━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
__
/P▲ ◆ JPNIC News & Views vol.1588【臨時号】2018.5.9 ◆
_/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
---------- PR --------------------------------------------------------
【 株式会社 アイテックジャパン 】
┏━━━■■究極のBCP/DR 遠隔地瞬時切換システム ■■━━━━━━┓
データセンター内の冗長化ではなく、遠隔地データセンター同士の
冗長化が可能。その上、災害時、瞬時に切り換えが出来ます。
┗━━━━━━━━━━━━━━━━━━━━http://itec.ad.jp/━━━━
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1588 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2018年3月下旬に、イギリス・ロンドンで開催されたIETFミーティングのレ
ポートを、vol.1587より連載にてお届けしています。
本号では、DDoS対策技術であるDOTSプロトコルについて、標準化の進捗を
ハッカソンおよびWGの状況を中心にご紹介します。
今後の連載では、5G関連やIPv6関連の動向を取り上げる予定です。前号の全
体会議のレポートについては、下記のURLからバックナンバーをご覧ください。
□第101回IETF報告
○[第1弾] 全体会議報告 (vol.1587)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2018/vol1587.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第101回IETF報告 [第2弾] DDoS対策(DOTS WG)関連報告
NTTコミュニケーションズ株式会社 西塚要
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2018年3月17日(土)から23日(金)にイギリスのロンドンにて、第101回IETF
ミーティングが開催されました。本稿では、DDoS対策に関する標準プロトコ
ル策定をめざすDOTS WGの進捗を報告いたします。
■ はじめに
筆者は、DDoS対策の組織間連携の自動化を実現するDOTS (DDoS Open Threat
Signaling)プロトコルの策定に、WG設立当初(2015年6月)より関わっています。
以前のvol.1429(*)にて、DOTSプロトコルの概要について報告いたしましたの
で、ここでは簡単にDOTSプロトコルがめざしていることを紹介します。
News & Views vol.1429
「第96回IETF報告 [第4弾] セキュリティ関連報告(1)~DDoS対策技術につ
いてDOTS WGを中心に~」
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1429.html
■ DOTSプロトコルが実現すること
DOTSプロトコルは、攻撃を受けるネットワーク(加入者ネットワークや、企業
ネットワーク、データセンターネットワークなど)から、攻撃を防御する機能
を持つ上流のネットワーク(トランジット事業者やDDoS対策事業者)への防御
依頼を標準化・自動化します。
ユースケースを一つご紹介しましょう。攻撃を受ける側のネットワークにあ
る監視装置に、DOTSクライアント機能が配備されているとします。また、
DDoS対策サービスを提供している上流の事業者には、DOTSサーバが配備され
ているとします。監視装置が攻撃を検知したら、DOTSクライアント機能を利
用して、DOTSサーバに防御依頼を実施します。防御依頼には、攻撃を受けて
いるIPアドレスなどの情報が含まれます。上流の事業者は、DOTSサーバに送
られた防御依頼に基づいて、対象のIPアドレスに対してDDoS対策を施します。
加えて、DDoS対策の状況をDOTSプロトコルを通じて、DOTSクライアントにレ
ポートします。
この一連の動作により、DOTSプロトコルは以下を実現します。
1. 防御依頼を機械的に行うことができるため、DDoS攻撃の検知から防御ま
でを、組織を越えて自動化することが期待できます
2. 防御依頼のシグナルが標準化されることにより、ベンダー独自のDDoS対
策ソリューションからの開放が期待できます
3. 防御依頼をリレーして伝搬することで、より大規模な防御システムを構
築できることが期待できます
■ DOTSプロトコル標準化の進捗状況
DOTSプロトコルの策定には、Arbor社、Radware社などのDDoS対策装置のベン
ダーや、Akamai社(Prolexic)、Verisign社などのクラウド型のDDoS対策事業
者、Cisco社やHuawei社などのネットワーク機器メーカー、McAfee社などのセ
キュリティベンダー、Orange社や弊社などの通信事業者が関わっています。
世の中のDDoS攻撃の脅威はいまだ衰えずという状況で、早期の標準化のため
に2018年8月のWGラストコール(WGLC)を目標としています。
