MANRSへの参加表明
tech_team インターネットの技術ISOCでは、2014年9月より、” MARNS(Mutually Agreed Norm for Routing Security)”という、ルーティングセキュリティの維持向上を目的とした活動を行っています。
MANRSでは、ルーティングセキュリティに関する活動をいくつかのActionに分けて、それぞれに賛同、サポートする事業者から活動への参加申請を受け付けています。
申請は、https://www.manrs.org/ より行う事ができます。
JPNICもルーティングセキュリティの維持向上のサポートを行っておりますので、先日参加申請を行い、諸対応の結果、2019年4月17日に無事受理されました。
現在では、参加者ページ(https://www.manrs.org/isps/participants/)より、JPNICがサポートするMANRSのActionをご確認いただけます。
参加のメリットとしては、この登録が商業的な差別ポイントになることを期待するというメッセージもAPRICOTの場などでありましたが、より具体的なものとして、MANRS Observatoryというルーティングセキュリティに関する諸情報を分析するためのダッシュボードページが用意されているようです。こちらは近日公開予定とのことです。
APRICOTでの関連資料
FIRST TC4 (https://2019.apricot.net/assets/files/APKS756/201902-manrs-first%20tc_1551247384.pdf)
当記事では、実際に皆様がMANRSへ申請していただく際のご参考のために、JPNICにて申請を行った際の模様をお知らせいたします。
まず、現在のMANRSには、ネットワークオペレーターとIXPの二つのプログラムがあり、参加への要件も異なっています。JPNICはネットワークオペレーターとして、参加申請を行いました。
まず、組織名やWEBサイトのURL、などを入力します。
ここでMANRS WEBページに掲示する為のロゴをアップロードしますので、その用意や、登録する担当者を決めておく必要があります。また、国の指定や、AS番号の入力も行いますので、大きなネットワークを運用されている場合はその登録内容の整理も必要になるかもしれません。
入力フォームは英語で用意されていますが、そのほかの言語で入力を行ってもよいようです。
申請に際しては、Filtering、Anti-spoofing、Coordination、Global Validationの4つのActionに対し、どれにサポートを表明するかを決めておく必要があります。
また、表明したプログラムに対しては、それぞれ具体的にどのように守っているかを説明する必要があります。
JPNICでは、英文で申請したこともあり、説明用の文言を用意してから申請に当たりました。一部、後の審査もありましたが、申請時は短文でも問題ありませんでした。
また、JPNICは利用しませんでしたが、WEBページに公開するコメントを記述する事もできるようです。
それぞれ、表明するに当たっての条件は、以下のページに記述があります。
実際の申請内容について以下に記載します。一例としてご参照いただければ幸いです。前述の通り、英文に拘る必要はないと考えられます。
Action 1: Prevent propagation of incorrect routing information.
*Has your organization implemented Action 1?*
* Yes, we prevent propagation of incorrect routing information.
*Description of Action 1 (Confidential)*
We operating AS as Internet registry. We did not have customer network.
We only announce our resource and those resources maintained by IRR and
ROA.
Action 2: Prevent traffic with spoofed source IP addresses.
*Has your organization implemented Action 2?*
* Yes, we prevent traffic with spoofed source IP addresses.
*Describe your implementation of Action 2. (Confidential)*
We are maintain ACL for only permit source IP address with our prefixs.
Action 3: Facilitate global operational communication and coordination between network operators.
*Has your organization implemented Action 3?*
* Yes, we facilitate global operational communication and coordination between network operators.
*Describe your implementation of Action 3. (Confidential)*
We are operating JPIRR and JPRPKI system.
We are maintained our resource by JPIRR and we made ROAs on our RPKI system.
Action 4: Facilitate validation of routing information on a global scale.
*Has your organization implemented Action 4?*
* Yes, we facilitate validation of routing information on a global scale.
*Describe your implementation of Action 4. (Confidential)*
We submitted our information on Peering DB.
それぞれのActionへの表明を行うと、最後に、Testimonial、MANRSのWEBに記載する紹介文を記述する事ができます。こちらは必要がなければ省略することが出来ます。
申請時に記入した公開情報は、以下の参加者ページに掲載されます。
https://www.manrs.org/isps/participants/entry/687/
最後にメーリングリストへの参加を希望するかを選んで登録完了です。直近のメーリングリストでは、MANRS Observatoryに関する情報や、RIPE Meetingでのセッションの案内などがやり取りされていますので、ご興味があれば登録されてみてはいかがでしょうか。申請者のメールアドレスが登録されましたが、アドレスはMailmanで変更することが出来ました。
さて、申請後のチェックですが、数日のうちにISOCのMANRSの担当者より連絡がありました。
ということで、Anti-Spoofingについて問題が指摘され、NWの修正対応が必要となりました。
実は、JPNICでは、Internet Week 2018で会場NWを提供した際に、CAIDAのAnti-spoofingテストでSpoofing可能という評価を受けてしまっていたのですが、これを指摘されたものです。
上記のメールは、JANOG MLに月次レポートが送付されているものです。
イベント用のNW向けであったこともあり、対応の優先度を下げてしまっていたのですが、これを機に設定が抜けてしまっていたルータでACLの修正を行いました。
MANRSのHPには、実装例のガイドもありますので、参考にする事も可能です。
https://www.manrs.org/isps/guide/antispoofing/
修正後、MANRSの申請が認められ、ホームページにて参加表明が公開されました。JANOGへのメールでも修正が確認できました。
なお、JPNICでは一部、過去の経緯により、ROAを登録せずに利用しているアドレスがあるのですが、こちらもAction 4を宣言するにあたり指摘がありました。現在は必須ではないという位置づけですが、今後は宣言にあたって、登録が必要になるかもしれません。
RIPE Stats(https://stat.ripe.net/2515#tabId=routing)より
2019年5月28日時点で、156ものISP、32ものIXPが参加表明をしているMANRS、ルーティングセキュリティを支えていく上での意思表示として、是非ご参加をご検討いただければ幸いです。
MANRSの紹介は、7月に神戸で開催されるJANOG44にもプログラムの応募を行っております。会場にて皆様と議論させていただければ幸いです。