メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1107【臨時号】2013.7.23 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1107 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

IPアドレスレジストリであるJPNICでは、ルーティングセキュリティの向上に
積極的に取り組んでいます。本号では、その一環であるリソースPKIに関する
活動についてご紹介します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ JANOG "RPKIルーティングを試す会"とRPKIに関わる活動報告
                           JPNIC 技術部/インターネット推進部 木村泰司
                                                 JPNIC 技術部 岡田雅之
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、JPNICのRPKIに関わる活動、とりわけ2013年1月から7月にかけて活
動したJANOGの"RPKIルーティングを試す会"に関わる活動を紹介します。

RPKIとは、IPアドレスやAS番号といったアドレス資源が記載された電子証明
書をレジストリが発行することで、インターネットの経路情報などでIPアド
レスが正しいものかどうかの確認に利用できる技術です。

  Resource PKIの動向, IPA, 2008年
  http://www.ipa.go.jp/security/fy20/reports/tech1-tg/2_09.html

2012年にはリソース証明書を発行する認証局のソフトウェアから、ルータに
おける対応に至るまで、一連の実装が試せる状況になってきました。オープ
ンソースソフトウェアのRPKI Toolsが比較的簡単に使えるように整ってきた
のも2012年です。

   RPKI Tools
   http://rpki.net/


◆ なぜRRKIを試すのか ~今まで行ってきた活動の紹介~

RPKIは、インターネットにおける経路情報の正しさを、ルータにおいて半自
動的に判別できる点が注目されています。これについて2012年前半のRIPEミー
ティングでは、AS運用の自律性が失われてしまうのではないか、そしてRPKI
システムのセキュリティの影響範囲が大きいのではないかといった懸念事項
が挙げられました。

  第64回RIPEミーティング報告[後編] RPKIとルーティングに関する動向
  https://www.nic.ad.jp/ja/mailmagazine/backnumber/2012/vol969.html

またRPKIの仕組みが複雑であることから、どのように運用すべきなのか、わ
かっていないことが多い状況です。

JPNICではRPKIの標準化動向やRIRにおける導入状況を調査研究してきました
が、技術仕様が分かっていても、どのように導入したら使いやすいのか、と
いったことは分かりません。そこで、いくつかのISP事業者の方々に相談し、
実際にIPアドレスの業務を担当されている方や、技術者の方に使っていただ
くことにしました。そしてその活動を広げるために考えられたのが、JANOGの
ワーキンググループ"RPKIルーティングを試す会"です。以下にその活動の経
過を紹介し、見えてきた導入の課題を簡単に解説します。

  ○ "RPKIルーティングを試す会"とは

    RPKIルーティングを試す会は、これらのRPKIの実装を動かしてみて、構
    造や運用のポイントなどについて情報共有することを目標としたJANOGの
    WGです。2013年1月から7月にかけての半年間で「RPKIハッカソン」
    「RPKIハンズオン」「RPKIセッション」という3種類の活動を行いまし
    た。ハッカソン、ハンズオンは体験型のイベントで、ディスカッション
    を通じて課題点を挙げるといった活動を行いました。

     JANOG RPKIルーティングを試す会 WGについて
     http://www.janog.gr.jp/wp/rpki-routing-wg/about-wg/

  (1) RPKIハッカソン

    RPKIハッカソンは、RPKIの実装についての資料が比較的少ない中で、サー
    バ環境やネットワーク環境が用意できる方を対象に、2回行われました。
    ソフトウェア開発者による、いわゆる"ハッカソン"と同様の位置付けで
    した。

     RPKIハッカソン開催のご案内(2013年1月23日(水) 15:00-18:30 IIJ会議
     室)
     https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1053.html

     RPKIハッカソン2回目やります!(2013年2月20日(水) 10:30-18:00
     JPNIC会議室)
     https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1058.html

    ハッカソンでは、ネットワークや認証局ソフトウェアの不具合に何度も
    見舞われ、一部の参加者しか一連の動作を確認ができませんでした。
    RPKI Toolsの開発者が毎回来日し、逐次修正を加えていくことで、第2回
    のハッカソンでは全員がRPKIを使ったBGPルータにおける状態画面を見る
    ことができたものの、その場でのディスカッションには至りませんでし
    た。この頃にJANOG31ミーティングでのBoFで議論が行われました。

     RPKIハッカソンの経過と感想 (JANOG31 BoF)
     http://www.janog.gr.jp/meeting/janog31/program/RPKI.html

