Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
0
250

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016
Tweet

More Decks by gree_tech

See All by gree_tech
変わるもの、変わらないもの :OSSアーキテクチャで実現する持続可能なシステム
Avatar for gree_tech gree_tech
PRO
0
2.7k
マネジメントに役立つ Google Cloud
Avatar for gree_tech gree_tech
PRO
0
28
今この時代に技術とどう向き合うべきか
Avatar for gree_tech gree_tech
PRO
3
2.4k
生成AIを開発組織にインストールするために: REALITYにおけるガバナンス・技術・文化へのアプローチ
Avatar for gree_tech gree_tech
PRO
0
180
安く・手軽に・現場発 既存資産を生かすSlack×AI検索Botの作り方
Avatar for gree_tech gree_tech
PRO
0
170
生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント
Avatar for gree_tech gree_tech
PRO
1
1.5k
あうもんと学ぶGenAIOps
Avatar for gree_tech gree_tech
PRO
0
290
MVP開発における生成AIの活用と導入事例
Avatar for gree_tech gree_tech
PRO
0
310
機械学習・生成AIが拓く事業価値創出の最前線
Avatar for gree_tech gree_tech
PRO
0
230

Other Decks in Technology

See All in Technology
AI駆動開発ライフサイクル(AI-DLC)の始め方
Avatar for ryansbcho79 ryansbcho79
0
310
RALGO : AIを組織に組み込む方法 -アルゴリズム中心組織設計- #RSGT2026 / RALGO: How to Integrate AI into an Organization – Algorithm-Centric Organizational Design
Avatar for kyonmm kyonmm
PRO
3
880
_第4回__AIxIoTビジネス共創ラボ紹介資料_20251203.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
180
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
1
160
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
Avatar for yuriemori yuriemori
0
280
2025年のデザインシステムとAI 活用を振り返る
Avatar for Tech Leverages leveragestech
0
730
AI との良い付き合い方を僕らは誰も知らない (WSS 2026 静岡版)
Avatar for Asei Sugiyama asei
1
250
Scrum Guide Expansion Pack が示す現代プロダクト開発への補完的視点
Avatar for Sonjin Yamamoto sonjin
0
500
サラリーマンソフトウェアエンジニアのキャリア
Avatar for YuheiNakasaka yuheinakasaka
26
13k
Claude Codeを使った情報整理術
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
20
12k
#22 CA × atmaCup 3rd 1st Place Solution
Avatar for yumizu yumizu
1
130
Everything As Code
Avatar for わいわい yosuke_ai
0
500

Featured

See All Featured
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
93
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.7k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
400
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
140
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
140
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why don’t you try RPKI? (RPKIをなぜ試せないのか?) 開発本部 データセンターチーム マネージャー 黒河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流行らないのか? 3. まとめ 目次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し

    その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか?

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると大きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと言うと、 自Prefixがハイジャックされているかが重要 ただOutboundTrafficも非常に大事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう! そのために、まずはグリーが利用している PREFIXを調べて乗っとろう! GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を行う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、一旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を行いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある 自社のクラウドサービス 自社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に人力で対応していくのではなく、”RPKI”のような システムで検知/停止できるインターネットに皆でしていきたい 規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利用度も低い状態である

    利用度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注目されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか?

  15. Copyright © GREE, Inc. All Rights Reserved. Why don’t you

    try RPKI? (なぜRPKIを試さないのか?)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか?)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.