メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /P▲        ◆ JPNIC News & Views vol.1761【臨時号】2020.4.8 ◆
  _/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
---------- PR --------------------------------------------------------
=====勤怠アラート付きグループウェア「TimeBiz」(1ユーザー65円~)=======
        勤怠アラート機能で
        有給休暇や残業時間の管理をしましょう。
     詳しくはこちら→https://www.timebiz.jp/
=================================================【株式会社ASJ】======
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1761 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2020年2月中旬~下旬にかけてオーストラリア・メルボルンで開催された、
APRICOT 2020/APNIC 49カンファレンスのレポートを、vol.1757より連載にて
お届けしています。本号では連載[第2弾]として、JPNICが開催に関わった、
RPKIの導入に関する複数のセッションをご紹介します。

本カンファレンス全体の概要と、アドレスポリシーに関する議論については
vol.1757で取り上げていますので、下記のバックナンバーをご覧ください。
なお、連載の[第3弾]では、RPKI以外の技術関連の動向をご紹介する予定で
す。

□APRICOT 2020/APNIC 49カンファレンス報告
  [第1弾] 全体概要およびアドレスポリシー関連報告
  https://www.nic.ad.jp/ja/mailmagazine/backnumber/2020/vol1757.html

また、本カンファレンスの様子は、JPNICブログでも写真を交えてご紹介して
いますので、ぜひご覧ください。

    APNIC49フォトレポート
    https://blog.nic.ad.jp/2020/4365/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APRICOT 2020/APNIC 49カンファレンス報告 [第2弾] 
   RPKIの導入/検討・ワークショップ
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

APRICOT 2020/APNIC 49カンファレンス(以下、APRICOT 2020/APNIC 49)では、
JPNICが関わるRPKIに関するセッションが複数行われました。RPKIの導入に関
するもので、前回のAPNIC 48の時からAPNICやAPRICOTプログラム委員の方々
と協力して準備が進められました。APRICOTカンファレンス全体としても、今
回は特にRPKIの話題が多い会合だったのではないかと思います。本稿では、
これらのセッションの様子をお伝えします。


■ アジア太平洋地域におけるRPKIの導入/検討のための企画

五つのRIRでRPKIの提供が始まったのが2010年頃で、それから10年ほどが経ち
ました。しかし、国際的にROA (Route Origin Authorization)でカバーされ
ている経路の割合は18%程度で、広く普及したとはまだ言えない状況です
(*1)。特にアジア太平洋地域では、NIRがRPKIのCA (Certification 
Authority; 認証局)を構築し、APNICと接続してアドレスホルダー向けにサー
ビスを提供する必要があるために、APNICとNIRの連携が普及の鍵になると言
えます。

  (*1) NIST(米国国立標準技術研究所)で観測されるBGPのフルルートにおけ
       る、ASとIPアドレス・プレフィックスのペアに対してROAがカバーし
       ている割合(2020年3月現在)

       RPKI Deployment Monitor - NIST
       https://rpki-monitor.antd.nist.gov/

普及の上で、もう一つ重要なのは、実際のBGP運用に即したROAの作成/更新で
す。というのも、第78回RIPEミーティングで情報共有したように(*2)、ROAを
作成した後、運用上の理由でBGP経路を変更すると、経路の検証結果が無効
(invalid)となってしまい、一部のISPやIXのネットワークに到達できなくなっ
てしまいます。一般的には原因を特定しにくい問題であるため、例えば単純
にROAの数を増やすためだけのキャンペーンによって適切に更新されないROA
が増えてしまうと「原因が分からないが、多くのサービスにつながらない」
「メールが送られない」といった事態を招きかねません。

  (*2) Long Chopsticks in Heaven: the Importance of Cooperating
       when it comes to ROA
       https://labs.ripe.net/Members/taiji_kimura/long-chopsticks-in-heaven-the-importance-of-cooperating-when-it-comes-to-roa

