インターネットレジストリにおけるレジストリデータの保護と応用

(1)

RIR/JPNICにおける電子認証技術と

インターネット経路制御のセキュリティ向

上に関する動向

木村泰司

(2)

2

2 内容

• RIR/JPNICにおける電子認証技術

• インターネット経路制御のセキュリティ向上に向け

た取り組み

(3)

RIR/JPNICにおける電子認証技術

(4)

4

4 IPアドレスハイジャック

Copyright � 2001- 2004 Completewhois Project

手続きを含めて登録者認証は重要

(5)

RIRとJPNICにおける電子認証（ユーザ認証）

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

ユーザ認

証の方式

パスワード電子証明書（ X.509）パスワード PGP X.509 (Mail-from) PGP X.509 MD5-PW PGPKEY X.509 CRYPT-PW MD5-PW PGPKEY X.509 パスワード

申請方式

電子メール Web 電子メール Web 電子メール電子メール Web 電子メール Web Web

2008年11月現在

Mail-fromはほぼ使われていない

CRYPT-PWはなくなりつつある

JPNICではパスワードも廃止予定

(6)

6

6 IPアドレスに関わる申請業務の形態

（メールとWeb）

パスワード

GPG/MIME

S/MIME

TLS/SSL

(7)

RIRとJPNICにおける認証局の構築

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

認証局の運

用

○

○ －

－

ユーザ認証

用電子証明

書

2005/9

2002/9

2004/4

2003/5

2005/2

－

利用用途

TLS client

S/MIME

TLS

client,

S/MIME

TLS

client,

S/MIME

－

2008年11月現在

TLSもしくはS/MIMEで利用

RIR/JPNICが認証局を運用

(8)

8

8 JPNICにおける電子証明書を用いた

ユーザ認証

JPNIC

資源管理者

資源申請者

Web申請システム

指定事業者契約に

基づく「資源管理カード」

電子メールと

オフライン確認に

基づく電子証明書

証明書認証ID

の有効性

(9)

JPNICにおける電子証明書を用いた

ユーザ認証

(10)

インターネット経路制御のセキュリティ向上に

向けた取り組み

(11)

YouTubeのASに対する経路ハイジャック

• 2008年2月24日18:47～21:03 UTC

• 別のOrigin ASによる経路広告

• more specific route(/24)

• 経路広告が止まるまで復旧せず

• RIPE NCCにおける分析

– 「YouTube Hijacking: A RIPE NCC RIS case study」

http://www.ripe.net/news/study-youtube-hijacking.html

– 「BGPPlay and „The Youtube Incident‟ - As Seen Through RIS」

（RIPE-56）

(12)

12 インターネット経路制御のセキュリティ向上に

向けた取り組み

• Internet Routing Registry

(13)

Internet Routing Registry

• 経路制御ポリシーを登録するためのレジストリ

システム

– 目的

• 自組織や他組織のオペレーターと経路制御ポリシー

を共有すること

– 主な用途

• 自ASの経路制御ポリシーを登録しておき、他のASの

経路フィルターなどの設定変更の時に参照してもらう

– IXPやトランジットプロバイダー

– 経路フィルターを設定しているAS

(14)

14

Internet Routing Registry

• ISPや任意団体によって運用されているIRR/RR

– RADb、Level3、OCNIRR、IIJなど、、

• RIR/JPNICにおいて運用されているIRR

– RIPE NCC – RIPE whoisd

– APNIC IRR

– ARIN IRR

– JPIRR

2002年以降、RIRにおけるIRRの運

用が開始してきた

（RIPE NCCはwhoisdにおいて統合

されており運用されてきた）

(15)

Internet Routing Registry – トピック

• RIPE NCC

– MyASN

– Proposal 2008-04

– draft-kisteleki-sidr-rpsl-sig-00

• APNIC

– RPKIと連携？

• JPIRR

– 経路ハイジャック情報通知実験

– 経路情報の登録認可機構利用実験

(16)

16

RPKI

• Resource PKI (Public-Key Infrastructure)

– IPアドレスやAS番号といったアドレス資源（

Resource）の割り振りや割り当てを表現するため

のPKI

• リソース証明書

– アドレス資源の利用権利を示す電子証明書

• IPアドレスやAS番号が記載される

(17)

リソース証明書

RIR: Regional Internet Registry

KRNIC

CNNIC TWNIC NIR: National Internet Registry

ICANN/IANA

ISP事業者 ISP事業者

LIR: Local Internet Registry RIPE NCC

AfriNIC APNIC ARIN LACNIC

割り振り割り振り割り振り WHOISデータベースユーザ組織割り当て

IPアドレス

IPアドレスの一意性を保証し経路制御の適応性を向上させる仕組み

リ

ソ

ー

ス

証

明

書

(18)

18

18 RPKIの役割

• IPアドレスの利用権利を確認するための認証基

盤（RPKI）

(19)

RPKIの動向

Resource Cert.