弊社が開発しているOSSの[go-dots](https://github.com/nttdots/go-dots)
に加え、NCC Group社による実装と、Arbor社による実装があり、現在(2018年
4月)、独立した三つの実装が存在しています。ここ1年で、標準化に向けたプ
ロトコル仕様と実装の成熟度が一気に上がってきました。
■ ハッカソンでの成果
筆者は、過去2回のIETF99、IETF100に引き続き、今回のIETF101ロンドンにお
いてもハッカソンに参加してきました。
今回のハッカソンでは、NCC Group社との相互接続試験をメインに行いました。
NCC Group社のアプライアンス製品であるDDoS Secureは、一時期Juniper社の
DDoS対策製品であったため、ご存知の方も多いかと思います。DDoS Secureに
は、ベータ版としてDOTSクライアントおよびサーバ機能が搭載されています。
相互接続試験では、弊社のgo-dotsとの間で、お互いにDDoS防御を実施できる
ことが確かめられました。実際の商用機器のDOTS対応が実証された記念すべ
きタイミングでした。
■ 今回のWGでの進捗
2018年3月14日(木)に行われたWGのミーティングでは、筆者とNCC Group社に
よるハッカソンのレポートの他、Arbor社からも実装状況のレポートがありま
した。RFC化される前の段階で、三つも独立した実装が集まっていることが
チェアから大きく評価されました。
また、WGドラフトにも大きな進展がありました。WGでは、シグナルチャンネ
ルとデータチャンネルをコアな仕様として、スタンダードトラックで標準化
する予定です。相互接続試験を、シグナルチャンネル中心で行った結果、シ
グナルチャンネルでの異なる実装間での通信も実証できており、仕様の内容
も必要十分なものになってきたことから、当初予定よりも早くWGLCに進める
のではないか、という議論になりました。実際、現在WGLCに向けてのドラフ
トの最終的な調整が進んでいます。他方、データチャンネルに関しては、実
装がまだ揃っていないことと、内容の精査が済んでいないことから、次回以
降の相互接続試験ではデータチャンネルでの通信を中心として確認をし、進
めていくこととなりました。
その他、リクワイヤメント(要求事項)とアーキテクチャとユースケースの三
つのドラフトを、インフォメーショナルのRFCとして発行する予定です。リク
ワイヤメントドラフトはすでに一度WGLCとなっておりますが、コメントも多
数集まったため、今後2回目のWGLCが実施される予定となっています。また、
アーキテクチャドラフトも内容はほぼ完成しており、大きな問題点も見られ
ないことから、WGLCに向かうコンセンサスが得られました。ユースケースド
ラフトは、複数の執筆者間で連携が取れておらず、内容が二転三転し、屋上
屋を重ねた結果、とても読みづらい内容となっていました。エリアディレク
ターから文章をRFCにするのはやめた方がいいのではないか、というコメント
が一時期あり、DOTSWGのチェアが憂慮して、特別に時間をとって、今後の方
針を決める議論がなされました。結果、無駄なユースケースを省き、読みや
すいように構成を抜本的に見直すということで合意がとれ、現在の最新のド
ラフトは(ようやく)読みやすい内容に生まれ変わりました。
■ 今後の展望
OSSとして開発しているgo-dotsは、リファレンス実装としての立場を確立す
ることができました。他のベンダーが、我々のソフトウェアと相互接続がで
きることを確認することがスタート地点となっています。将来のDDoS対策で
使われているであろうDOTSプロトコルにおいて、仕様の深い部分まで制御し
て標準化を進めていけていることに、非常に満足しています。今後、商用で
の利用が進むようにPoC (概念実証)を進めていく予定ですので、DOTSを利用
してみたいといった要望があれば、お声がけいただければ幸いです。
次回2018年7月のIETF102においてもハッカソンが開催されますので、ハッカ
ソンに向けて相互接続試験を実施していく予定となっています。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
まわりの方にもぜひNews & Viewsをオススメください!
転送にあたっての注意や新規登録については文末をご覧ください。
◇ ◇ ◇
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃ http://feedback.nic.ad.jp/1588/742167c1ffe6ef5088bd496cc68f4fd0 ┃
┃ ┃
┃悪かった ┃
┃ http://feedback.nic.ad.jp/1588/27ec635be9f0233c809148f971f15a51 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
JPNIC News & Views vol.1588 【臨時号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2018 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
