ニュースレターNo.55/2013年11月発行
セキュリティ関連WG報告 〜RPKIの動向〜
関連情報 「JANOG “RPKIルーティングを試す会”とRPKIに関わる活動報告」
本稿では、インターネットのルーティングセキュリティに関するRPKI(Resource Public-Key Infrastructure)の動向として、「RPKIワークショップ」と「SIDR WG」の模様を詳しく報告します。
RPKIワークショップ
今回の第87回IETFミーティングでは、プレイベントとして三つのワークショップが開催されました。その一つがRPKIワークショップです。2日間のワークショップで、RPKIのオープンソースソフトウェアを試すDay1(1日目)と、RPKIの普及に関する議論を行うDay2(2日目)となっていました。
- RPKIワークショップ
日時:2013年7月26日(金)〜27日(土)
場所:Freie Universitat Berlin(ベルリン自由大学)
URL:http://rpkiws.realmv6.org/
参加者数:1日目 6名 2日目 18名
RPKI Toolsのハンズオン・チュートリアルが行われたDay1
Day1は、RPKIのオープンソースソフトウェア「RPKI Tools」を使ったチュートリアルです。ハンズオン形式で、あらかじめ用意されたサーバに設定を行うなどして、リソース証明書の発行とRPKIキャッシュサーバのセットアップ、BGPルータからの参照などを行いました。講師は株式会社インターネットイニシアティブのRandy Bush氏で、内容はJANOG32で行われた「RPKIセッション」と同じでした。
-
RPKIセッション - JANOG32
http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html -
RPKI-Based OriginValidation, Routers, & Cache(PKI workshop Day1 の資料)
http://psg.com/130726.pdf
RPKIの普及における課題整理が行われたDay2
Day2はRPKIの普及に向けた方策(RPKI Deployment Strategy)と題し、1日かけて議論が行われました。RIPE地域におけるRPKIの議論では中心的な人物の1人であるRudiger Folk氏をはじめ、Peter Koch氏ら複数のモデレーターによって議論が進められました。
議論は、はじめに議論の目標とテーマが確認されてから始まりました。目標は「グローバルインターネットの信頼性の向上(回復力、高い信用が置けるネットワーク)に向けて、RPKIに関する各種取り組みを情報共有した上で、取り組みとして足りない事がないかを相互に確認し、関係者がRPKIを導入しやすい環境づくりをする」となりました。結果的に、午前中には参加者の自己紹介と各人の取り組みの情報共有がされ、午後には普及状況やRPKIに関するツールの紹介、普及に向けた課題が議論されました。
筆者からは、国内とアジア太平洋地域における議論の状況を紹介いたしました。具体的には、第20回ENOGミーティングや第4回電力系NCC勉強会、第34回APNICミーティングやJANOGで行われたRPKIのワークショップとそこで行われた議論の論点を紹介しました。国内でのワークショップを通じて、実際にRPKIを使ったROA(Route Origination Authorization)を管理する業務が始まると、既存のIRRへの登録やルーティング担当者との業務連携が重要になってくることが分かってきています。RIRにおいてもこの課題は同じであり、会場からは普及に向けた重要な課題だ、といったコメントが挙がりました。
Day2の最後には、黒板にRPKIの普及に向けた課題がまとめられました。
| RPKI普及に向けた課題 | Day2のまとめ |
|---|---|
| ポリシーと法制度 |
・RPKIにどんな導入価値とリスクがあるか ・歴史的IPアドレス(日本国内では 歴史的PI(Provider Independent)アドレスと呼ばれるIPアドレスに近いもの)のRPKIにおける扱い ・政府によるコントロール |
| ツールと基盤整備 |
・RPKIと経路制御のモニタリングをどうすべきか ・RPKI導入を通じた、経路制御のサポートのあり方 ・RPKIを実現する、一連のシステムの安定性 ・プログラムを含めた系としての信頼性 |
| ノウハウ |
・BCP(Best Current Practice)が必要になってくると考えられるテーマ ・ISPにおけるRPKIのノウハウ ・歴史的IPアドレスホルダーに関するRPKIのノウハウ |
Day2は、進行の良さと共に、各地域から集まったISP・研究者・レジストリ・プログラマーといったいろいろな見方の意見が上げられ、充実した議論が行われた1日でした。
SIDR WG
SIDR(Secure Inter-Domain Routing)WGは、インターネットにおける経路制御のための、PKI技術を使ったセキュリティの仕組み、すなわちRPKIを使ったセキュアなルーティングの仕様を検討しているWGです。2006年4月に設立され、2012年の初めにIPアドレスの経路広告元ASを確認できる「Origin Validation」の仕様がRFCになりました。ASパスを確認する「Path Validation」に関する仕様は、WGドラフトとして議論が進められている状態です。
IETFミーティングにおけるSIDR WGの会議では、RIRにおける技術導入の状況やRPKI技術のプログラムの紹介なども行われています。今回はPath Validationのドラフトについては、チェアによる状態の確認だけで議論はほとんど行われませんでした。Origin Validationのために、RPKIの仕組みを安定運用できるようにするための技術課題がある状況です。
RPKI技術を使ったWeb上のツール
RPKIは、BGPルータに対してRPKIの署名検証を通じて確認された「IPアドレスのプリフィクスとAS番号の組み合わせリスト」を供給することで、不正な経路情報を検知する用途が注目されています。一方、RPKIを使ったWebのツールも現れています。
-
RPKI Dashboard
http://rpki.surfnet.nl/
NLnet Labsの技術者が中心となって作成しているWebページで、インターネットの経路情報とROAの比較結果を表やグラフで見ることができます。五つのRIRで発行されているROAの数に加えて、経路情報の中のどれくらいを占めているのか、といった数値を見ることができます。
-
Origin Validation Looking Glass
http://www.labs.lacnic.net/rpkitools/looking_glass/
インターネットの経路情報を確認するLooking Glassに、ROAの検証機能を付加したものです。発行されているROAでカバーされる経路情報のうち、有効なものと無効なものの割合が円グラフで表示されています。ROAの検証結果から、有効な経路情報のリストを出力することもできます。
リソース証明書の技術課題
リソース証明書とROAの基本的な技術仕様がRFC化されてから、これらの管理運用のさまざまな場面が想定できるようになってきました。そのため、運用上の新たな技術課題も明らかになってきています。SIDR WGで議論された技術課題を紹介します。
- Rsyncサーバの性能シミュレーション(RPKI Rsync Performance Test Update), David Mandelberg氏
リソース証明書とROAの配布に使われるrsyncサーバの性能に関するシミュレーション結果の報告です。インターネットにおけるフルルートの経路数に近い、400万のROAを作成し、何台のクライアントが接続すると、転送が遅くなりはじめるかを計測しました。その結果、全ROAをクライアントが一度に要求した場合、25クライアント目で遅くなりはじめました。全ROAの5%を要求した場合、189クライアント目です。遅くなる原因は、サーバの性能だけでなく接続しているネットワーク帯域が原因になることも分かりました。リソース証明書を提供するレジストリにとって、性能の維持は課題になりそうです。
この他に、IPアドレスの移転が行われたときに、ツリー構造であるCAはどのようにリソース証明書を発行すればいいのか、特定のIPアドレスに対するROAが有効な状態を保つためにはどのように運用すればいいのか、といった議論が行われました。
RPKIの「Origin Validation」の実際の運用にあたっては、まだ技術課題に取り組んでいく必要がありそうです。
(JPNIC 技術部/インターネット推進部 木村泰司)