ROA Verification of ROA/BOA repository Allocation database CA in LIR

store

Protocols: RIR-LIR, RIR-RIR

Issue

CRL etc… Resource CA

Issue

retrieve

Decisions on prefixes

RFC3779 RIR’s scope sidr-roa-format-04 Pmohapat-sidr-pfx-validate-00 sidr-roa-validation-01 Prototype/beta system in APINC, RIPE NCC, ARIN?

routers

Route obj. in IRR

RIPE 2008-04

BOA

sidr-bogons-02 Digital sign.

in IRR

Kisteleki-sidr-rpsl-sig-00

sidr-res-cert-14 sidr-repos-struct-01 sidr-rescerts-provisioning-03 Prefix hijacking

JPNIC

IRR tools

(20)

20

20 ここまでのまとめ

• RIRとJPNICにおける電子認証技術

– RIRとJPNICにおいて認証局を構築

– 申請業務で電子証明書を用いたユーザ認証を導入

• インターネット経路制御のセキュリティ向上に向けた取

り組み

– RIRやJPNICにおいてRRを運用

– 新しい認証基盤としてResource PKIの策定/開発

– リソース証明書は目下策定中、課題もある

(21)

(22)

22

JPNICで取り組んでいること

• 経路ハイジャック情報通知実験

(23)

経路ハイジャック情報通知実験

• 目的

– JPIRR登録者に経路ハイジャック情報を通知することで、登録情報

更新を促し、JPIRR登録情報の正確性向上

• 概要

– JPIRRの登録情報と異なる経路情報を「経路ハイジャックが疑われ

る状況」として検出

– その検知結果を希望するJPIRR登録者へ通知

• 実験期間

– 2008年5月21日(水) ～ 2009年3月31日(火)

• 実験に参加頂ける方

– JPIRRにメンテナーオブジェクトを登録いただいている方

• 情報

– http://jpirr.nic.ad.jp/

(24)

24

24 経路情報の登録認可機構

(25)

開発の背景

IPレジストリシステム

_IRR

IPアドレスの照合は

行われていない

IRRには不適切なprefixが登録される可能性がある。

不適切なIPアドレス：他のISPのprefix、未割り振りのprefix

⇒ これでは、登録しさえすれば「使える」

(26)

26

許可リスト

26 割り振り先組織（IP指定

事業者）がメンテナーを

指定する

(27)

routeオブジェクトの登録制限

指定されたprefixだけが、

routeオブジェクトとして

登録可能

(28)

28

28 導入の意義

• 経路広告を意識したIPアドレス管理業務

– IPアドレスハイジャックや経路ハイジャックの被

害を減らすために役立つよう、登録情報を整え

る

– 「許可リスト」でIPアドレスとASの管理者とを結び

つける

• RPKI

(29)

まとめ

• RIRとJPNICにおける電子認証技術

– RIRとJPNICにおいて認証局を構築

– 申請業務で電子証明書を用いたユーザ認証を導入

• インターネット経路制御のセキュリティ向上に向けた取

り組み

– RIRやJPNICにおいてRRを運用

– 新しい認証基盤としてResource PKIの策定/開発

• JPNICにおける取り組み

– 経路奉行を用いた経路ハイジャック検知

– JPIRRに不適切なprefixが登録されることを防ぐ「経路情報の登録認

インターネットレジストリにおける レジストリデータの保護と応用

RIR/JPNICにおける電子認証技術と

インターネット経路制御のセキュリティ向

上に関する動向

木村 泰司

2

2

内容

• RIR/JPNICにおける電子認証技術

• インターネット経路制御のセキュリティ向上に向け

た取り組み

RIR/JPNICにおける電子認証技術

4

4

IPアドレスハイジャック

Copyright � 2001- 2004 Completewhois Project

手続きを含めて登録者認証は重要

RIRとJPNICにおける電子認証（ユーザ認証）

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

ユーザ認

証の方式

申請方式

2008年11月現在

Mail-fromはほぼ使われていない

CRYPT-PWはなくなりつつある

JPNICではパスワードも廃止予定

6

6

IPアドレスに関わる申請業務の形態

（メールとWeb）

パスワード

GPG/MIME

S/MIME

TLS/SSL

RIRとJPNICにおける認証局の構築

JPNIC

APNIC

ARIN

RIPE

NCC

AfriNIC

LACNIC

認証局の運

用

○

○

○

○

－

－

ユーザ認証

用電子証明

書

2005/9

2002/9

2004/4

2003/5

2005/2

－

利用用途

TLS client

TLS client

S/MIME

TLS

client,

S/MIME

TLS

client,

S/MIME

－

2008年11月現在

TLSもしくはS/MIMEで利用

RIR/JPNICが認証局を運用

8

インターネットレジストリにおけるレジストリデータの保護と応用

木村泰司

– 経路情報の登録認可機構利用実験