Mutually Agreed Norms for Routing Security (MANRS)
翻訳文

一般社団法人日本ネットワークインフォメーションセンター
最終更新2016年6月3日

この文書は2014年9月24日に公開された
https://www.manrs.org/isps/
を翻訳したものです。
JPNICはこの翻訳を参考のために提供しますが、 その品質に責任を負いません。

---

ルーティングセキュリティに向けた合意規範

はじめに

セキュリティは、一般的に導入の動機付けが難しい分野です。 中でもDNSやルーティングといったグローバルなインターネットインフラのセキュリティは、 セキュリティの有用性が他の多くの関係者による協調行動に依存することから、 さらなる検討課題をもたらします。

インターネットの歴史の中で、 参加者間の連携とその円滑な運営に向けた責任の共有は、 インターネットの急速な成長と成功だけではなく、 セキュリティと回復力も支える二つの柱となってきました。 技術的な解決法は不可欠な要素ですが、 技術的な解決法単体では充分ではありません。 この分野で目に見える改善を触発するには、 責任の共有に向けて大きな変化が必要となります。

この文書では協調の精神を明文化し、 グローバルインターネットルーティングのセキュリティと回復力の課題に対処するため、 ネットワーク運用者に対し、 一定のガイダンスを提供することを目的とします。 もう一つの重要な目標としては、 これらの問題に対処する業界の先駆者によるコミットメントを文書化することで、 より多くの賛同者がこの取り組みに参加し、 影響力を増加させることです。

目的

1. 増えていく賛同者たちとそのコミットメントを示すことによる意識の向上と行動の促進
2. グローバルインターネットのルーティングシステムの回復力とセキュリティに向けた責任共有の文化・思想の促進
3. 責任共有の精神に基づいた、グローバルインターネットのルーティングシステムの回復力とセキュリティに関する検討課題への業界による対応力の証明
4. グローバルインターネットのルーティングシステムの回復力とセキュリティに関する課題についてISPの理解を深め、対応を支援する枠組みの提供

対象範囲

インタードメインルーティングシステムのセキュリティと回復力を向上させるうえでさまざまな推奨事項が存在しています。 推奨事項の一部は一見矛盾するように見受けられますが多くの場合、 意思決定を行ううえで鍵となるのは、 ネットワークのサイズやリソース、外部接続、顧客、 エンドユーザの数を考慮し、 その特定のネットワークにとってなにが最も重要または適切であるのかを理解することです。 それらは三つの主要な問題に対応しています。

期待される一歩進んだ対策につながる下記の対応は、 グローバルルーティングシステムの全体的なセキュリティと回復力およびルーティングオペレータ自身にとって間違いなく有益な一連の推奨事項です。 これらは三つの主要な問題に対応しています。

• 不正確なルーティング情報に起因する問題
• 偽装された発信元IPアドレスを利用したトラフィックに関する問題
• ネットワーク運用者間の連携に関する問題

期待される一連の対策をまとめた最小限の「パッケージ」として、 MANRS文書ではこれに賛同する事業者により当然実施されるべき一連の推奨事項を定義します。

この対策のパッケージは完全なものではなく、 多くのネットワーク運用者は既にこれ以上の対策および管理を行っているか、 今後将来にわたって対応する予定であることが想定されます。

また我々は、 本文書で示す特定の対策が問題への完全な解決策ではないことを認識しています。 しかし、それぞれの対応は小さな一歩ですが、 賛同者の数が拡大されていけば、 グローバルなインターネットルーティングシステムの回復力において大きな影響を与える改善につながる可能性があります。 従って、ここに選ばれた対策は、 対応に伴う最小限の追加コストと共通の利益につながる可能性をバランスした評価に基づいています。

定義

期待される一歩進んだ対策をより具体的に明確化するためには、 インターネット業界における一般的な利用に結び付けて、 いくつかの明確な条件の定義が必要となります。

インフラストラクチャ

オペレータの内部ネットワーク、インターネット上で到達可能である

エンドユーザ

オペレータの経路制御と管理の範囲に含まれるネットワーク

ピアネットワーク

自組織のインフラストラクチャおよび顧客ネットワークに関わるトラフィックを交換をする外部ネットワーク

トランジットネットワーク

自組織のインフラストラクチャおよび顧客ネットワークに関わるトラフィックを送信する一方、インターネットからのトラフィックを受信する外部ネットワーク

顧客ネットワーク

オペレータがトランジットサービスを提供する外部ネットワーク

シングルホーム

ネットワーク間の単一、単純な接続、またはエンドユーザのインフラストラクチャへの接続。これは、ネットワーク内またはネットワーク間のトラフィックが単一のパスであることを表します。

