ニュースレターNo.55/2013年11月発行
JANOG “RPKIルーティングを試す会”と RPKIに関わる活動報告
本稿では、JPNICのRPKIに関わる活動、とりわけ2013年1月から7月にかけて活動したJANOGの“RPKIルーティングを試す会”に関わる活動を紹介します。
RPKIとは、IPアドレスやAS番号といったアドレス資源が記載された電子証明書をレジストリが発行することで、インターネットの経路情報などでIPアドレスが正しいものかどうかの確認に利用できる技術です。
Resource PKIの動向, IPA, 2008年
http://www.ipa.go.jp/security/fy20/reports/tech1-tg/2_09.html
2012年にはリソース証明書を発行する認証局のソフトウェアから、ルータにおける対応に至るまで、一連の実装が試せる状況になってきました。オープンソースソフトウェアのRPKI Toolsが比較的簡単に使えるように整ってきたのも2012年です。
RPKI Tools
http://rpki.net/
なぜRRKIを試すのか 〜今まで行ってきた活動の紹介〜
RPKIは、インターネットにおける経路情報の正しさを、ルータにおいて半自動的に判別できる点が注目されています。これについて2012年前半のRIPEミーティングでは、AS運用の自律性が失われてしまうのではないか、そしてRPKIシステムのセキュリティの影響範囲が大きいのではないかといった懸念事項が挙げられました。
第64回RIPEミーティング報告[後編] RPKIとルーティングに関する動向
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2012/vol969.html
またRPKIの仕組みが複雑であることから、どのように運用すべきなのか、わかっていないことが多い状況です。
JPNICではRPKIの標準化動向やRIRにおける導入状況を調査研究してきましたが、技術仕様が分かっていても、どのように導入したら使いやすいのか、といったことは分かりません。そこで、いくつかのISP事業者の方々に相談し、実際にIPアドレスの業務を担当されている方や、技術者の方に使っていただくことにしました。そしてその活動を広げるために考えられたのが、JANOGのワーキンググループ“RPKIルーティングを試す会”です。以下にその活動の経過を紹介し、見えてきた導入の課題を簡単に解説します。
○ “RPKIルーティングを試す会”とは
RPKIルーティングを試す会は、これらのRPKIの実装を動かしてみて、構造や運用のポイントなどについて情報共有することを目標としたJANOGのWGです。2013年1月から7月にかけての半年間で「RPKIハッカソン」「RPKIハンズオン」「RPKIセッション」という3種類の活動を行いました。ハッカソン、ハンズオンは体験型のイベントで、ディスカッションを通じて課題点を挙げるといった活動を行いました。
JANOG RPKIルーティングを試す会 WGについて
http://www.janog.gr.jp/wp/rpki-routing-wg/about-wg/
(1) RPKIハッカソン
RPKIハッカソンは、RPKIの実装についての資料が比較的少ない中で、サーバ環境やネットワーク環境が用意できる方を対象に、2回行われました。ソフトウェア開発者による、いわゆる“ハッカソン”と同様の位置付けでした。
RPKIハッカソン開催のご案内(2013年1月23日(水) 15:00-18:30 IIJ会議室)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1053.html
RPKIハッカソン2回目やります!(2013年2月20日(水) 10:30-18:00 JPNIC会議室)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1058.html
ハッカソンでは、ネットワークや認証局ソフトウェアの不具合に何度も見舞われ、一部の参加者しか一連の動作を確認ができませんでした。RPKI Toolsの開発者が毎回来日し、逐次修正を加えていくことで、第2回のハッカソンでは全員がRPKIを使ったBGPルータにおける状態画面を見ることができたものの、その場でのディスカッションには至りませんでした。この頃にJANOG31ミーティングでのBoFで議論が行われました。
RPKIハッカソンの経過と感想(JANOG31 BoF)
http://www.janog.gr.jp/meeting/janog31/program/RPKI.html
(2) RPKIハンズオン
RPKIハッカソンの後、より“一連の動作を体験する”ことに注目したのがRPKIハンズオンです。二つの勉強会で時間をいただいて開催することになりました。
