━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
__
/P▲ ◆ JPNIC News & Views vol.1761【臨時号】2020.4.8 ◆
_/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
---------- PR --------------------------------------------------------
=====勤怠アラート付きグループウェア「TimeBiz」(1ユーザー65円~)=======
勤怠アラート機能で
有給休暇や残業時間の管理をしましょう。
詳しくはこちら→https://www.timebiz.jp/
=================================================【株式会社ASJ】======
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1761 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020年2月中旬~下旬にかけてオーストラリア・メルボルンで開催された、
APRICOT 2020/APNIC 49カンファレンスのレポートを、vol.1757より連載にて
お届けしています。本号では連載[第2弾]として、JPNICが開催に関わった、
RPKIの導入に関する複数のセッションをご紹介します。
本カンファレンス全体の概要と、アドレスポリシーに関する議論については
vol.1757で取り上げていますので、下記のバックナンバーをご覧ください。
なお、連載の[第3弾]では、RPKI以外の技術関連の動向をご紹介する予定で
す。
□APRICOT 2020/APNIC 49カンファレンス報告
[第1弾] 全体概要およびアドレスポリシー関連報告
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2020/vol1757.html
また、本カンファレンスの様子は、JPNICブログでも写真を交えてご紹介して
いますので、ぜひご覧ください。
APNIC49フォトレポート
https://blog.nic.ad.jp/2020/4365/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APRICOT 2020/APNIC 49カンファレンス報告 [第2弾]
RPKIの導入/検討・ワークショップ
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
APRICOT 2020/APNIC 49カンファレンス(以下、APRICOT 2020/APNIC 49)では、
JPNICが関わるRPKIに関するセッションが複数行われました。RPKIの導入に関
するもので、前回のAPNIC 48の時からAPNICやAPRICOTプログラム委員の方々
と協力して準備が進められました。APRICOTカンファレンス全体としても、今
回は特にRPKIの話題が多い会合だったのではないかと思います。本稿では、
これらのセッションの様子をお伝えします。
■ アジア太平洋地域におけるRPKIの導入/検討のための企画
五つのRIRでRPKIの提供が始まったのが2010年頃で、それから10年ほどが経ち
ました。しかし、国際的にROA (Route Origin Authorization)でカバーされ
ている経路の割合は18%程度で、広く普及したとはまだ言えない状況です
(*1)。特にアジア太平洋地域では、NIRがRPKIのCA (Certification
Authority; 認証局)を構築し、APNICと接続してアドレスホルダー向けにサー
ビスを提供する必要があるために、APNICとNIRの連携が普及の鍵になると言
えます。
(*1) NIST(米国国立標準技術研究所)で観測されるBGPのフルルートにおけ
る、ASとIPアドレス・プレフィックスのペアに対してROAがカバーし
ている割合(2020年3月現在)
RPKI Deployment Monitor - NIST
https://rpki-monitor.antd.nist.gov/
普及の上で、もう一つ重要なのは、実際のBGP運用に即したROAの作成/更新で
す。というのも、第78回RIPEミーティングで情報共有したように(*2)、ROAを
作成した後、運用上の理由でBGP経路を変更すると、経路の検証結果が無効
(invalid)となってしまい、一部のISPやIXのネットワークに到達できなくなっ
てしまいます。一般的には原因を特定しにくい問題であるため、例えば単純
にROAの数を増やすためだけのキャンペーンによって適切に更新されないROA
が増えてしまうと「原因が分からないが、多くのサービスにつながらない」
「メールが送られない」といった事態を招きかねません。
