インターネットレジストリにおける レジストリデータの保護と応用

30 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

RIR/JPNICにおける電子認証技術と

インターネット経路制御のセキュリティ向

上に関する動向

木村 泰司

(2)

Copyright © 2008 Japan Network Information Center

2

Copyright © 2008 Japan Network Information Center

2

内容

• RIR/JPNICにおける電子認証技術

• インターネット経路制御のセキュリティ向上に向け

た取り組み

(3)

RIR/JPNICにおける電子認証技術

(4)

Copyright © 2008 Japan Network Information Center

4

Copyright © 2008 Japan Network Information Center

4

IPアドレスハイジャック

Copyright � 2001- 2004 Completewhois Project

手続きを含めて登録者認証は重要

(5)

RIRとJPNICにおける電子認証(ユーザ認証)

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

ユーザ認

証の方式

パスワード 電子証明書( X.509) パスワード PGP X.509 (Mail-from) PGP X.509 MD5-PW PGPKEY X.509 CRYPT-PW MD5-PW PGPKEY X.509 パスワー ド

申請方式

電子メール Web 電子メール Web 電子メール 電子メール Web 電子メール Web Web

2008年11月現在

Mail-fromはほぼ使われていない

CRYPT-PWはなくなりつつある

JPNICではパスワードも廃止予定

(6)

Copyright © 2008 Japan Network Information Center

6

Copyright © 2008 Japan Network Information Center

6

IPアドレスに関わる申請業務の形態

(メールとWeb)

パスワード

GPG/MIME

S/MIME

TLS/SSL

(7)

RIRとJPNICにおける認証局の構築

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

認証局の運

ユーザ認証

用電子証明

2005/9

2002/9

2004/4

2003/5

2005/2

利用用途

TLS client

TLS client

S/MIME

TLS

client,

S/MIME

TLS

client,

S/MIME

2008年11月現在

TLSもしくはS/MIMEで利用

RIR/JPNICが認証局を運用

(8)

Copyright © 2008 Japan Network Information Center

8

Copyright © 2008 Japan Network Information Center

8

JPNICにおける電子証明書を用いた

ユーザ認証

JPNIC

資源管理者

資源申請者

Web申請システム

指定事業者契約に

基づく「資源管理カード」

電子メールと

オフライン確認に

基づく電子証明書

証明書認証ID

の有効性

(9)

JPNICにおける電子証明書を用いた

ユーザ認証

(10)

インターネット経路制御のセキュリティ向上に

向けた取り組み

(11)

YouTubeのASに対する経路ハイジャック

• 2008年2月24日18:47~21:03 UTC

• 別のOrigin ASによる経路広告

• more specific route(/24)

• 経路広告が止まるまで復旧せず

• RIPE NCCにおける分析

– 「YouTube Hijacking: A RIPE NCC RIS case study」

http://www.ripe.net/news/study-youtube-hijacking.html

– 「BGPPlay and „The Youtube Incident‟ - As Seen Through RIS」

(RIPE-56)

(12)

Copyright © 2008 Japan Network Information Center

12

インターネット経路制御のセキュリティ向上に

向けた取り組み

• Internet Routing Registry

(13)

Internet Routing Registry

• 経路制御ポリシーを登録するためのレジストリ

システム

– 目的

• 自組織や他組織のオペレーターと経路制御ポリシー

を共有すること

– 主な用途

• 自ASの経路制御ポリシーを登録しておき、他のASの

経路フィルターなどの設定変更の時に参照してもらう

– IXPやトランジットプロバイダー

– 経路フィルターを設定しているAS

(14)

Copyright © 2008 Japan Network Information Center

14

Internet Routing Registry

• ISPや任意団体によって運用されているIRR/RR

– RADb、Level3、OCNIRR、IIJなど、、

• RIR/JPNICにおいて運用されているIRR

– RIPE NCC – RIPE whoisd

– APNIC IRR

– ARIN IRR

– JPIRR

2002年以降、RIRにおけるIRRの運

用が開始してきた

(RIPE NCCはwhoisdにおいて統合

されており運用されてきた)

(15)

Internet Routing Registry – トピック

• RIPE NCC

– MyASN

– Proposal 2008-04

– draft-kisteleki-sidr-rpsl-sig-00

• APNIC

– RPKIと連携?

• JPIRR

– 経路ハイジャック情報通知実験

– 経路情報の登録認可機構 利用実験

(16)

Copyright © 2008 Japan Network Information Center

16

RPKI

• Resource PKI (Public-Key Infrastructure)

– IPアドレスやAS番号といったアドレス資源(

Resource)の割り振りや割り当てを表現するため

のPKI

• リソース証明書

– アドレス資源の利用権利を示す電子証明書

• IPアドレスやAS番号が記載される

(17)

リソース証明書

RIR: Regional Internet Registry

KRNIC

CNNIC TWNIC NIR: National Internet Registry

ICANN/IANA

ISP事業者 ISP事業者

LIR: Local Internet Registry RIPE NCC

AfriNIC APNIC ARIN LACNIC

割り振り 割り振り 割り振り WHOISデータベース ユーザ組織 割り当て

IPアドレス

IPアドレスの一意性を保証し経路制御の適応性を向上させる仕組み

(18)

Copyright © 2008 Japan Network Information Center

18

Copyright © 2008 Japan Network Information Center

18

RPKIの役割

• IPアドレスの利用権利を確認するための認証基

盤(RPKI)

(19)

RPKIの動向

Resource Cert.

