Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
0
200

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016
Tweet

More Decks by gree_tech

See All by gree_tech
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
Avatar for gree_tech gree_tech
PRO
0
130
REALITY株式会社における開発生産性向上の取り組み: 失敗と成功から学んだこと
Avatar for gree_tech gree_tech
PRO
2
1.8k
『ヘブンバーンズレッド』におけるフィールドギミックの裏側
Avatar for gree_tech gree_tech
PRO
2
600
セキュリティインシデント対応の体制・運用の試行錯誤 / greetechcon2024-session-a1
Avatar for gree_tech gree_tech
PRO
1
610
『アナザーエデン 時空を超える猫』国内海外同時運営実現への道のり ~別々で開発されたアプリを安定して同時リリースするまでの取り組み~
Avatar for gree_tech gree_tech
PRO
1
570
『アサルトリリィ Last Bullet』におけるクラウドストリーミング技術を用いたブラウザゲーム化の紹介
Avatar for gree_tech gree_tech
PRO
1
650
UnityによるPCアプリの新しい選択肢。「PC版 Google Play Games」への対応について
Avatar for gree_tech gree_tech
PRO
1
1k
実機ビルドのエラーによる検証ブロッカーを0に!『ヘブンバーンズレッド』のスモークテスト自動化の取り組み
Avatar for gree_tech gree_tech
PRO
1
680
"ゲームQA業界の技術向上を目指す! 会社を超えた研究会の取り組み"
Avatar for gree_tech gree_tech
PRO
1
800

Other Decks in Technology

See All in Technology
CSPヘッダー導入で実現するWebサイトの多層防御:今すぐ試せる設定例と運用知見
Avatar for llamakko llamakko
1
200
20250718_ITSurf_“Bet AI”を支える文化とコストマネジメント
Avatar for helosshi helosshi
1
210
BEYOND THE RAG🚀 ~とりあえずRAG?を超えていけ! 本当に使えるAIエージェント&生成AIプロダクトを目指して~ / BEYOND-THE-RAG-Toward Practical-GenerativeAI-Products-AOAI-DevDay-2025
Avatar for Junya Miyake jnymyk
4
230
なぜAI時代に 「イベント」を中心に考えるのか? / Why focus on "events" in the age of AI?
Avatar for yuuki takezawa ytake
2
530
ecspressoの設計思想に至る道 / sekkeinight2025
Avatar for FUJIWARA Shunichiro fujiwara3
9
1.3k
Turn Your Community into a Fundraising Catalyst for Black Philanthropy Month
Avatar for Auctria auctria
PRO
0
120
「現場で活躍するAIエージェント」を実現するチームと開発プロセス
Avatar for takuya kikuchi tkikuchi1002
6
1k
Microsoft Defender XDRで疲弊しないためのインシデント対応
Avatar for Kunii, Suguru sophiakunii
3
400
RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発
Avatar for Sho Nakatani laysakura
1
390
Talk to Someone At Delta Airlines™️ USA Contact Numbers
Avatar for seahorse75930 travelcarecenter
0
170
少人数でも回る! DevinとPlaybookで支える運用改善
Avatar for ishikawa-pro ishikawa_pro
1
220
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
Avatar for Takashi Shinohara karamem0
0
130

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
109
19k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
A better future with KSS
Avatar for Kyle Neath kneath
238
17k

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why donʼt you try RPKI? (RPKIをなぜ試せないのか︖) 開発本部 データセンターチーム マネージャー ⿊河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流⾏らないのか︖ 3. まとめ ⽬次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利⽤しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる⼿段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を⽐較し

    その結果を⽤いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると⼤きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと⾔うと、 ⾃Prefixがハイジャックされているかが重要 ただOutboundTrafficも⾮常に⼤事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を⾏う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、⼀旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を⾏いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある ⾃社のクラウドサービス ⾃社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に⼈⼒で対応していくのではなく、”RPKI”のような システムで検知/停⽌できるインターネットに皆でしていきたい 規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利⽤度も低い状態である

    利⽤度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか︖

  15. Copyright © GREE, Inc. All Rights Reserved. Why donʼt you

    try RPKI? (なぜRPKIを試さないのか︖)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか︖)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.