ENOG20 Meeting(新潟)(2013年4月26日(金) 13:00-17:00)
http://enog.jp/archives/902
電力系NCC勉強会(仙台)(2013年5月17日(金) 10:00-13:00)
RPKIハンズオンは、前半にRPKIを知るための勉強会を行い、後半に実際の動作を体験する形にしてみました。特に後半は、あらかじめ必要なソフトウェアがインストールされた仮想マシンを使って、ステップバイステップでコマンド入力などを行いました。
このような形式としたのは、前述したようにハッカソンではソフトウェアインストールから行ったため、環境によっては、うまく動くまでに時間がかかってしまったからです。これでは後日参加者ご自身の環境で検証しようと思っても、糸口がないという状況になりかねません。
また、その場で動作していないものを、あとから自社で技術検証しようという気持ちにはなりにくいと考えました。一方で、いったん全体像がわかってしまえば、インストールや設定自体はそれほど難しくはないと考え、雛形の設定ファイルを提供することとしました。
JANOG32における「RPKIセッション」と「RPKI routing WG報告」
2013年7月にはJANOG32において、チュートリアルとして「RPKIセッション」と、“RPKIルーティングを試す会”の活動報告として「RPKI routing WG報告」の二つのセッションを行いました。
RPKI セッション | JANOG32 Meeting(2013年7月3日(水) 13:00-18:30 JANOG32チュートリアル(大阪))
http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html
RPKI routing WG報告 | JANOG32 Meeting(2013年7月5日(金) 15:10-16:00 RPKI routing WG報告)
http://www.janog.gr.jp/meeting/janog32/program/rpki.html
RPKIセッションは、RIRのミーティングなどで同様のセッションを開かれている、Randy Bush氏によるハンズオン形式のセミナーでした。RPKI routing WG報告の時間には、これまでの活動を通じて見えてきた、RPKIルーティングの全体像や導入の具体的な課題が紹介されました。
見えてきたRPKIルーティング導入の課題
RPKIルーティングは、BGPを使って伝播していく経路情報のうち、間違ったもの、具体的には本来のIPアドレスの割り当て先とは異なるAS(Autonomous System)による、間違った経路情報を途中でフィルタリングし、インターネット全体から見て局所化することのできる技術であると言えます。これまでのハンズオンやJANOG32におけるWGのセッションで議論されてきたことを踏まえ、RPKIルーティングの導入にあたっての課題をまとめてみたいと思います。
(1) RPKIのリソース証明書とROAに関わる業務に関する課題
RPKIを使うためには、JPNICのIPレジストリシステムやJPIRRに加えて、ISP等のIPアドレスの割り振り先組織によって、リソース証明書を発行、またAS番号が記載されたROA(Route Origination Authorization)が発行される必要があります。つまり、ISP等におけるIPアドレスの管理を担当されている方や、場合によってはIPアドレスの割り当てを受けている顧客が、インターネットとの接続性を持つためのAS番号を知っていて、なんらかの形でROAを発行する必要が出てくることになります。果たしてこれをどう実現するのかが課題です。
(2) BGPを使ったルーティングの安定運用に関する課題
リソース証明書やROAを使った検証結果がInvalid、すなわち無効となるような経路が多数見つかっても、ある程度安定してBGPを使ったルーティングが継続される必要があると考えられます。また、RPKIを使った正しい経路情報を、適切に途切れないようにBGPルータに供給する仕組みも必要になってくると考えられ、それらの検討が課題です。
課題点が具体的に見えてきたことで、今後は、どう使いやすくしていくのか、効果を高くできるのかという方向の議論ができるようになってきたのではないでしょうか。WGの活動にご参加いただいた皆様のおかげです。
JPNICでは、GUIを使ってRPKIのROAを発行したり、RPKI対応のルータで“RPKIルーティング”を試したりできる実験環境を運用しております。アカウントをご希望の方は、以下までお問い合わせください。
JPNIC RPKI利用実験担当
<ca-query@nic.ad.jp>
(JPNIC 技術部/インターネット推進部 木村泰司)
(JPNIC 技術部 岡田雅之)