に取り組んでおり、この二つが合わさっ
たものはBGPSECと呼ばれています。WGでは、Origin ValidationのRFC化が2013
年初頭に進み、今度はPath Validationのドキュメントを準備している段階で
す。

今回のミーティングで行われた、主なプレゼンテーションを簡単に紹介しま
す。

 □ An Out-Of-Band Setup Protocol For RPKI Production Services
    (RPKI発行サービスのための out-of-band の鍵セットアッププロトコル)

     リソース証明書は、発行先と発行元の間でセキュアな通信を行うため
     に、最初におのおのの公開鍵や名称を交換しますが、そのプロトコルの
     策定を提案するプレゼンテーションです。特にプロトコルの定まってい
     ない現在は、USBメモリや電子署名つきのメールなどさまざまな方法で
     行われています。

 □ A Publication Protocol for the Resource Public Key Infrastructure
    (RPKIのデータ公開プロトコル)

     リソース証明書やROAを公開するための、XML (Extensible Markup 
     Language)ベースのプロトコルの提案です。現在はrsyncが使われていま
     すが、この公開プロトコルに転送プロトコルなどを加えることで、rsync
     の代替になることを含めて検討されています。

 □ A Fail-safe Mechanism for the RPKI
    (RPKIのためのフェイルセーフの機構)

     特定のROAの署名検証に使われる認証局(Certificate Authority; CA)
     を、通常のRIRのものと別にすることができる方式の提案です。RIRと異
     なるCA、すなわちRIRのプリフィクスを扱えるLTAM (Local Trust Anchor
     Management)に代わる方式で、独自のRPKIのツリー構造を構築できるよ
     うにするために提案されています。

WGで行われている議論は、IPアドレスの移転への対応のように、Origin 
Validationの仕組みを補強したり、特定の用途で使うために考えられている
もので、まだまだPath ValidationのRFC化に向けた議論には至っていない状
況です。日本国内ではAS Pathを使った経路フィルターが導入されているASが
多いと言われており、今後のPath Validationの動向が気になるところです。


◆ エクアドルにおける急速な導入 - 総プリフィクスの90%がカバーされる

エクアドルは、ラテンアメリカの地域インターネットレジストリ(RIR; 
Regional Internet Registry)であるLACNICから、IPアドレスの割り振りを受
けている国です。経路情報としては、8,800ほどのプリフィクスが観測されて
います。

2013年9月に、このうちの90%をカバーするリソース証明書とROAが、一斉に発
行されました。ROAにはIPアドレスとAS番号が書かれているため、インター
ネットの他のASからROAに書かれているIPアドレスが経路広告された場合に
は、検出することができます。検出自体はエクアドル国内でなくてもできる
ため、例えばヨーロッパやアジアにあるASであっても、エクアドル国内のプ
リフィクスが経路広告されたときには、それを観測できることになります。

IETFミーティングの初日に行われたIEPG (Internet Engineering and 
Planning Group)ミーティングでは、LACNICのスタッフであるSofia Silva 
Berenguer氏よって、このイベントについてプレゼンテーションされました。

  □ RPKI and Origin Validation Deployment in Ecuador
     http://iepg.org/2013-11-ietf88/RPKI-Ecuador-Experience-v2b-1.pdf

今回、RPKI導入の主役となったのはNAP.ECというIXPで、エクアドル国内の97%
のネットワークを収容しています。RPKIを導入するイベントは2013年の7月と
9月に行われ、9月にROAの一斉発行が行われました。このイベントは、RPKIが
普及しないために導入効果が上がらず、同時にそのことが普及の足止めになっ
ている、いわゆる"鶏卵問題"を解消するため、LACNICの協力のもと開催に至っ
たとのことでした。ROAの発行だけでなく、NAP.ECで経路情報を配布している
ルートサーバに、RPKIの電子署名の検証を行う"RPKI cache"が導入されてい
るとのことです。ただし、検証結果に応じてルートサーバの挙動を変えるわ
けではないようです。

今後、不適切な経路情報の検出が実際にはどの程度できるようになり、イン
ターネット経路制御の運用に役立つのかが注目されます。今回の話題は、
LACNICのブログに詳しく掲載されています。

  □ Deployment of RPKI and BGP Origin Validation in Ecuador, LACNIC
     http://labs.lacnic.net/site/RPKIandOriginValidationEcuador

              ◇                ◇                ◇

RPKIの可視化サイトで知られている、オランダにあるSurfnetのRPKI 
Dashboardによると、2013年12月12日現在、RPKIを使って経路広告元ASの判定
ができるプリフィクスは22,808あります。国際的な経路情報の総量は515,101
観測されていることから、そのうちの4.4%ほどであることがわかります。ま
たROAの発行の段階で、既にAS番号が実際の経路と異なっているものが1,196
あります。従って、ISPなどにおいて実運用されているとは、まだまだ考えに
くい段階にあると言えます。

今後、実際にRPKIが使われていくためには、発行数を増やすだけでなく、IP
アドレス担当者と経路制御の担当者が連絡し合い、正しいASが入ったROAが発
行されていく必要があると考えられます。

  □ RPKI Dashboard
     http://rpki.surfnet.nl/

次回の第89回IETFは、2014年3月2日(日)~7日(金)、イギリスのロンドンで行
われます。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1154/657b0f7c03291d60dc4a96affb3dc552┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1154/6b8e5108bdba9943b5c27156868e94c3┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1154 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2013 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.