マルチホーム

ネットワーク間やエンドユーザとインフラストラクチャ間が複数のパスである。これはインフラストラクチャとインターネット間の複数のパスを実現可能とし、トラフィックが複数のパス間で行き来することができます。

原則

1. 賛同する組織(ISPおよびネットワーク運用者)は、グローバルなルーティングシステムの相互依存の性質と、インターネットの回復力とセキュリティに貢献する自身の役割を認識していること
2. 賛同する組織は、ネットワーク管理プロセスにおいて、対策に沿ったルーティングのセキュリティと回復力に関するベストカレントプラクティスを取り入れていること
3. 賛同する組織は、ピアおよび他のISPとの連携と調整を通して、ルーティングインシデントの防止、検出、回避に取り組んでいること
4. 賛同する組織は、その顧客およびピアにこれらの原則や対策を行うよう促していること

期待される対策

1. 誤った経路情報の伝播を防ぐ

• ネットワーク運用者は明確なルーティングポリシーを定め、PrefixとAS-pathの単位で、自身と顧客から隣接ネットワークへの経路広告の正確さを保証するシステムを実装している
• ネットワーク運用者は隣接ネットワークに対して何が正しい経路広告なのかを伝えることができる
• ネットワーク運用者は、特に顧客が広告するAS番号およびIPアドレスの正しい管理者であるのかを含め、顧客から受け取った経路広告の正確性の確認に対してできる限り適正評価を適用している

2. 偽装されたソースIPアドレスによるトラフィックを防ぐ

• ネットワーク運用者は、少なくともシングルホームの末端顧客ネットワーク、自らのエンドユーザおよびインフラストラクチャにおいて、ソースアドレスバリデーションを有効化している
• ネットワークオペレータは、不正確なソースIPアドレスのパケットがネットワークを出入りすることを防ぐため、spoofing対策のフィルタリングを実装している

3. グローバルな運用に関するネットワークオペレータ間のコーディネーションとコミュニケーションの促進

• 運用に関するネットワーク運用者間のグローバルな交流と連携を促進している
• ネットワーク運用者は最新の連絡先情報を、世界中から参照可能な場所に掲載してそれを最新状態に保つように勤めている

一歩進んだ対策

• グローバルな規模での経路情報の検証の促進
• ネットワーク運用者は、外部に広告するAS番号とプリフィクスの組み合わせ、すなわちルーティングポリシーを公開している

解説と参考文献

アクション1. 誤った経路情報の伝播を防ぐ

• ネットワーク運用者は明確なルーティングポリシーを定め、PrefixとAS-pathの単位で、自身とカスタマーから隣接ネットワークへの経路広告の正確さを保証するシステムを実装している
• ネットワーク運用者は隣接ネットワークに対して何が正しい経路広告なのかを伝えることができる
• ネットワーク運用者は、特に顧客が広告するAS番号およびIPアドレスの正しい管理者であるのかを含め、顧客から受け取った経路広告の正確性の確認に対してできる限り適正評価を適用している

論点

最も重要なことは、特に顧客ネットワークにおいて、 曖昧さのない明確なPrefixフィルタリングまたは同じような仕組みの利用によって受け取る経路報告の安全対策です。 第二に、AS-pathフィルタは顧客の下流であるASの選別に必要であれば適用することもできる。 または、 プロバイダが無償提供の関係を持つAS番号の顧客による広告をブロックするAS-pathフィルタは、 ある種のルーティングの漏れを防止することができます。 AS-pathで顧客のBGPアナウンスメントをフィルタリングするだけでは、 壊滅的なルーティングの問題を防止するには不十分です。

参考文献

• “Recommended Internet Service Provider Security Services and Procedures”, Section Network Infrastructure, http://www.rfc-editor.org/bcp/bcp46.txt
• “BGP operations and security”, http://tools.ietf.org/html/draft-ietf-opsec-bgp-security
• Border Gateway Protocol Security, NIST: Special Publication SP 800-54, http://csrc.nist.gov/publications/nistpubs/800-54/SP800-54.pdf
• “Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure”, http://tools.ietf.org/html/rfc3871
• “Using RPSL in Practice”, http://tools.ietf.org/html/rfc2650
• “Using the RIPE Database as an Internet Routing Registry”, https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-internet-routing-registry
• BGP Security Best Practices, FCC CSRIC III WG4 Final Report, http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%202013.pdf

