メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /P▲        ◆ JPNIC News & Views vol.1842【臨時号】2021.4.30 ◆
  _/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1842 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

APRICOT 2021/APNIC 51カンファレンスが、2021年3月1日(月)~3月4日(木)に
かけて開催されました。新型コロナウイルス感染症(COVID-19)の流行に伴い、
フルリモートの開催となりました。本稿では、本カンファレンスの、技術セッ
ションに関する情報をお届けします。

なお、APRICOT 2021/APNIC 51カンファレンスの全体概要と、アドレスポリ
シー関連の議論については、vol.1834でお届けしていますので、詳しくは下
記のURLからバックナンバーをご覧ください。

  □APRICOT 2021/APNIC 51カンファレンス報告
    ○ 全体概要およびアドレスポリシー関連報告 (vol.1834)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2021/vol1834.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APRICOT 2021/APNIC 51カンファレンス報告 技術セッションレポート
                                          JPNIC 技術部 澁谷晃/佐藤秀樹
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

APRICOT/APNICカンファレンスでは、IPアドレスポリシーの議論が行われる
Policy SIGや、APNICの総会であるAGMの他に、技術的なセッションも開かれ
ています。

今回は新型コロナウイルス感染症(COVID-19)の影響を受けてリモートでの開
催とはなりましたが、オンサイトでの開催と同様にAPNICやNIRとの情報交換
を個別に実施した他、各セッションではCOVID-19の影響下における各社での
取り組みの紹介やRPKIに関わる情報の共有がありました。本稿では、そのよ
うな技術的な動向の紹介を行います。


■ APNIC/NIRとの技術的な情報交換

○RDAP開発に関わる対応について

APNICでは、2020年にGCP (Google Cloud Platform)を利用して、RDAP 
(Registration Data Access Protocol)サーバを北米とシンガポールに展開し
たとのことでした。

サーバを各地域に配置することで、クライアントからのRTT (Round-Trip 
Time)が短縮されることが期待できます。APNICのRDAPサーバに来ているクエ
リ量としては、米国から来ているものが多いようです。JPNICの現WHOISに来
ているクエリも米国から来ているものが多く観測されているので、レジスト
リへのクエリとして何か共通の傾向があるのかもしれないと思いました。

JPNICでは2020年にRDAPの開発を終え、2021年のRDAPサービス開始を予定して
います。RDAPでは管理アドレスのリダイレクト機能がプロトコル上定められ
ており、APNICのRDAPサーバにJPNIC管理のアドレスについてのクエリが来た
際には、JPNICのRDAPサーバにリダイレクトできます。APNIC 51ではAPNICと
個別の情報交換を実施し、そのようなRDAPの連携に必要な調整を行いました。
また、APNIC地域の他のNIRでは、KRNICとIDNICもRDAPを開発している旨の情
報共有がされました。

他のNIRとしてはLACNIC地域のNIC.br(ブラジルのNIR)がすでにRDAPサービス
を始めていますが、各地域で、NIRレベルでのRDAPの実装が進んでいる印象を
受けました。

○RPKI開発に関わる対応について

APNICでは2020年に、prop-132 (AS0 for unallocated and unassigned 
spaces)を実装するシステムの開発を完了した旨の報告がされました。これに
より、APNICが管理している未割り振り・未割り当てのIPv4アドレス・IPv6ア
ドレスに対してAS0のROAを発行することが、システム上可能となりました。

また、将来のRPKIに関する開発のため、RPKI管理ソフトウェアであるKrillの
開発元に対してファンディング(資金拠出)をしていく旨の共有がされました。
Krillの開発元はNLnet Labsという非営利の団体で、開発の資源をインター
ネットコミュニティに依拠している団体として知られています。Krillはフ
リーのオープンソフトウェアで、現在、開発・サポートが進行中であり、RPKI
の利用者に注目されている製品です。RPKIの関連製品としてはRPKI Toolsと
いうRPKI管理ソフトウェアもありますが、現在は開発・サポートは止まって
いるため、利用可能な選択肢としてKrillが着目されています。APNICもファ
ンディングするとのことなので、コミュニティで活用される動きが強くなっ
ていくかもしれません。


■ APRICOTセッションの紹介

○BGP運用動向のセッション紹介

3月2日のAPOPS2セッションでは、Geoff Huston氏より、APRICOTでの恒例と
なっているBGP経路情報の観測についてアップデートがありました。

IPv4の経路数については、より細かいプリフィクスが経路情報に乗る傾向が
継続していることで、依然、比例的に増加を続けており、2021年現在では86
万経路となりました。この傾向が継続した場合、2024年頃には100万経路を超
えるであろう予測が示されました。一方、IPv6については、指数関数的な増
加の傾向が続いており、10万経路を突破したことが共有され、今後の推移の
予測も共有されています。

また、BGPアップデート数と、コンバージェンスに要する時間の分析について
も共有があり、最近、BGPアップデート数が急に増加している傾向にあるこ
と、そして、IPv6について、コンバージェンス時間の悪化が見られることが
警告されました。Huston氏の分析によると、一部のASが多くのアップデート
を送信しているようであり、注意がなされました。