(*2) Long Chopsticks in Heaven: the Importance of Cooperating
when it comes to ROA
https://labs.ripe.net/Members/taiji_kimura/long-chopsticks-in-heaven-the-importance-of-cooperating-when-it-comes-to-roa
従来のROAの作成をお願いする企画と異なる、適切な導入/検討をいただく企
画のために、Chiang Maiで行われたAPNIC 48の時に関係者との相談を始めま
した。今回はRPKIを利用する立場と、RPKIを提供する立場の両方の立場の方々
を対象として、ワークショップを開くことになりました。
RPKIを使って経路情報の検証を行う側であるIXやISPを対象にしたものは
「RPKIディプロイアソン」と「RPKIディプロイメント」で、RPKIのCAを運用
する側であるNIRを対象にしたものは「NIRテクニカル・ワークショップ」で
す。これらのワークショップを、総務省のサポートの下、開催しました。
■ RPKIディプロイアソン
ディプロイアソンとは、ディプロイ+マラソンの造語で、参加者同士でチー
ムを作り情報交換をしながら進める、ハンズオン形式のワークショップです。
2020年2月17日(月)の9:30~18:00に行われ、参加者は49名でした。NSRC
(Network Startup Resource Center)のフィリップ・スミス(Philip Smith)氏
をはじめとした講師による、5日間のルーティングセキュリティ・ワーク
ショップに続くプログラムでもあります。
報告者の木村は、スミス氏やAPNICのタシ・プンツォ(Tashi Phuntsho)氏らの
企画チームに入り、プログラムの内容を決めていくプロセスに関わりました。
(RPKIディプロイアソン 内容)
- ルーティング・セキュリティ座学
- ROAの作成(APNICのトレーニング環境使用)
- ROAキャッシュの構築
- BGPルータの設定
- 相互接続、相反するROAの検証結果、検証状態を伝える、RTBH
(Remotely Triggered Black Hole)
- ROAキャッシュの導入モデル/冗長性
- グループ・ディスカッション
https://www.nsrc.org/workshops/2020/apricot/rpki-deployathon/agenda.htmlより
最終的に、すべてのチームがROAキャッシュサーバとルータの設定を終えるこ
とができました。異なる機種の相互接続や、BGPの拡張コミュニティ属性を
使ったROV (Route Origin Validation)結果の伝達といった、ハードルの高め
な事柄についてもトライしました。RPKI、ROAと、これを使うROAキャッシュ
サーバ、BGPルータの構成や挙動を把握する内容でしたので、自社における導
入を検討する材料になったのではないでしょうか。最新の実装状況や、ルー
タが実装している範囲などの情報が集まった場でもありました。
技術的な振り返りの内容は、スミス氏が以下の資料にまとめています。
RPKI Deployathon, Summary & Findings,
https://2020.apricot.net/assets/files/APAE432/deployathon-summary-and-general-discussion.pdf
■ RPKIディプロイメント
RPKIディプロイメントは、RPKIディプロイアソンの各チームでの振り返りと、
普及に関する講演が行われるセッションです。RPKIディプロイアソンの翌日
の2月18日(火) 9:30~13:00に行われ、90名ほどが参加しました。振り返りの
時間には各チームの担当になった方が、設定で引っかかったところやソフト
ウェアの中で使いやすかったのは何か、といった発表をされていました。
(セッションの内容)
- アフリカにおける導入/SEACOMアップデート、マーク・ティンカ(Mark
Thinka)氏(SEACOM社)
ルータの動作について専門的に指摘。アフリカ大手3社は導入済み。
- バングラディッシュにおける導入事例、アブダル・アワル(Md Abdul
Awal)氏(Mozilla、Fellowship)
本来と異なるISPによる、経路広告のインシデントを具体的に紹介。
- JPNIC roamonプロジェクト、木村泰司(JPNIC)
ROAの状態をモニタリングしBGP経路と異なるときにアラートするツー
ルを紹介。
- 無効なROAについて、タシ・プンツォ氏(APNIC)
ROA数の増加に伴なって無効なROAも増加。
- IRRの修正できない登録について、ジョン・アレキサンダー(Jhon
Alexander)氏(Aussie Broadband社)
Schedule | APRICOT 2020
https://2020.apricot.net/program/schedule/#/day/7/rpki-deployment-1