アクション2. スプーフィングされたソースIPアドレスによるトラフィックの防止

• ネットワーク運用者は、少なくともシングルホームの末端顧客ネットワーク、自らのエンドユーザおよびインフラストラクチャにおいて、ソースアドレスバリデーションを有効化している
• ネットワークオペレータは、不正確なソースIPアドレスのパケットがネットワークを出入りすることを防ぐため、spoofing対策の フィルタリングを実装している

論点

• この問題への共通アプローチは、ルータネットワークでのケーブルモデムネットワークにおけるSAV(送信アドレスバリデーション)や厳密なuRPF (unicast Reverse-Path Forwarding)の検証などソフトウェア機能により対応してきました。
• これらの手法は、比較的動的な要素が少ないルーティングトポロジにおいて、管理のオーバーヘッドを軽易にすることができます。
• 他のアプローチとして、パケットフィルタを生成するうえで受信Prefixフィルタの情報を利用することができ、これはネットワークが正当に到達性を広告を行えるソースIPアドレスのパケットのみを許可します。

参考文献

• “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, http://tools.ietf.org/html/bcp38
• “Ingress Filtering for Multihomed Networks”, http://tools.ietf.org/html/bcp84
• “Securing the Edge”, http://www.icann.org/committees/security/sac004.txt
• “RIPE Anti-Spoofing Task Force HOW-TO”, http://www.ripe.net/ripe/docs/ripe-431
• BGP Security Best Practices, FCC CSRIC III WG4 Final Report, http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%202013.pdf

アクション3. 運用に関するネットワーク運用者間のグローバルな交流と連携の促進

• ネットワーク運用者が、連絡先情報をグローバルに参照可能で最新な状態に保っている

論点

• これらの情報を維持する一般的な場所はPeeringDBやRIRsのWHOISデータベースとRADBやRIPEのようなIRRです。
• ネットワーク管理者は、これらのうち最低一つのデータベースに24時間365日連絡のとれる連絡先情報を登録、維持することが必要です。
• この連絡先情報は、そのAS番号に関わるNOC、すべてのアドレスブロック、ドメイン名に関する情報を含むべきです。
• オペレータは、IRRへ自らのネットワークのルーティングポリシーの記載することが推奨されます。
• さらなる情報、例えば、PeeringDB情報の適切な項目における自身管理するLooking glassのURLなどの登録も歓迎されます。

参考文献

• “Using RPSL in Practice”, http://tools.ietf.org/html/rfc2650
• Peering DB, https://www.peeringdb.com
• RADB, http://www.radb.net/

アクション4. グローバルな規模での経路情報の検証の促進

• ネットワークオペレータは、外部に広告するAS番号とプリフィクスの組み合わせ、すなわちルーティングポリシーを公開している

論点

• 他のネットワークによる経路情報の検証をグローバルな規模で促進するためには、ルーティングポリシーに関する情報、すなわち外部に対して広告することをめざしているAS番号とプリフィクスの情報が必要となります。
• ポリシーを公開状態に保つ一つの手法はRADBとミラーするIRRへRPSLで記載することです。
  このケースでは、オペレータは、最低でも意図して広告する外部パーティのAS番号の一覧を含む"as-set" IRRオブジェクトをメンテナンスしなければならなく、自動的にprefix-フィルタを生成するツールに使われます。
• オペレータはそれらの情報も正確に最新なものにアップデートすることが必要です。
• 他には、グローバル規模な規模でより安全な方法で検証を促進する方法としてはPRKIシステムがあります。
  オペレータは、RIRから彼らのPrefixを含むRPKIの証明書を受け取り、彼らがアナウンスするprefixと一致するROAを維持発行することができます。
  オペレータは顧客ネットワークへもその様にすることを促進することが求められます。これにより、将来的にグローバルな規模で他のネットワークの検証が可能となります。

参考文献

• “Using RPSL in Practice”, http://tools.ietf.org/html/rfc2650
• “Using the RIPE Database as an Internet Routing Registry”, https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-internet-routing-registry
• “Origin Validation Operation Based on the Resource Public Key Infrastructure (RPKI)”, http://www.rfc-editor.org/bcp/bcp185.txt