Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
0
240

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016
Tweet

More Decks by gree_tech

See All by gree_tech
変わるもの、変わらないもの :OSSアーキテクチャで実現する持続可能なシステム
Avatar for gree_tech gree_tech
PRO
0
1.3k
マネジメントに役立つ Google Cloud
Avatar for gree_tech gree_tech
PRO
0
24
今この時代に技術とどう向き合うべきか
Avatar for gree_tech gree_tech
PRO
3
2.3k
生成AIを開発組織にインストールするために: REALITYにおけるガバナンス・技術・文化へのアプローチ
Avatar for gree_tech gree_tech
PRO
0
130
安く・手軽に・現場発 既存資産を生かすSlack×AI検索Botの作り方
Avatar for gree_tech gree_tech
PRO
0
120
生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント
Avatar for gree_tech gree_tech
PRO
1
680
あうもんと学ぶGenAIOps
Avatar for gree_tech gree_tech
PRO
0
210
MVP開発における生成AIの活用と導入事例
Avatar for gree_tech gree_tech
PRO
0
230
機械学習・生成AIが拓く事業価値創出の最前線
Avatar for gree_tech gree_tech
PRO
0
170

Other Decks in Technology

See All in Technology
AIにおける自由の追求
Avatar for Shuji Sado shujisado
1
210
【ASW21-02】STAMP/CAST分析における生成AIの支援 ~羽田空港航空機衝突事故を題材として (Support of Generative AI in STAMP/CAST Analysis - A Case Study Based on the Haneda Airport Aircraft Accident -)
Avatar for Hiroyuki.Anraku hianraku9498
2
390
タグ付きユニオン型を便利に使うテクニックとその注意点
Avatar for uhyo uhyo
1
140
How native lazy objects will change Doctrine and Symfony forever
Avatar for Benjamin Eberlei beberlei
1
240
.NET 10 のパフォーマンス改善
Avatar for neno nenonaninu
2
1.8k
Pandocでmd→pptx便利すぎワロタwww
Avatar for meow meow_noisy
2
1.1k
プロダクト負債と歩む持続可能なサービスを育てるための挑戦
Avatar for SansanTech sansantech
PRO
1
1.1k
オープンデータの内製化から分かったGISデータを巡る行政の課題
Avatar for 室木直樹 naokim84
2
830
IPv6-mostly field report from RubyKaigi 2026
Avatar for Sorah Fukumori sorah
0
230
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.2k
IaC を使いたくないけどポリシー管理をどうにかしたい
Avatar for kazzpapa3 kazzpapa3
1
180
生成AIシステムとAIエージェントに関する性能や安全性の評価
Avatar for shibuiwilliam shibuiwilliam
2
280

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
1
63
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.3k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.1k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why donʼt you try RPKI? (RPKIをなぜ試せないのか︖) 開発本部 データセンターチーム マネージャー ⿊河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流⾏らないのか︖ 3. まとめ ⽬次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利⽤しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる⼿段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を⽐較し

    その結果を⽤いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると⼤きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと⾔うと、 ⾃Prefixがハイジャックされているかが重要 ただOutboundTrafficも⾮常に⼤事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を⾏う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、⼀旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を⾏いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある ⾃社のクラウドサービス ⾃社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に⼈⼒で対応していくのではなく、”RPKI”のような システムで検知/停⽌できるインターネットに皆でしていきたい 規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利⽤度も低い状態である

    利⽤度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか︖

  15. Copyright © GREE, Inc. All Rights Reserved. Why donʼt you

    try RPKI? (なぜRPKIを試さないのか︖)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか︖)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.