JPNICロゴ

「RPKI入門」はじまります ~顧客や利用者のIPアドレスを誤用から守るために~

投稿者 event_team on 2017年4月14日

ke-ro_round3.png 国際的に導入が進みつつあるRPKI(リソースPKI)。JPNICでは2015年3月から国内における試験提供が始まり、今年で3年目を迎えました。この度、2017年4月27日(木)と6月27日(火)に「RPKI入門」と題し最新動向やBGPSECの仕組み、ROA (Route Origin Authorization)の作成や管理について学び&体験できる無料のハンズオンセミナーを開催します!講師を務めるJPNIC技術部の木村泰司に、RPKIの最新動向や、どのようなことを学べるのか、そしてセミナーの内容について聞きました。


----まず、本セミナーで解説する「RPKI」とはどのような技術なのでしょうか?

kimura.png

木村:
インターネットで使われているIPアドレスは、JPNICのようなレジストリで分配されています。これまでは、あるIPアドレスが正しく分配されたものなのかどうかを調べるためには、レジストリのWHOISサーバを使う必要がありました。インターネットで使われているIPアドレスは膨大であるため、BGP (Border Gateway Protocol)で交換されるIPアドレスが正しいものであるかどうかをいちいち調べることは不可能であるとともに、BGPのピア先が使うIPアドレスも正しいものと信じられてきたと思います。インターネットはいわば善意のネットワークだったわけです。

しかし近年は違ってきました。自社に割り当てられたIPアドレスを勝手に使ってスパムペールが送られたといったことが報告されています。アメリカでは、本来アメリカ国内で閉じるはずのトラフィックが東ヨーロッパを経由していたといったこともありました。

これがもし、DNSサーバや重要なWebサーバのIPアドレスであったら大変なことです。サーバのなりすましだけでなく、大規模な通信傍受が国際的に行われてしまう可能性があるわけです。

このような、ネットワーク的に分散して使われているIPアドレスの正しさを確認する基盤がRPKIです。RPKIはレジストリのデータベースに基づいて、リソース証明書と呼ばれる、IPアドレスやAS番号が記載された電子証明書を提供するものです。地域インターネットレジストリ(RIR)では2008年頃から提供されており、JPNICではリソース証明書を利用する実装が整ってきた2015年に試験的な提供を始めました。

----- IPアドレスやAS番号が正しいことを証明できるということですね。「RPKI」はインターネット経路の問題にどう利用できるのでしょうか?

木村:
RPKIを使うと、膨大な経路情報にあるIPアドレス、実際にはアドレスプリフィクスが、レジストリから正しく分配されたものかどうかをチェックできます。分配された先に証明書が発行されている点がポイントで、分配されていないIPアドレスを見つけるような用途はあまり想定されていません。

分配された先のネットワーク管理者の方は、リソース証明書の鍵ペアを使うことができるため、IPアドレスがどのASで使われているのかを示すROA (Route Origination Authorization) というデータに、デジタル署名を付けることができます。デジタル署名が付いているので、インターネットのように国際的に配布されても、途中で書き換えられていないことが確認できます。

IPアドレスが他のネットワーク、具体的には世界のどこかのASで使われたとき、BGPで伝搬してくる経路の情報とROAとの間で違いが出てきます。ROAの方が正しいはずですので、世界のどこでも「本来のASと違うぞ」「IPアドレスが誤用されているぞ」と気づくことができるわけです。ネットワーク管理者の方は、そのような経路情報を無視するように設定することで、本来のIPアドレスを持つネットワークと通信できるように戻すことができます。

----- 既にIRR (Internet Routing Registry)や経路奉行*1といった技術もありますが、それらとの違いは何でしょうか?

木村:
IRRはインターネット経路情報が登録されるデータベースで、インターネット経路制御担当者の方に長らく使われてきたシステムです。IRRに登録された情報に基づいてインターネットの経路情報と照合し、本来のASと異なる経路情報が検知されたときに通知するのが経路奉行です。

IRRは、IRRの検索結果に出てくるIPアドレスが、レジストリから分配された 通りになっていないことがあります*2。また、なかなか情報が更新されないために古くなってしまい、不正な経路を見つけるためにも使えなくなってきていることが指摘されています。

RPKIは、IPアドレスの分配先がリソース証明書の発行を受け、それを使ってROAを作成するため、IPアドレスの情報は正しいことになります。しかし、IRRのように経路制御の担当者が登録するわけではないので、これまでは経路制御の担当者が意識していればよかったAS番号のことを、IPアドレス管理の担当者が知っていなければなりません。また経路制御の運用業務にはIRRが長らく使われてきたために、ROAを扱う業務を新しく組み入れなければならないといった課題があります。

ROA.png IPアドレスの担当者がROAを作成する

----- なるほど、IRRの問題点を克服したインターネット経路制御のセキュリティ技術として期待されているのが、RPKIとROAということですね。RPKIやROAはどのくらい普及が進んでいるのでしょうか?

