RPKI勉強会/RPKIユーザBoF

Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流⾏らないのか︖ 3. まとめ⽬次

Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的弊社は事業上、⽇本の携帯キャリアへの通信が多い携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利⽤しているため、1Prefixあたりのユーザ数は多いそのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きいもし、Mis-Originationされた経路がBGPで広報されても何かしらの形で対応できる⼿段が欲しい RPKIに期待

Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること他ASのPrefixがMis-Originationされた際の対応が可能具体的にはROAサーバの情報とBGPで受診した経路を⽐較し
その結果を⽤いて、attributeを書き換えることができる守れるもの守れないもの⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり

Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がないプロダクション環境で防御できた実績があると⼤きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定するどっちかと⾔うと、⾃Prefixがハイジャックされているかが重要ただOutboundTrafficも⾮常に⼤事である大きな要因と思われる2つのこと

Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間にハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE

Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なしそのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しいコンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため乗っ取られるリスクを事前に回避したい

Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、接続事業者、キャリアなどに連絡を⾏う必要があるハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測されるその場合は、⼀旦国内キャリアにFilterのお願いすることになるが、契約のあるキャリアであれば緊急依頼を⾏いやすいが、契約のないキャリアには依頼がしずらい仮にグリーがハイジャックされた場合の対応無理のある対応

Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある⾃社のクラウドサービス⾃社コーポレイトサイト
問い合わせForm/Webでの申し込みサイトコンテンツ事業者だけの話ではない有事の際に⼈⼒で対応していくのではなく、”RPKI”のようなシステムで検知/停⽌できるインターネットに皆でしていきたい規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている

Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はないしかし知名度/利⽤度も低い状態である
利⽤度が低い理由は実績が少ないことにあると思われるセキュリティ関連の技術の場合、事例や法的な整備が出ない限りはなかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか？

RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

gree_tech
PRO

More Decks by gree_tech

Other Decks in Technology

Featured

Transcript

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへのモチベーション

Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的弊社は事業上、⽇本の携帯キャリアへの通信が多い携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること他ASのPrefixがMis-Originationされた際の対応が可能具体的にはROAサーバの情報とBGPで受診した経路を⽐較し

Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖

Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がないプロダクション環境で防御できた実績があると⼤きい

Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間にハイジャックをされた場合 ISP1

Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なしそのため、下記の様な名前の偽装も必要がない http://www.gree.net/

Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、接続事業者、キャリアなどに連絡を⾏う必要があるハイジャックされた出元のキャリアに連絡が容易につけば、

Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある⾃社のクラウドサービス⾃社コーポレイトサイト

Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はないしかし知名度/利⽤度も低い状態である

Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、いまあるプロトコルを使いたおしてみてはどうでしょうか︖

Copyright © GREE, Inc. All Rights Reserved. Why donʼt you

Copyright © GREE, Inc. All Rights Reserved. When do you

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,