Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RPKI勉強会/RPKIユーザBoF
Search
gree_tech
PRO
May 04, 2016
Technology
0
200
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
gree_tech
PRO
May 04, 2016
Tweet
Share
More Decks by gree_tech
See All by gree_tech
LLM翻訳ツールの開発と海外のお客様対応等への社内導入事例
gree_tech
PRO
0
28
ヘブンバーンズレッドのレンダリングパイプライン刷新
gree_tech
PRO
0
24
ヘブンバーンズレッドにおける、世界観を活かしたミニゲーム企画の作り方
gree_tech
PRO
0
23
「魔法少女まどか☆マギカ Magia Exedra」のグローバル展開を支える、開発チームと翻訳チームの「意識しない協創」を実現するローカライズシステム
gree_tech
PRO
0
27
「魔法少女まどか☆マギカ Magia Exedra」での負荷試験の実践と学び
gree_tech
PRO
0
29
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
gree_tech
PRO
0
31
ヒューリスティック評価を用いたゲームQA実践事例
gree_tech
PRO
0
27
ライブサービスゲームQAのパフォーマンス検証による品質改善の取り組み
gree_tech
PRO
0
26
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
gree_tech
PRO
0
140
Other Decks in Technology
See All in Technology
『FailNet~やらかし共有SNS~』エレベーターピッチ
yokomachi
1
170
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.6k
AIエージェント就活入門 - MCPが履歴書になる未来
eltociear
0
660
[CV勉強会@関東 CVPR2025 読み会] MegaSaM: Accurate, Fast, and Robust Structure and Motion from Casual Dynamic Videos (Li+, CVPR2025)
abemii
0
200
実運用で考える PGO
kworkdev
PRO
0
110
TypeScript入門
recruitengineers
PRO
29
9.5k
Evolution on AI Agent and Beyond - AGI への道のりと、シンギュラリティの3つのシナリオ
masayamoriofficial
0
260
ZOZOTOWNフロントエンドにおけるディレクトリの分割戦略
zozotech
PRO
18
5.8k
Kubernetes における cgroup v2 でのOut-Of-Memory 問題の解決
pfn
PRO
0
250
ドキュメントはAIの味方!スタートアップのアジャイルを加速するADR
kawauso
3
450
帳票Vibe Coding
terurou
0
150
役割は変わっても、変わらないもの 〜スクラムマスターからEMへの転身で学んだ信頼構築の本質〜 / How to build trust
shinop
0
110
Featured
See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.7k
How to Think Like a Performance Engineer
csswizardry
26
1.8k
Optimising Largest Contentful Paint
csswizardry
37
3.4k
GitHub's CSS Performance
jonrohan
1032
460k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
36
2.5k
We Have a Design System, Now What?
morganepeng
53
7.8k
Navigating Team Friction
lara
189
15k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
The Language of Interfaces
destraynor
160
25k
Designing Experiences People Love
moore
142
24k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.1k
Transcript
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. Why don’t you try RPKI? (RPKIをなぜ試せないのか?) 開発本部 データセンターチーム マネージャー 黒河内 倫
Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流行らないのか? 3. まとめ 目次
Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待
Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し
その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか?
Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると大きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと言うと、 自Prefixがハイジャックされているかが重要 ただOutboundTrafficも非常に大事である 大きな要因と思われる2つのこと
Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう! そのために、まずはグリーが利用している PREFIXを調べて乗っとろう! GREE
Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい
Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を行う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、一旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を行いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応
Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある 自社のクラウドサービス 自社コーポレイトサイト
問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に人力で対応していくのではなく、”RPKI”のような システムで検知/停止できるインターネットに皆でしていきたい 規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている
Copyright © GREE, Inc. All Rights Reserved. 3. まとめ
Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利用度も低い状態である
利用度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注目されることは難しいとは思う RPKI以外解決策があるのか?
Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか?
Copyright © GREE, Inc. All Rights Reserved. Why don’t you
try RPKI? (なぜRPKIを試さないのか?)
Copyright © GREE, Inc. All Rights Reserved. When do you
try RPKI? (いつやるのか?)
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved.