MANRS Action for Network Operators 翻訳文
一般社団法人日本ネットワークインフォメーションセンター
最終更新2020年6月19日
この文書は2019年9月30日に公開された
https://www.manrs.org/wp-content/uploads/2019/11/MANRS_Network_Operators_Actions_30Sep2019.pdf
を翻訳したものです。
JPNICはこの翻訳を参考のために提供しますが、
その品質に責任を負いません。
ネットワークオペレーターのためのMANRSアクション
Version 2.3 2019年9月30日
1. イントロダクション
Mutually Agreed Norms for Routing Security (MANRS)は、 インターネットのグローバルルーティングシステムのセキュリティと復元力を大幅に向上させるための取り組みです。 これは、BGPを動かしているオペレーターに、 最も一般的な脅威に対処できる、 確立された業界のベストプラクティスと技術的なソリューションを実装するように働きかけることによって行われます。
インターネットの歴史を通じて、 参加者間の協力と円滑な運営に対する責任の共有は、 その飛躍的な成長と成功を支える二つの柱でした。 このドキュメントは、この精神を構築することを目的とし、 ネットワークオペレーターが実行する必要があるアクションを定義します。 これを実施することで、ネットワークオペレーターは、 セキュリティの向上、 集団的責任の文化の発展、そして、 責任あるコミュニティを構築することに積極的に取り組んでいることを示します。
MANRSは次の目的を持ちます。
- ルーティングセキュリティの問題に対する認識を高め、 それらに対処するためのアクションの実施を働きかけます。
- インターネットのグローバルルーティングシステムのセキュリティと復元力に対する集団的責任の文化を促進します。
- ルーティングセキュリティの問題に対処するインターネット業界の能力を示します。
- ネットワークオペレーターがインターネットのグローバルルーティングシステムのセキュリティと復元力に関連する問題をよりよく理解し、 対処するためのフレームワークを提供します。
2. 範囲
MANRSは、主に三つに分類される問題に対処することを目的とした、 一連のアクションに基づいています。
- 間違ったルーティング情報
- 送信元IPアドレスなりすましによるトラフィック
- ネットワーク間の調整と連携
「必須のアクション」は、 インターネットのグローバルルーティングシステムのセキュリティと復元力をより確実なものとするために、 ネットワークオペレーターが最低限取るべき措置を定義し、 MANRS参加者として承認されるためには、 ネットワークオペレーターが実施しなければなないものです。
「推奨されるアクション」は、 DDoS攻撃の根本的な原因に対処するのに役立つ措置であり、また、 他のネットワークに属する番号資源の暗号検証を可能にします。
これらのアクションは、 確立された業界のベストプラクティスに基づいており、 個々のネットワークオペレーターにとって増加する小さなコストと、 潜在的な共通のメリットとのバランスを評価した上で選択されています。 ただし、これらのアクションは網羅的なものではなく、 多くのネットワークオペレーターがすでにより強力な対策や制御を実装している可能性があります。
また、これらのアクションは、 示されている問題に対する包括的な解決策ではないことも認識されていますが、 提供される措置を多くのネットワークオペレーターが実施した場合、 インターネットのグローバルルーティングシステムのセキュリティと復元力を大幅に向上させることができます。
3. 定義
必須および期待されるアクションの詳細を明確にするために、 インターネット業界での一般的な利用方法に関連するいくつかの用語を定義する必要があります。
- BGP
- Border Gateway Protocol。 インターネット上のAS間で、 経路と到達性の情報を交換する役割を担う。
- インフラストラクチャ
- ネットワークオペレーターの内部ネットワーク。 インターネットを介して到達可能な場合と不可能な場合がある。
- AS(自律システム)
- 一つの管理されたドメインを形成するネットワーク。 一意なAS番号によって識別され、 共通で明確に定義されたルーティングポリシーをインターネットに提示する。
- エンドユーザー
- ネットワークオペレーターのAS内のエンドポイントで、 トラフィックの宛先または送信元、あるいはその両方となる。
- トランジットネットワーク
- ネットワークオペレーターのインフラストラクチャと、 そのカスタマーネットワークから発信されるトラフィックが送信される外部のネットワークで、 幅広いインターネットからのトラフィックがそこから受信されます。
- カスタマーネットワーク
- ネットワークオペレーターがトランジットサービスを提供する外部ネットワーク。 これらは、ネットワークオペレーターとビジネス関係を持つ可能性のある「直接接続したカスタマー」と、 ネットワークオペレーターとビジネス関係を持たない可能性のある「間接的に接続したカスタマー」に分類することができます。
- ピアネットワーク
- ネットワークオペレーターが直接接続し、 決済無償でトラフィックを交換する外部ネットワーク。
- スタブネットワーク
- 直接接続された外部ネットワークで、 それ自体はカスタマーネットワークを持たないもの。 ピアネットワークは持つ場合もある。
- シングルホームド
- エンドユーザーまたはカスタマーネットワークで、 トラフィックを流せるネットワークオペレーターのインフラストラクチャへの接続が一つしかないもの。
- マルチホームド
- エンドユーザー、カスタマーネットワーク、 またはその他のタイプのネットワークで、 トラフィックが流せる複数のパスを提供するために、 インターネットに二つ以上の接続を持つもの。
- RIR
