Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RPKI勉強会/RPKIユーザBoF
Search
gree_tech
PRO
May 04, 2016
Technology
0
130
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
gree_tech
PRO
May 04, 2016
Tweet
Share
More Decks by gree_tech
See All by gree_tech
REALITY株式会社における開発生産性向上の取り組み: 失敗と成功から学んだこと
gree_tech
PRO
2
550
『ヘブンバーンズレッド』におけるフィールドギミックの裏側
gree_tech
PRO
2
260
セキュリティインシデント対応の体制・運用の試行錯誤 / greetechcon2024-session-a1
gree_tech
PRO
1
260
『アナザーエデン 時空を超える猫』国内海外同時運営実現への道のり ~別々で開発されたアプリを安定して同時リリースするまでの取り組み~
gree_tech
PRO
1
220
『アサルトリリィ Last Bullet』におけるクラウドストリーミング技術を用いたブラウザゲーム化の紹介
gree_tech
PRO
1
270
UnityによるPCアプリの新しい選択肢。「PC版 Google Play Games」への対応について
gree_tech
PRO
1
510
実機ビルドのエラーによる検証ブロッカーを0に!『ヘブンバーンズレッド』のスモークテスト自動化の取り組み
gree_tech
PRO
1
310
"ゲームQA業界の技術向上を目指す! 会社を超えた研究会の取り組み"
gree_tech
PRO
1
380
Jamstack でリニューアルするグリーグループのメディア
gree_tech
PRO
2
530
Other Decks in Technology
See All in Technology
レビューを増やしつつ 高評価維持するテクニック
tsuzuki817
1
700
TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜
fujiihda
2
240
Data-centric AI入門第6章:Data-centric AIの実践例
x_ttyszk
1
400
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
250
Swiftの “private” を テストする / Testing Swift "private"
yutailang0119
0
130
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
560
組織貢献をするフリーランスエンジニアという生き方
n_takehata
1
1.3k
7日間でハッキングをはじめる本をはじめてみませんか?_ITエンジニア本大賞2025
nomizone
2
1.8k
表現を育てる
kiyou77
1
210
モノレポ開発のエラー、誰が見る?Datadog で実現する適切なトリアージとエスカレーション
biwashi
6
800
AndroidXR 開発ツールごとの できることできないこと
donabe3
0
130
Amazon S3 Tablesと外部分析基盤連携について / Amazon S3 Tables and External Data Analytics Platform
nttcom
0
130
Featured
See All Featured
RailsConf 2023
tenderlove
29
1k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
Gamification - CAS2011
davidbonilla
80
5.1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
21
2.5k
KATA
mclloyd
29
14k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Being A Developer After 40
akosma
89
590k
Agile that works and the tools we love
rasmusluckow
328
21k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.4k
Transcript
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. Why donʼt you try RPKI? (RPKIをなぜ試せないのか︖) 開発本部 データセンターチーム マネージャー ⿊河内 倫
Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流⾏らないのか︖ 3. まとめ ⽬次
Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利⽤しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる⼿段が欲しい RPKIに期待
Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を⽐較し
その結果を⽤いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖
Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると⼤きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと⾔うと、 ⾃Prefixがハイジャックされているかが重要 ただOutboundTrafficも⾮常に⼤事である 大きな要因と思われる2つのこと
Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE
Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい
Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を⾏う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、⼀旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を⾏いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応
Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある ⾃社のクラウドサービス ⾃社コーポレイトサイト
問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に⼈⼒で対応していくのではなく、”RPKI”のような システムで検知/停⽌できるインターネットに皆でしていきたい 規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている
Copyright © GREE, Inc. All Rights Reserved. 3. まとめ
Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利⽤度も低い状態である
利⽤度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか?
Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか︖
Copyright © GREE, Inc. All Rights Reserved. Why donʼt you
try RPKI? (なぜRPKIを試さないのか︖)
Copyright © GREE, Inc. All Rights Reserved. When do you
try RPKI? (いつやるのか︖)
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved.
gree_tech
tsuzuki817
fujiihda
x_ttyszk
parupappa2929
yutailang0119
hirohito1108
n_takehata
nomizone
kiyou77
biwashi
donabe3
nttcom
tenderlove
csswizardry
davidbonilla
eileencodes
mclloyd
productmarketing
zakiyama
caitiem20
yeseniaperezcruz
akosma
rasmusluckow
paulrobertlloyd