ROA Verification of ROA/BOA repository Allocation database CA in LIR

store

Protocols: RIR-LIR, RIR-RIR

Issue

CRL etc… Resource CA

Issue

retrieve

Decisions on prefixes

RFC3779 RIR’s scope sidr-roa-format-04 Pmohapat-sidr-pfx-validate-00 sidr-roa-validation-01 Prototype/beta system in APINC, RIPE NCC, ARIN?

routers

Route obj. in IRR

RIPE 2008-04

BOA

sidr-bogons-02 Digital sign.

in IRR

Kisteleki-sidr-rpsl-sig-00

sidr-res-cert-14 sidr-repos-struct-01 sidr-rescerts-provisioning-03 Prefix hijacking

JPNIC

IRR tools

(20)

Copyright © 2008 Japan Network Information Center

20

Copyright © 2008 Japan Network Information Center

20

ここまでのまとめ

• RIRとJPNICにおける電子認証技術

– RIRとJPNICにおいて認証局を構築

– 申請業務で電子証明書を用いたユーザ認証を導入

• インターネット経路制御のセキュリティ向上に向けた取

り組み

– RIRやJPNICにおいてRRを運用

– 新しい認証基盤としてResource PKIの策定/開発

– リソース証明書は目下策定中、課題もある

(21)
(22)

Copyright © 2008 Japan Network Information Center

22

Copyright © 2008 Japan Network Information Center

22

JPNICで取り組んでいること

• 経路ハイジャック情報通知実験

(23)

経路ハイジャック情報通知実験

• 目的

– JPIRR登録者に経路ハイジャック情報を通知することで、 登録情報

更新を促し、JPIRR登録情報の正確性向上

• 概要

– JPIRRの登録情報と異なる経路情報を「経路ハイジャックが疑われ

る状況」 として検出

– その検知結果を希望するJPIRR登録者へ通知

• 実験期間

– 2008年5月21日(水) ~ 2009年3月31日(火)

• 実験に参加頂ける方

– JPIRRにメンテナーオブジェクトを登録いただいている方

• 情報

– http://jpirr.nic.ad.jp/

(24)

Copyright © 2008 Japan Network Information Center

24

Copyright © 2008 Japan Network Information Center

24

経路情報の登録認可機構

(25)

開発の背景

IPレジストリシステム

IRR

IPアドレスの照合は

行われていない

IRRには不適切なprefixが登録される可能性がある。

不適切なIPアドレス: 他のISPのprefix、未割り振りのprefix

⇒ これでは、登録しさえすれば「使える」

(26)

Copyright © 2008 Japan Network Information Center

26

許可リスト

Copyright © 2008 Japan Network Information Center

26

割り振り先組織(IP指定

事業者)がメンテナーを

指定する

(27)

routeオブジェクトの登録制限

指定されたprefixだけが、

routeオブジェクトとして

登録可能

(28)

Copyright © 2008 Japan Network Information Center

28

Copyright © 2008 Japan Network Information Center

28

導入の意義

• 経路広告を意識したIPアドレス管理業務

– IPアドレスハイジャックや経路ハイジャックの被

害を減らすために役立つよう、登録情報を整え

– 「許可リスト」でIPアドレスとASの管理者とを結び

つける

• RPKI

(29)

まとめ

• RIRとJPNICにおける電子認証技術

– RIRとJPNICにおいて認証局を構築

– 申請業務で電子証明書を用いたユーザ認証を導入

• インターネット経路制御のセキュリティ向上に向けた取

り組み

– RIRやJPNICにおいてRRを運用

– 新しい認証基盤としてResource PKIの策定/開発

• JPNICにおける取り組み

– 経路奉行を用いた経路ハイジャック検知

– JPIRRに不適切なprefixが登録されることを防ぐ「経路情報の登録認

可機構」

(30)

Copyright © 2008 Japan Network Information Center

30

Copyright © 2008 Japan Network Information Center

参照

• 経路情報の登録認可機構

– http://www.nic.ad.jp/ja/research/ca/routereg-outline/

• IRRd

– http://www.irrd.net/

• Internet Routing Registry Toolset Project

– https://www.isc.org/software/IRRtoolset

• (AfriNIC) supporting documents

– http://www.afrinic.net/documents.htm#supporting

• (RIPE NCC) RIPE Database Update Reference Manual

– http://www.ripe.net/db/support/update-reference-manual.pdf

• (RIPE NCC) Routing Registry Training Courses Material

– http://www.ripe.net/training/rr/material/

Updating...

参照

Updating...

関連した話題 :