また、Colt社のDanny Pinto氏より、フルルートが100万経路となった際に、
ルータに与える影響について紹介がありました。特に注意が必要な実装とし
て、IOS-XRでは、max prefix limitがDefaultで有効になっている場合があ
り、指定が無い場合に、IPv4で104万が指定されていることについて注意が共
有されました。

○AS Path Validationの紹介

続いて3月2日午後に行われたAPNIC Plenaryでは、Routing securityが取り上
げられ、Geoff Huston氏より、AS Path Validationの紹介がありました。

AS Pathを減らしたり、増やしたりと操作をすることで、選択される経路を操
作しようとすることが可能です。そのため、AS Path Validationでは、電子
証明の列を作ることで、AS Path Attributeを守り、ASの伝播の連鎖が、正当
であることの証明の実現をめざしています。現在普及が進んでいるROV 
filteringでは、経路にOrigin ASが残っていると、このようなAS Pathの操作
は検知できません。

セッションでは、まず、AS Path Validationの一つの実装として、BGPsecが
紹介されました。これは、RPKIフレームワークで認証された鍵を各ASが持ち、
経路が伝播していく間、それぞれのASが署名していくことでAS Pathを守るこ
とを実現します。しかし、部分的に展開する仕組みが無いため、すべてのルー
タでBGPsecが動作していないと利用できず、結果として、現在のインターネッ
トで、BGPsecが利用されることはなさそうであるという見解が示されました。

この問題を避けることが可能な別のアプローチとして、ASPA (AS Provider 
Attestation)が紹介されました。

  注:当日の発表資料では、attestation とされていましたが、後述する現
      在のInternet DraftではAS Provider Authorizationとなっているよう
      です。

その基となっているsoBGP (Secure Origin BGP)は、AS pathのValidationで
はなく、もっともらしさ(Plausibility)を証明することを可能とするもので
す。それぞれのASは、隣接するASのリストを作成し、自身のAS名で署名しま
す。これにより、あるASが偽の隣接情報を作成しても、対象になるASが署名
している情報と矛盾があると、その偽の情報の検知が可能であるというもの
になります。

しかし、soBGPの仕組みにはポリシーについてのコンポーネントが無いため、
これだけでは、ルートリークを検知することができません。ルートリークの
検知に対応するため、ASPAでは、Valley Free routingと名づけられた仕組み
を利用します。BGPピアには、ピアとカスタマー、そしてトランジットと、特
徴の異なる接続関係があります。そして、それぞれから学習した経路が存在
します。トランジットへ広報した経路は、いずれピアの接続関係を通じて、
その先では、カスタマーへ伝播していくことになります。しかし、これらの
経路は、カスタマーASへ伝播した後、あらためてトランジットへ広報される
ことや、一度ピアの接続関係を経由した後、さらにトランジットへ広報され
ることはありません。Valley Free routingはこれらの特徴を利用したもので
す。ASPAでは、ROAに似た経路の正当性を証明できる、ASPA objectをASが発
行することで、その証明を実現しますが、ASPA objectは、トランジットのみ
を証明するものとなります。

ASPAは軽い実装であること、ルータの外でのフィルタ管理の実現を可能とし、
一部のASが利用することでも機能することから、部分的な導入から利用を広
げていくことができること、そして、多くのルートリークのケースを検出す
ることができるという特徴が紹介されました。ASPAは、完全なValidationを
実現する仕組みではありませんが、洗練された攻撃を防ぐ効果が期待されて
います。

ASPAはまだInternet Draftの状況ですが、RFCがもうすぐ発行されそうな見込
みとのことです。課題として、ASPAによるフィルタリングのオペレーション
モデルが、まだ定まっていないという点が共有されました。


■ おわりに

前回のAPNIC 50に続いてのオンライン参加でしたが、参加に問題は無く、最
新の動向を追いながら議論に参加することができました。また、前回は環境
の問題で参加できなかった参加者も今回は参加できている様子があり、オン
ライン会議の慣れが進んできている印象がありました。

次回のAPNIC 52もオンライン開催が予定されており、仮日程として2021年9月
8日(水)~16日(木)での開催がアナウンスされています。

技術動向は継続して話題をフォローすることで、議論の展開を追いやすくな
ります。興味を持たれました方は今回の資料や動画アーカイブをご参考に、
次回以降の参加をご検討してみてはいかがでしょうか。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
                  ◇              ◇              ◇
            メールマガジン以外でも、情報を発信しています!
             JPNICブログ  https://blog.nic.ad.jp/
                 Twitter  https://twitter.com/JPNIC_info

          YouTubeでは初心者向けセミナー資料を公開しています
       https://www.youtube.com/channel/UC7BboGLuldn77sxQmI5VoPw
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃ https://feedback.nic.ad.jp/1842/62198123d565a9524f9974a5e6fafce2 ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃ https://feedback.nic.ad.jp/1842/19079b87ecc231ccdbf738b6f250ee8d ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ━━ JPNICへのご連絡/お問い合わせは極力電子メールでお願いします ━━
┏━◇【COVID-19を受けたJPNICの取り組み】 ◇━━━━━━━━━━━━┓
  https://www.nic.ad.jp/ja/mailmagazine/backnumber/2020/vol1790.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ■ 各種お問い合わせ先:https://www.nic.ad.jp/ja/profile/info.html ■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1842 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2021 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.