従来のROAの作成をお願いする企画と異なる、適切な導入/検討をいただく企
画のために、Chiang Maiで行われたAPNIC 48の時に関係者との相談を始めま
した。今回はRPKIを利用する立場と、RPKIを提供する立場の両方の立場の方々
を対象として、ワークショップを開くことになりました。

RPKIを使って経路情報の検証を行う側であるIXやISPを対象にしたものは
「RPKIディプロイアソン」と「RPKIディプロイメント」で、RPKIのCAを運用
する側であるNIRを対象にしたものは「NIRテクニカル・ワークショップ」で
す。これらのワークショップを、総務省のサポートの下、開催しました。


■ RPKIディプロイアソン

ディプロイアソンとは、ディプロイ+マラソンの造語で、参加者同士でチー
ムを作り情報交換をしながら進める、ハンズオン形式のワークショップです。
2020年2月17日(月)の9:30~18:00に行われ、参加者は49名でした。NSRC
(Network Startup Resource Center)のフィリップ・スミス(Philip Smith)氏
をはじめとした講師による、5日間のルーティングセキュリティ・ワーク
ショップに続くプログラムでもあります。

報告者の木村は、スミス氏やAPNICのタシ・プンツォ(Tashi Phuntsho)氏らの
企画チームに入り、プログラムの内容を決めていくプロセスに関わりました。

  (RPKIディプロイアソン 内容)
  - ルーティング・セキュリティ座学
  - ROAの作成(APNICのトレーニング環境使用)
  - ROAキャッシュの構築
  - BGPルータの設定
  - 相互接続、相反するROAの検証結果、検証状態を伝える、RTBH
    (Remotely Triggered Black Hole)
  - ROAキャッシュの導入モデル/冗長性
  - グループ・ディスカッション
  https://www.nsrc.org/workshops/2020/apricot/rpki-deployathon/agenda.htmlより

最終的に、すべてのチームがROAキャッシュサーバとルータの設定を終えるこ
とができました。異なる機種の相互接続や、BGPの拡張コミュニティ属性を
使ったROV (Route Origin Validation)結果の伝達といった、ハードルの高め
な事柄についてもトライしました。RPKI、ROAと、これを使うROAキャッシュ
サーバ、BGPルータの構成や挙動を把握する内容でしたので、自社における導
入を検討する材料になったのではないでしょうか。最新の実装状況や、ルー
タが実装している範囲などの情報が集まった場でもありました。

技術的な振り返りの内容は、スミス氏が以下の資料にまとめています。

  RPKI Deployathon, Summary & Findings,
  https://2020.apricot.net/assets/files/APAE432/deployathon-summary-and-general-discussion.pdf


■ RPKIディプロイメント

RPKIディプロイメントは、RPKIディプロイアソンの各チームでの振り返りと、
普及に関する講演が行われるセッションです。RPKIディプロイアソンの翌日
の2月18日(火) 9:30~13:00に行われ、90名ほどが参加しました。振り返りの
時間には各チームの担当になった方が、設定で引っかかったところやソフト
ウェアの中で使いやすかったのは何か、といった発表をされていました。

  (セッションの内容)

  - アフリカにおける導入/SEACOMアップデート、マーク・ティンカ(Mark 
    Thinka)氏(SEACOM社)
      ルータの動作について専門的に指摘。アフリカ大手3社は導入済み。

  - バングラディッシュにおける導入事例、アブダル・アワル(Md Abdul 
    Awal)氏(Mozilla、Fellowship)
      本来と異なるISPによる、経路広告のインシデントを具体的に紹介。

  - JPNIC roamonプロジェクト、木村泰司(JPNIC)
      ROAの状態をモニタリングしBGP経路と異なるときにアラートするツー
      ルを紹介。

  - 無効なROAについて、タシ・プンツォ氏(APNIC)
      ROA数の増加に伴なって無効なROAも増加。

  - IRRの修正できない登録について、ジョン・アレキサンダー(Jhon 
    Alexander)氏(Aussie Broadband社)

  Schedule | APRICOT 2020
  https://2020.apricot.net/program/schedule/#/day/7/rpki-deployment-1
  - 発表資料をご覧になれます。

