===================================
__
/P▲ ◆ JPNIC News & Views vol.547【臨時号】2008.5.26 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.547 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.543に引き続き、第56回RIPEミーティング報告[第2弾]として、
RIR NCCにおけるセキュリティ動向に関するレポートをお届けします。
○[第1弾] 全体会議報告
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol543.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第56回RIPEミーティング報告 [第2弾] RIPE NCCにおけるセキュリティ動向
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 概要
第56回RIPEミーティングでは、RIPE NCCのリソース証明書(*1)に関して大きな
動きがありました。RIPE NCCでリソース証明書に関わる検討を行ってきた
CA-TF(Certification Task Force)から、1年後の第57回RIPEミーティングまで
に、リソース証明書をproductionレベルのサービスとして提供できるように準
備するという発表があったのです。
これまでRIPE NCCは、APNICやARINの開発プロジェクトに参加しつつ、リソー
ス証明書の影響範囲などの検討をしてきましたが、いよいよリソース証明書を
"発行するため"の検討に入りました。さらに、RIPEにおけるリソース証明書発
行の考え方をまとめたポリシー提案も行われています。
本稿では、RIPE NCCにおけるリソース証明書の動向とともに、IRR関連の話題
についても報告したいと思います。
(*1)リソース証明書は、IPアドレスとAS番号の利用権利を示す電子証明書で、
2004年6月に発行されたRFC3779(http://www.ietf.org/rfc/rfc3779.txt)
でその構造が提案されています。
◆ RIPE NCCにおけるリソース証明書の意義
リソース証明書はIETFのPKIX WGとSIDR WGで提案され、APNICが中心となって
開発が行われてきました。今回のPlenaryでは、このようにRIPE以外で提案や
実装が行われてきたリソース証明書に対して、RIPE NCCとして取り組む意義が
明確化されました。その内容から、RIPE NCCのメンバーに対するサービスの一
環として位置づけられていることがわかります。Plenaryで紹介された、RIPE
NCCとしての意義を、以下に示します。
A.メンバーにとってのリソース証明書は、第三者に対する割り振りの証明
である。
B.RIRの間でリソース移管を可能にする標準技術になりうる。
C.リソース証明書自体による資源の確認を可能にする。
D.将来的に経路制御のセキュリティに役立つ。
Aに関する説明の中で、リソース証明書の使い方が示されました。RIPE NCCの
LIRであるアドレスホルダー(アドレスの割り振りを受けたもの)が、そのアド
レスの割り当て先を、インターネットに接続できるようにするときの使い方で
す。アドレスホルダーが経路制御を行うISPに対してリソース証明書を提示す
ることで、IPアドレスの正しい割り振り先であることを示します。
Bは、APNICやARIN、AfriNICなど、複数のRIRでリソース証明書の検討が進んで
いることから、RIR間のリソースの移管を行うための技術として、標準的な位
置づけになるであろう、という考え方があるようです。
Cは、他のRIRであまり明文化されていないことですが、あるアドレスが本当に
そのネットワークに割り振られているものであるかどうかを確認する手段とし
てリソース証明書を主として使う、というものです。IPアドレスの割り振り/
割り当てに関する専門知識とRIRのWHOISを駆使しなくても、証明書が有効かど
うかをチェックするだけで、任意のIPアドレスが正しい割り振りであるかどう
かがわかる、ということです。WHOISの情報が最新かどうかわからないような
場合、例えば再々割り振りが行われていても、証明書さえあれば正しいかどう
かがわかることになります。
Dは、IETFのSIDR WG(*2)で提案されているROA(Route Origination
Authorization)オブジェクトの生成に利用できるという点です。ROAは、アド
レスホルダーが特定のASに対して「当該アドレスの経路制御を認可する」とい
う意味を持っている、電子署名つきのデータです。リソース証明書を持つもの
だけが正しいROAを発行できるため、ルータがROAを検証できるようになると、
不正なアドレスを経路広告するようなタイプの経路ハイジャックを、ルータ
で検知できることになります。
◆ RIPE NCCにおけるリソース証明書の現状と今後
リソース証明書を実際に発行してみることができる、テストプログラムの提供
が2008年5月から開始されています。これは、RIPE NCCにおけるWebベースの申
請システムである、"LIR Portal"の中で使えるものです。発表資料によると、
リソース証明書の他に、ROAを発行する機能も持っています。
このテストプログラムは、今後、希望者に対して2008年9月まで提供され、毎
月操作を行ってもらいつつ、フィードバックを反映していくような活動が行わ
れる模様です。
また3日目のAddress Policy WGでは、"Initial Certification Policy
Proposal"と題してCA-TFから発表があり、申請を行ったLIRや、PAに対してリ
ソース証明書が発行されること、一つのLIRには複数のプリフィクスが入った
一つのリソース証明書が発行されることなどが提案されていました。会場で
は、証明書の有効期限が切れるとBGPで経路情報が伝達されなくなってしまう
のかといった、ISPにおけるリソース証明書への依存度合いに関する議論が行
われていました。今後、PIホルダー(プロバイダ非依存アドレスの割り当て先)
に関する追記などを行い、正式なポリシー提案が行われる模様です。
◆ RIPE NCCにおけるIRRの関連動向
Plenaryの最初に、リソース証明書とIRRを結びつける、興味深いポリシー提案
がありました。これはPolicy Proposal 2008-04(*3)で、ROAに基づいたroute
オブジェクトが登録される、新しいIRRを立ち上げる提案です。
Policy Proposal 2008-04では、IRRの更新業務におけるセキュリティが確保さ
れておらず、登録される情報の信頼性が低いという問題が指摘されています。
そこで新たに別のIRRを構築し、リソース証明書の業務スキームを用いて、発
行されたROAをrouteオブジェクトとして登録し、既存のIRRと同様のツールで
使えるようにすることが提案されています。今回は会場での議論はほとんどな
く、今後は、Routing WGで議論が継続されます。発案者のRuediger Volk氏に
よると、この新たなIRRに、リソース証明書に基づいたinetnumオブジェクトや
inet6numオブジェクトを登録することは、今のところ考えていないようです。
あくまで正しいrouteオブジェクトを、既存のツールが使えるIRRで提供するこ
とを考えている、とのことでした。
この他に4日目のDatabase WGで、エヌ・ティ・ティ・コミュニケーションズ
株式会社の白崎泰弘氏によって、RIPE NCCのDatabaseソフトウェア(RIPE
Database Server(*4))の信頼性を向上させる改良に関する発表が行われていま
した。発表資料によると、同社では、RIPE Database Serverを用いて、IRR
データベースを複数拠点に分散化するシステムの開発が行われています。複数
のデータベースクラスターで同期を取るためのモジュールを開発したり、ダ
ウンタイムの最小化やSQL文の最適化などを行ったりした結果が報告されまし
た。今後、このプログラムコード(パッチ)は、RIPE NCCに提供されるそうで
す。
(*2)IETF SIDR WG
http://www.ietf.org/html.charters/sidr-charter.html
(*3)RIPE Policy Proposal 2008-04
http://www.ripe.net/ripe/policies/proposals/2008-04.html
(*4)RIPE Database Server
http://www.ripe.net/db/cvs-bugzilla.html
◇ ◇ ◇
RIS(*5)のページが面白くなっています。インターネットの経路情報に関する
可視化ツールが増えてきました。経路広告の統計情報を一つのページで見せる
AS dashboardは、まだテスト段階のようですが、自分のASや気になるASの歴史
を簡単に知ることができます。全体会議報告(*6)で紹介したBGPlayやMyASN
は、RISのToolsのところにリンクがあります。
MyASNといえば、JPNICでも経路ハイジャック情報通知(*7)の実験が始まりまし
た。AS番号をお持ちの方は両方試されてみてはいかがでしょうか。
次回の第57回RIPEミーティングは、2008年10月26日~30日にかけて、アラブ首
長国連邦のドバイで行われる予定です。
(*5)Routing Information Service (RIS)
http://www.ripe.net/projects/ris/
(*6)JPNIC News & Views vol.543
第56回RIPEミーティング報告 [第1弾] 全体会議報告
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol543.html
(*7)Telecom-ISAC Japan 経路奉行とJPIRR間の連携実験について
http://www.nic.ad.jp/ja/ip/irr/jpirr_exp.html
※ご意見・ご感想をお待ちしております。
jpnic-news@nic.ad.jp
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.547 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2008 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