- 発表資料をご覧になれます。
APIXと共同の「RPKIコミュニティ・スポンサー」として、これらのワーク
ショップ開催を支えることができたほか、APIX参加企業の皆様への情報共有
や、現地参加いただくなどの協力をすることができました。
また各NIRとAPNIC Foundationの協力により、各国でRPKIの普及に関わる技術
者を紹介していただいたり、招待していただいたりしました。グループワー
クのお陰もあって、参加者同士のつながりもできたようです。
■ NIRテクニカル・ワークショップ
前述のように、RPKIのCAを提供する側の立場であるNIRを対象として、NIRテ
クニカル・ワークショップを開催しました。APNICカンファレンスで毎回開か
れているNIRワークショップの時間を分割し、前半にポリシーやレジストリ業
務に関わる話題の「NIRワークショップ」を、後半にRPKIのような技術的な
テーマを扱う「NIRテクニカル・ワークショップ」を行う形になりました。
2020年2月18日16:30~18:00に行われ、七つのNIRすべてが参加しました。議
論が盛り上がった時のために用意しておいた枠、2月19日(15:30~17:00)の時
間も使うことになりました。
(NIRにおけるRPKIの状況)
- CNNIC(中国)
RPKIサービスを提供中。システムは安定運用しており特に変化なし。調査
研究に力を入れており、IETF sidrops WGで発表するなどしている。証明
書発行数186、ROAは89。
- IDNIC(インドネシア)
RPKIサービスを立ち上げたばかりで、まだユーザーによるROA作成は行わ
れていない。
- IRINN(インド)
RPKIシステムを試そうとしている。RPKIサービスの検討に積極的で、技術
と運用の両面について準備している様子がうかがわれる。
- JPNIC(日本)
RPKIサービスを提供中。試験提供を続けておりBGP運用とROA作成の関係や
システムの構成を検討し改善を図っている。リソース証明書の数は131、
ROA数は485。
- KRNIC(韓国)
RPKI導入のメリットを確認しようとしている。KRNIC内ではまだRPKIサー
ビス提供に向けた活動は行われておらず、様子を見ている。
- TWNIC(台湾)
RPKIサービスを提供中。台湾におけるISPに一斉に導入したため、証明書
発行数は314、ROAは2,168とNIR中でも最多となっている。
- VNNIC(ベトナム)
現在はAPNICへのROA発行の取り次ぎを行っている。VNNICによるRPKIサー
ビス開始に向けて準備を進めている。
◇ ◇ ◇
APRICOT 2020/APNIC 49では、この他にもRPKIに関するセッションがありまし
た。「ルーティング セキュリティ/RPKI SIG」です。ルーティング・セキュ
リティ/RPKI SIGはアフタブ・シディーク(Aftab Siddiqui)氏が中心となって
提案しており、趣意書の作成が行われています。このSIGができるとAPNICカ
ンファレンスで、RPKIを中心としたルーティング・セキュリティについての
議論の場ができることになります。
APNICでは、ポリシーSIGにおけるprop-132の提案に関連し、未割り振りのア
ドレスについてAS0(指定されたIPアドレスプリフィクスについては経路広告
されないことを示すROA)を提供する実験が開始されました。このAPNIC提供の
TAL (Trust Anchor Locator)を利用したROAキャッシュサーバを立ち上げる
と、未割り振りのアドレスを使ったBGP経路を無効(invalid)として判定する
ような、オリジン検証ができることになります。今後も、RPKIに関わる話題
の続きそうな状況です。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
◇ ◇ ◇
メールマガジン以外でも、情報を発信しています!
JPNICブログ https://blog.nic.ad.jp/
Twitter https://twitter.com/JPNIC_info
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃ https://feedback.nic.ad.jp/1761/de470aab5f1d661a436ad0da390779a3 ┃
┃ ┃
┃悪かった ┃
┃ https://feedback.nic.ad.jp/1761/8479aeadb862ed90a3ff6c08978bd269 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
JPNIC News & Views vol.1761 【臨時号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2020 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