APIXと共同の「RPKIコミュニティ・スポンサー」として、これらのワーク
ショップ開催を支えることができたほか、APIX参加企業の皆様への情報共有
や、現地参加いただくなどの協力をすることができました。

また各NIRとAPNIC Foundationの協力により、各国でRPKIの普及に関わる技術
者を紹介していただいたり、招待していただいたりしました。グループワー
クのお陰もあって、参加者同士のつながりもできたようです。


■ NIRテクニカル・ワークショップ

前述のように、RPKIのCAを提供する側の立場であるNIRを対象として、NIRテ
クニカル・ワークショップを開催しました。APNICカンファレンスで毎回開か
れているNIRワークショップの時間を分割し、前半にポリシーやレジストリ業
務に関わる話題の「NIRワークショップ」を、後半にRPKIのような技術的な
テーマを扱う「NIRテクニカル・ワークショップ」を行う形になりました。

2020年2月18日16:30~18:00に行われ、七つのNIRすべてが参加しました。議
論が盛り上がった時のために用意しておいた枠、2月19日(15:30~17:00)の時
間も使うことになりました。

 (NIRにおけるRPKIの状況)

 - CNNIC(中国)
   RPKIサービスを提供中。システムは安定運用しており特に変化なし。調査
   研究に力を入れており、IETF sidrops WGで発表するなどしている。証明
   書発行数186、ROAは89。

 - IDNIC(インドネシア)
   RPKIサービスを立ち上げたばかりで、まだユーザーによるROA作成は行わ
   れていない。

 - IRINN(インド)
   RPKIシステムを試そうとしている。RPKIサービスの検討に積極的で、技術
   と運用の両面について準備している様子がうかがわれる。

 - JPNIC(日本)
   RPKIサービスを提供中。試験提供を続けておりBGP運用とROA作成の関係や
   システムの構成を検討し改善を図っている。リソース証明書の数は131、
   ROA数は485。

 - KRNIC(韓国)
   RPKI導入のメリットを確認しようとしている。KRNIC内ではまだRPKIサー
   ビス提供に向けた活動は行われておらず、様子を見ている。

 - TWNIC(台湾)
   RPKIサービスを提供中。台湾におけるISPに一斉に導入したため、証明書
   発行数は314、ROAは2,168とNIR中でも最多となっている。

 - VNNIC(ベトナム)
   現在はAPNICへのROA発行の取り次ぎを行っている。VNNICによるRPKIサー
   ビス開始に向けて準備を進めている。

                ◇               ◇               ◇

APRICOT 2020/APNIC 49では、この他にもRPKIに関するセッションがありまし
た。「ルーティング セキュリティ/RPKI SIG」です。ルーティング・セキュ
リティ/RPKI SIGはアフタブ・シディーク(Aftab Siddiqui)氏が中心となって
提案しており、趣意書の作成が行われています。このSIGができるとAPNICカ
ンファレンスで、RPKIを中心としたルーティング・セキュリティについての
議論の場ができることになります。

APNICでは、ポリシーSIGにおけるprop-132の提案に関連し、未割り振りのア
ドレスについてAS0(指定されたIPアドレスプリフィクスについては経路広告
されないことを示すROA)を提供する実験が開始されました。このAPNIC提供の
TAL (Trust Anchor Locator)を利用したROAキャッシュサーバを立ち上げる
と、未割り振りのアドレスを使ったBGP経路を無効(invalid)として判定する
ような、オリジン検証ができることになります。今後も、RPKIに関わる話題
の続きそうな状況です。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
                  ◇              ◇              ◇
            メールマガジン以外でも、情報を発信しています!
             JPNICブログ  https://blog.nic.ad.jp/
                 Twitter  https://twitter.com/JPNIC_info
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃ https://feedback.nic.ad.jp/1761/de470aab5f1d661a436ad0da390779a3 ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃ https://feedback.nic.ad.jp/1761/8479aeadb862ed90a3ff6c08978bd269 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1761 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2020 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.