木村:

こちらの図は、各RIRの普及状況を表したものです。

RPKI-adoption.png http://rpki.surfnet.nl/perrir.htmlから引用

ROAによってカバーされるIPアドレスの割合が、一番高いのはLACNICです。また、RIPE地域は二番目に高く、近年増加の傾向にあります。一方で、APNIC地域の普及率は現時点では他のRIRに比べて低く、日本を含めて普及が期待されています。

ROAが登録されていなければ、そもそも国際的に数多く運用されているルータにおいて経路情報と照合することができず、IPアドレスが誤用されても気づくことさえできないことになります。

----- 最後に、今回のハンズオンセミナーでは具体的にどのようなことを解説するか教えてください。

木村:

本セミナーでは最初に、さきほど少しご紹介した、近年グローバルに起きているインターネット経路制御に関わるインシデントについて解説します。そして、BGPSECの仕組みやそれらの技術的な関わりについて解説した後、ハンズオンで実機を触ってもらいながら、Origin Validationで使われるROAの作成と管理について体験していただきます。

RPKIやROAの導入を検討している方に、3時間で最新動向からROAの管理まで習得していただけるようなセミナーを目指しますので、ぜひご参加ください!

----- ありがとうございました。参加費は無料なので、少しでもRPKIに興味のある方にはぜひ参加していただきたいですね!


本セミナーの詳しい日時は下記の通りです。お申し込みはこちらまで!
https://www.nic.ad.jp/ja/tech/seminar/

「RPKI入門~BGPSECと最新動向、ROAの管理まで~」
日時 2017年4月27日(木)16:30~18:30
2017年6月27日(火)16:30~18:30
対象 割り当てられたIPアドレスを使ったネットワーク到達性に興味を持っている方
RPKIやROAの導入を検討している方
内容 BGPのAS間ルーティングにおけるセキュリティ技術BGPSECに関して学ぶことのできる講座です。 誤ったIPアドレスの利用を検知することのできるBGPSECの"経路広告元の検証"(Origin Validation)は、 国際的に導入が進みつつあります。 本講座では、 はじめにグローバルに起きているインターネット経路制御に関わるインシデントとBGPSECの仕組み、 それらの技術的な関わりについて解説します。 またOrigin Validationで使われるROA (Route Origin Authorization)の作成と管理について要点などを紹介します。
参加費 無料

RPKIを導入する前にBGPについて詳しく知りたいという方には、「RPKI入門」と同日開催の「BGPインターネットルーティング」(ハンズオンセミナー)がお勧めです。

紹介記事:
JPNIC技術セミナーを開催しました! ~注目講座「BGPインターネットルーティング」のご紹介~

「BGPインターネットルーティング」
日時 2017年4月27日(木)13:00~16:00
2017年6月27日(火)13:00~16:00
対象 IPとターミナル操作に関する基礎知識を持つ方。
BGPルーティングについて理解を深めたい方
内容 BGPルーティングに関する研修カリキュラムを提供します。具体的には、ルーティングとは、インターネットへ参加するということ、パケットが往復する仕組みを解説し、トランジット接続とIX接続を疑似環境を使って体験します。また、経路情報に関する監視や何か問題が発生したときの解析ツールも体験し、付加的情報(4octet AS、 経路制御のマインド)とIRRなどBGPを利用する際の周辺技術についても実践します。最後に、活用されつつあるRPKIについても解説します。
参加費 特別価格 20,000円(税込)
一般価格 40,000円(税込)

 


*1 旧Telecom-ISAC Japan 経路情報共有ワーキンググループ(BGP-WG)とJPNICにおいて提供されてきた経路ハイジャック監視システムです。

*2 RIPE NCCが運営しているレジストリデータベースには、IRRの機能があります。このデータベースの登録は、IPアドレスの割り振り先がユーザー認証された上で行われるので、IPアドレスの情報も正しいと言えます。