Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RPKI勉強会/RPKIユーザBoF

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
330
0

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016

More Decks by gree_tech

See All by gree_tech
変わるもの、変わらないもの :OSSアーキテクチャで実現する持続可能なシステム
Avatar for gree_tech gree_tech
PRO
0
4.4k
マネジメントに役立つ Google Cloud
Avatar for gree_tech gree_tech
PRO
0
58
今この時代に技術とどう向き合うべきか
Avatar for gree_tech gree_tech
PRO
3
2.7k
生成AIを開発組織にインストールするために: REALITYにおけるガバナンス・技術・文化へのアプローチ
Avatar for gree_tech gree_tech
PRO
0
390
安く・手軽に・現場発 既存資産を生かすSlack×AI検索Botの作り方
Avatar for gree_tech gree_tech
PRO
0
390
生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント
Avatar for gree_tech gree_tech
PRO
1
2.2k
あうもんと学ぶGenAIOps
Avatar for gree_tech gree_tech
PRO
0
510
MVP開発における生成AIの活用と導入事例
Avatar for gree_tech gree_tech
PRO
0
540
機械学習・生成AIが拓く事業価値創出の最前線
Avatar for gree_tech gree_tech
PRO
0
410

Other Decks in Technology

See All in Technology
はじめてのDatadog
Avatar for KairiM kairim0
0
220
なぜハノーバーメッセに行くべきなのか 〜初参加だから語れること〜
Avatar for 田中 聖也 tanakaseiya
0
180
人が担う「価値」とは?これからの「QA」とは / Human Value and the Future of Quality Assurance
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
0
140
権限管理設計を完全に理解した
Avatar for r-sugi rsugi
2
240
ビジュアルプログラミングIoTLT vol.23
Avatar for 1ft-seabass 1ftseabass
PRO
0
160
long-running-tasks
Avatar for cipepser cipepser
2
440
layerx-fde-practices
Avatar for cipepser cipepser
6
2.9k
NFLコンペ2026 解法
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
130
地元にいないローカルオーガナイザーの立ち回り
Avatar for uvb_76 uvb_76
1
350
OpenID Connectによるサービス間連携
Avatar for Shigeki Shoji takesection
0
140
AI駆動開発でなんでもハンズオン環境をつくってみた
Avatar for yoshimi0227 yoshimi0227
0
180
string地獄を脱出する
Avatar for SansanTech sansantech
PRO
1
100

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
75
12k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
380
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
320
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.8k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
199
74k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
1
270
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
6k
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
760
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
1
310

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why don’t you try RPKI? (RPKIをなぜ試せないのか?) 開発本部 データセンターチーム マネージャー 黒河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流行らないのか? 3. まとめ 目次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し

    その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか?

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると大きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと言うと、 自Prefixがハイジャックされているかが重要 ただOutboundTrafficも非常に大事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう! そのために、まずはグリーが利用している PREFIXを調べて乗っとろう! GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を行う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、一旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を行いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある 自社のクラウドサービス 自社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に人力で対応していくのではなく、”RPKI”のような システムで検知/停止できるインターネットに皆でしていきたい 規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利用度も低い状態である

    利用度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注目されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか?

  15. Copyright © GREE, Inc. All Rights Reserved. Why don’t you

    try RPKI? (なぜRPKIを試さないのか?)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか?)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.