  (2) RPKIハンズオン

    RPKIハッカソンの後、より"一連の動作を体験する"ことに注目したのが
    RPKIハンズオンです。二つの勉強会で時間をいただいて開催することに
    なりました。

     ENOG20 Meeting 開催のお知らせ(2013年4月26日(金) 13:00-17:00
     ENOG20(新潟))
     http://enog.jp/archives/902

     2013年5月17日(金) 10:00-13:00 電力系NCC勉強会(仙台)

    RPKIハンズオンは、前半にRPKIを知るための勉強会を行い、後半に実際
    の動作を体験する形にしてみました。特に後半は、あらかじめ必要なソ
    フトウェアがインストールされた仮想マシンを使って、ステップバイス
    テップでコマンド入力などを行いました。

    このような形式としたのは、前述したようにハッカソンではソフトウェ
    アインストールから行ったため、環境によっては、うまく動くまでに時
    間がかかってしまったからです。これでは後日参加者ご自身の環境で検
    証しようと思っても、糸口がないという状況になりかねません。

    また、その場で動作していないものを、あとから自社で技術検証しよう
    という気持ちにはなりにくいと考えました。一方で、いったん全体像が
    わかってしまえば、インストールや設定自体はそれほど難しくはないと
    考え、雛形の設定ファイルを提供することとしました。


◆ JANOG32における「RPKIセッション」と「RPKI routing WG報告」

2013年7月にはJANOG32において、チュートリアルとして「RPKIセッション」
と、"RPKIルーティングを試す会"の活動報告として「RPKI routing WG報告」
の二つのセッションを行いました。

     RPKI セッション | JANOG32 Meeting (2013年7月3日(水) 13:00-18:30
     JANOG32チュートリアル(大阪))
     http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html

     RPKI routing WG報告 | JANOG32 Meeting(2013年7月5日(金)
     15:10-16:00 RPKI routing WG報告)
     http://www.janog.gr.jp/meeting/janog32/program/rpki.html

RPKIセッションは、RIRのミーティングなどで同様のセッションを開かれてい
る、Randy Bush氏によるハンズオン形式のセミナーでした。RPKI routing WG
報告の時間には、これまでの活動を通じて見えてきた、RPKIルーティングの
全体像や導入の具体的な課題が紹介されました。


◆ 見えてきたRPKIルーティング導入の課題

RPKIルーティングは、BGPを使って伝播していく経路情報のうち、間違ったも
の、具体的には本来のIPアドレスの割り当て先とは異なるAS (Autonomous
System)による、間違った経路情報を途中でフィルタリングし、インターネッ
ト全体から見て局所化することのできる技術であると言えます。これまでの
ハンズオンやJANOG32におけるWGのセッションで議論されてきたことを踏ま
え、RPKIルーティングの導入にあたっての課題をまとめてみたいと思います。

  (1) RPKIのリソース証明書とROAに関わる業務に関する課題

    RPKIを使うためには、JPNICのIPレジストリシステムやJPIRRに加えて、
    ISP等のIPアドレスの割り振り先組織によって、リソース証明書を発行、
    またAS番号が記載されたROA (Route Origination Authorization)が発行
    される必要があります。つまり、ISP等におけるIPアドレスの管理を担当
    されている方や、場合によってはIPアドレスの割り当てを受けている顧
    客が、インターネットとの接続性を持つためのAS番号を知っていて、な
    んらかの形でROAを発行する必要が出てくることになります。果たしてこ
    れをどう実現するのかが課題です。

  (2) BGPを使ったルーティングの安定運用に関する課題

    リソース証明書やROAを使った検証結果がInvalid、すなわち無効となる
    ような経路が多数見つかっても、ある程度安定してBGPを使ったルーティ
    ングが継続される必要があると考えられます。また、RPKIを使った正し
    い経路情報を、適切に途切れないようにBGPルータに供給する仕組みも必
    要になってくると考えられ、それらの検討が課題です。

課題点が具体的に見えてきたことで、今後は、どう使いやすくしていくのか、
効果を高くできるのかという方向の議論ができるようになってきたのではな
いでしょうか。WGの活動にご参加いただいた皆様のおかげです。

                    ◇            ◇            ◇

JPNICでは、GUIを使ってRPKIのROAを発行したり、RPKI対応のルータで"RPKI
ルーティング"を試したりできる実験環境を運用しております。アカウントを
ご希望の方は、以下までお問い合わせください。

   JPNIC RPKI利用実験担当
   <ca-query@nic.ad.jp>


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1107/f25ebbe87d17bbdbcc288e127b3b5daa┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1107/259d41aad7b056223b389124ca6b3ecd┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1107 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2013 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.