Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
0
200

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016
Tweet

More Decks by gree_tech

See All by gree_tech
LLM翻訳ツールの開発と海外のお客様対応等への社内導入事例
Avatar for gree_tech gree_tech
PRO
0
620
ヘブンバーンズレッドのレンダリングパイプライン刷新
Avatar for gree_tech gree_tech
PRO
0
630
ヘブンバーンズレッドにおける、世界観を活かしたミニゲーム企画の作り方
Avatar for gree_tech gree_tech
PRO
0
620
「魔法少女まどか☆マギカ Magia Exedra」のグローバル展開を支える、開発チームと翻訳チームの「意識しない協創」を実現するローカライズシステム
Avatar for gree_tech gree_tech
PRO
0
620
「魔法少女まどか☆マギカ Magia Exedra」での負荷試験の実践と学び
Avatar for gree_tech gree_tech
PRO
0
670
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
Avatar for gree_tech gree_tech
PRO
0
640
ヒューリスティック評価を用いたゲームQA実践事例
Avatar for gree_tech gree_tech
PRO
0
620
ライブサービスゲームQAのパフォーマンス検証による品質改善の取り組み
Avatar for gree_tech gree_tech
PRO
0
620
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
Avatar for gree_tech gree_tech
PRO
0
140

Other Decks in Technology

See All in Technology
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
Avatar for pei0804 pei0804
1
120
Automating Web Accessibility Testing with AI Agents
Avatar for South maminami373
0
1.2k
AWSで始める実践Dagster入門
Avatar for キタガワ kitagawaz
1
570
サンドボックス技術でAI利活用を促進する
Avatar for k-nagase koh_naga
0
200
roppongirb_20250911
Avatar for Kuniaki IGARASHI igaiga
0
190
現場で効くClaude Code ─ 最新動向と企業導入
Avatar for TakaakiKakei takaakikakei
1
200
「何となくテストする」を卒業するためにプロダクトが動く仕組みを理解しよう
Avatar for kawabeaver kawabeaver
0
280
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
Avatar for Michiru Kato applism118
10
4.8k
ハードウェアとソフトウェアをつなぐ全てを内製している企業の E2E テストの作り方 / How to create E2E tests for a company that builds everything connecting hardware and software in-house
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
1
110
共有と分離 - Compose Multiplatform "本番導入" の設計指針
Avatar for Ryo WATANABE error96num
1
320
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
Avatar for ののし nnstt1
3
230
Firestore → Spanner 移行 を成功させた段階的移行プロセス
Avatar for a-thug athug
1
420

Featured

See All Featured
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.4k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
87
4.8k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
64
7.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.1k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.5k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why don’t you try RPKI? (RPKIをなぜ試せないのか?) 開発本部 データセンターチーム マネージャー 黒河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流行らないのか? 3. まとめ 目次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し

    その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか?

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると大きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと言うと、 自Prefixがハイジャックされているかが重要 ただOutboundTrafficも非常に大事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう! そのために、まずはグリーが利用している PREFIXを調べて乗っとろう! GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を行う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、一旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を行いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある 自社のクラウドサービス 自社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に人力で対応していくのではなく、”RPKI”のような システムで検知/停止できるインターネットに皆でしていきたい 規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利用度も低い状態である

    利用度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注目されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか?

  15. Copyright © GREE, Inc. All Rights Reserved. Why don’t you

    try RPKI? (なぜRPKIを試さないのか?)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか?)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.