- Regional Internet Registry。 世界のリージョン内のインターネット番号資源の割り当てと登録を管理する。
- NIR
- National Internet Registry。 世界の一部の国のインターネット番号資源の割り当てと登録を管理する。
4. 必須のアクション
アクション1: 不正なルーティング情報の伝播を防ぐ
ネットワークオペレーターは、自身、 またはそのカスタマーが発信することを正当に認可されているAS番号と、 IPプリフィクスのみを、 隣接するネットワークに広報する仕組みを実装する必要があります。
ネットワークオペレーターは、 カスタマーの広報が正しいかどうかを確認する必要があります。 具体的には、 各カスタマーが広報したAS番号とIPアドレス空間を正当に保持していること。
ディスカッション
明示的なプリフィクスレベルのフィルター、 または同等のメカニズムを使用して、 特にカスタマーネットワークからのインバウンドルーティング広報を保護することが最も重要です。 ASパスフィルターは、カスタマーネットワークに対し、 そのカスタマーの下流にどの自律システム(AS)があるかの明示を要求するために使用されることもあります。 また、プロバイダーがピアリングしているASの、 カスタマーネットワークによる広報をブロックするASパスフィルターは、 一部のタイプのルーティング「リーク」を防ぐことができます。 ASパスフィルターによるカスタマーBGP広報のフィルタリングだけでは、 システムレベルでの壊滅的なルーティング問題を防ぐには不十分です。
リファレンス
- Recommended Internet Service Provider Security Services and Procedures, Section Network Infrastructure - http://www.rfc-editor.org/bcp/bcp46.txt
- BGP operations and security - http://tools.ietf.org/html/draft-ietf-ops
- Border Gateway Protocol Security, NIST: Special Publication SP800K54 - http://csrc.nist.gov/publications/nistpubs/800K54/SP800K54.pdf
- Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure - http://tools.ietf.org/html/rfc3871
- Using RPSL in Practice - http://tools.ietf.org/html/rfc2650
- Using the RIPE Database as an Internet Routing Registry - https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-internet-routing-registry
- BGP Security Best Practices, FCC CSRIC III WG4 Final Report - https://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%202013.pdf
アクション3:グローバルな運用上のコミュニケーションと調整を促進する
ネットワークオペレーターは、最新の連絡先情報が、 適切なRIR(またはNIR)データベース、またはPeeringDB、 もしくはその両方に入力され、 維持されていることを確認する必要があります。 連絡先情報を公開することを強くお勧めしますが、 少なくともPeeringDBに登録されている他のネットワークオペレーターが利用できるようにしなくてはなりません。
ディスカッション
ネットワークオペレーターは、 それらが責任を負う各ASおよびネットブロックのNOC連絡先情報を登録し、 維持する必要があります。 これには、運用上の問い合わせが送信され、 48時間以内に返信されることが期待される電子メールアドレス、 電話番号、不正利用問い合わせ専用の電子メールアドレス(例:abuse-c)も含まれなければなりません。 ネットワークは、 IRRでルーティングポリシーを文書化することが推奨され、 PeeringDBレコードの適切なフィールドに追加情報(例:Looking Glass URL)を記載することを歓迎します。
リファレンス
- Using RPSL in Practice - http://tools.ietf.org/html/rfc2650
- PeeringDB - https://www.peeringdb.com/
- RADB - http://www.radb.net/
アクション4:グローバルな規模でのルーティング情報の円滑化-IRR
ネットワークオペレーターは、適切なRIRルーティングレジストリ、 RADB、またはRADBにミラーリングされたIRRに、 意図したルーティング広報を公に文書化する必要があります。 これには、 所有するネットワークで発信するAS番号とIPプリフィクスが含まれます。 また、トランジットサービスを提供しているネットワークも同様です。
ネットワークオペレーターは、 ルーティングポリシーを公に文書化することに代えて、 アクション 4:グローバルな規模でのルーティング情報の円滑化 - RPKI(以下に定義)を実施することもできます。
ディスカッション
グローバルスケールで他のネットワークによるルーティング情報の検証を容易にするために、 外部関係者に広報されることを目的としたAS番号とIPプリフィクスを含むルーティングポリシーに関する情報が必要です。 ルーティングポリシーは、 RADBによってミラーリングされたインターネットルーティングレジストリ(IRR)のいずれかでRPSLを使用して公に文書化することができます(AfriNIC、APNIC、ARIN、RIPEなど)。
ネットワークオペレーターは、 自動ツールがプリフィクスフィルターを生成するために使用できるよう、 外部関係者に広報することを意図したAS番号のリストを含む(最低でも)一つ以上の「as-set」のIRRオブジェクトを登録し、 維持する必要があります。 また、ネットワークオペレーターは、IRRの情報を維持して、 最新であることを確認する必要があります。
リファレンス
- Using RPSL in Practice - http://tools.ietf.org/html/rfc2650
- Using the RIPE Database as an Internet Routing Registry - https://labs.ripe.net/Members/denis/using-the-ripe-database-as-an-internet-routing-registry
5. 推奨されるアクション
アクション2:送信元IPアドレスなりすましによるトラフィックを防止 – フィルタリング
ネットワークオペレーターは、 所有するインフラストラクチャとそのエンドユーザー、 およびシングルホームドスタブカスタマーネットワークの送信元アドレスの検証を可能にするシステムを実装する必要があります。 これには、不正な送信元IPアドレスを持つパケットがネットワークに出入りしないようにするための、 なりすまし防止フィルタリングが含まれている必要があります。
ネットワークオペレーターは、CAIDA Spooferソフトウェアを使用して、 ネットワークが偽造された送信元IPアドレスを持つパケットを送信できるかどうかをテストする必要があります。 これは、ネットワークが分散型サービス拒否攻撃(DDoS)の発信に使用される可能性があるかどうかをネットワークオペレーターに警告すると同時に、 他のオペレーターがそのネットワークをチェックできるよう、 一般にアクセス可能な情報を生成します。
ディスカッション
この問題に対する一般的なアプローチには、 ケーブルモデムネットワークでのSAV (Source-Address Validation)または、 ルータネットワークでのstrict uRPF (unicast Reverse-Path Forwarding)検証などのソフトウェア機能が含まれます。 これらの方法は、ルーティングやトポロジーが、 比較的動的ではない場合の管理オーバーヘッドを削減することができます。 別のアプローチとして、 インバウンドプリフィクスフィルター情報を使用してパケットフィルターを作成し、 これにより、ネットワークが正当に到達性を広報できる送信元IPアドレスを持つパケットのみを許可するという方法もあります。
リファレンス
- CAIDA Spoofer Project - https://spoofer.caida.org/
- Network Ingress Filtering: Defeating Denial-of-Service Attacks which employ IP Source Address Spoofing - http://tools.ietf.org/html/bcp38
- Ingress Filtering for Multi-homed Networks - http://tools.ietf.org/html/bcp84
- Securing the Edge - http://www.icann.org/committees/security/sac004.txt
- RIPE Anti-Spoofing Task Force HOWTO - http://www.ripe.net/ripe/docs/ripe-431
- BGP Security Best Practices, FCC CSRIC III WG4FinalReport - http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%202013.pdf
アクション4:グローバルな規模でのルーティング情報の円滑化-RPKI
ネットワークオペレーターは、 正当に認可されて発信しようとする各IPプリフィクス、 またはプリフィクスのセットごとに、 有効なROA (Route Origin Authorizations)を作成する必要があります。
ディスカッション
グローバルスケールでの検証を円滑にする最もセキュアな方法は、 ルーティング広報を暗号的に検証できるRPKIシステムを使用することです。
ネットワークオペレーターは、 自身のIPプリフィクスを割り当てたRIRからRPKI証明書を取得し、 広報するIPプリフィクスに対応するROA (Route Origin Authorizations)を生成、 公開、および維持できます。 ネットワークオペレーターは、 カスタマーネットワークオペレーターにも同様に実施するよう促進する必要があります。
リファレンス
- Origin Validation Operation based on the Resource Public Key Infrastructure (RPKI) - http://www.rfc-editor.org/bcp/bcp185.txt
6. 適合要件
ネットワークオペレーターは、MANRS適合者として受け入れられ、 MANRS参加者となる資格を得るためには、通常、 このセクションで概説されている最低限の要件を満たさなければなりません。 ただし、いくつかの要件について100%満たすことができない正当な理由が存在することは認識されており、 適切な説明が提供された場合、例外が認められることがあります。
ASの少なくとも50%がMANRSに適合していれば、 ネットワークオペレーターはMANRS参加者になることができます。
アクション1:不正なルーティング情報の伝播を防ぐ
参加要件
ネットワークオペレーターは、 以下の内容の詳細な説明を提供する必要があります。
- プリフィクスフィルターを使用している場合、 どのような仕組みで生成していますか? 使っていない場合、どのような制御を使用していますか?
- それらのフィルターはどのくらいの頻度で更新していますか?
- カスタマーが広報しようとしているAS番号やIPブロックを、 正当に保有していることを確認している仕組みは何ですか?
- 最低3か月間、 インターネットのグローバルルーティングシステムでAS番号が見え、 IPプリフィクスを広報している必要があります。
- ASが、過去3ヶ月間、自身やそのカスタマーが、 発信することを正当に認可されていないAS番号や、 IPプリフィクスを広報していないこと。
継続的な要件
ネットワークオペレーターは、 自身やそのカスタマーが発信することを正当に認可されていないAS番号やIPプリフィクス、 もしくはその両方のアナウンスを防止する制御を維持し続ける必要があります。
アクション2:送信元IPアドレスなりすましによるトラフィックを防止
参加要件
ネットワークオペレーターは、 パブリックIPアドレスを使用した少なくとも二つのネットワークセグメントで、 CAIDA Spooferソフトウェアを実行する必要があり、 その結果がCAIDA Spooferデータベースに表示される必要があります。
継続的な要件
ネットワークオペレーターが継続的に、できれば自動化された方法で、 なりすまし対策チェックを実施することを要件とすることが提案されています。 これは、 より広範囲な適合性チェックソフトウェアスイートという形をとるかもしれません。
アクション3:グローバルな運用上のコミュニケーションと調整を促進する
参加要件
MANRS参加者になるための申請時に、 ネットワークオペレーターの連絡先情報が完全であるかをチェックされ、 申請書に記載されている指定の連絡先、または、その後、 MANRS Observatoryで更新された連絡先に確認メールが送信されます。 ネットワークオペレーターは、連絡先の詳細が正しいことを確認し、 コミュニケーションがアクティブに読み取られて応答されていることを示すために、 14日以内にこのコミュニケーションに返信する必要があります。
継続的な要件
連絡先の詳細の完全性を確認し、 その後3か月ごとに指定の連絡先に確認メールを送信することが提案されています。
アクション4:グローバルな規模でのルーティング情報の円滑化
参加要件
ネットワークオペレーターは、 他のネットワークに広報するすべてのAS番号とIPプリフィクスを含む公に文書化されたルーティングポリシーを持っているか、 発信することを正当に認可されているすべてのIPプリフィクスまたはプリフィクスのセットに対して有効なROA (Route Origin Authorizations) を作成している必要があります。
継続的な要件
ネットワークオペレーターは、 他のネットワークに広報する予定のすべてのAS番号とIPプリフィクスを継続して公に文書化することを確認するか、 発信することを正当に認可されているすべてのIPプリフィクスまたはプリフィクスのセットに対して有効なROA (Route Origin Authorizations)を作成する必要があります。
7. 最低限の基準の維持の失敗
ネットワークオペレーターは、 参加時にMANRSの原則に適合するだけでなく、 継続的に適合性を示し続けることが重要です。 インターネットのグローバルルーティングシステムのセキュリティと復元力の向上に対するMANRSの価値は、 参加者が少なくとも必須のアクションを実施し続けることによるものです。
間違いや誤検知が発生する可能性があること、 および問題が特定された場合はMANRS参加者に説明を提供し、 必要な是正措置を講じる機会を与える必要があることは十分に認識されています。 それでも、ネットワークオペレーターがルーティングセキュリティインシデントに対処できなかったり、 コミュニケーションにタイムリーに応答できなかったり、 持続的なMANRSアクションへの不適合を示す状況を処理するプロセスが必要です。
アクションごとの不適合の基準、是正措置をとるためのタイムライン、 および持続的な不適合の結果について、 さらに記述することが提案されています。
8. MANRS Observatory
MANRS Observatory (https://observatory.manrs.org/)は、 一般に公開されているデータソースからデータを照合して、 ルーティングインシデントを追跡し、 グローバルルーティングセキュリティの状態について概要を提供します。 このデータはリージョンや国・地域別に表示することもできますが、 MANRSの参加者は自分のネットワークに関するデータにアクセスすることができます。
MANRS Observatoryのデータは、 ネットワークオペレーターのMANRS準備レベルを決定するために使用されます。 各アクションについて、複合メトリックは、 三つの適合性の状態を定義します。 遅れている(非適合)、熱望している(軽微な改善が必要)、 そして準備完了。
計測のフレームワークと閾値は、
次の場所に記載されています。
https://observatory.manrs.org/#/about (Measurement Frameworkセクションの中)
9. 謝辞
Andrei Robachevsky, Kevin Meynell, David Belson, Jean-Michel Combes, Rich Compton
