RPKI勉強会/RPKIユーザBoF

Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流行らないのか？ 3. まとめ目次

Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的弊社は事業上、日本の携帯キャリアへの通信が多い携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利用しているため、1Prefixあたりのユーザ数は多いそのため1Prefixでも障害が発生した場合、その影響範囲は大きいもし、Mis-Originationされた経路がBGPで広報されても何かしらの形で対応できる手段が欲しい RPKIに期待

Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること他ASのPrefixがMis-Originationされた際の対応が可能具体的にはROAサーバの情報とBGPで受診した経路を比較し
その結果を用いて、attributeを書き換えることができる守れるもの守れないもの自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり

Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がないプロダクション環境で防御できた実績があると大きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定するどっちかと言うと、自Prefixがハイジャックされているかが重要ただOutboundTrafficも非常に大事である大きな要因と思われる2つのこと

Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間にハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう！そのために、まずはグリーが利用している PREFIXを調べて乗っとろう！ GREE

Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なしそのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しいコンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため乗っ取られるリスクを事前に回避したい

Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、接続事業者、キャリアなどに連絡を行う必要があるハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測されるその場合は、一旦国内キャリアにFilterのお願いすることになるが、契約のあるキャリアであれば緊急依頼を行いやすいが、契約のないキャリアには依頼がしずらい仮にグリーがハイジャックされた場合の対応無理のある対応

Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある自社のクラウドサービス自社コーポレイトサイト
問い合わせForm/Webでの申し込みサイトコンテンツ事業者だけの話ではない有事の際に人力で対応していくのではなく、”RPKI”のようなシステムで検知/停止できるインターネットに皆でしていきたい規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている

Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はないしかし知名度/利用度も低い状態である
利用度が低い理由は実績が少ないことにあると思われるセキュリティ関連の技術の場合、事例や法的な整備が出ない限りはなかなか注目されることは難しいとは思う RPKI以外解決策があるのか？

RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

gree_tech
PRO

More Decks by gree_tech

Other Decks in Technology

Featured

Transcript

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへのモチベーション

Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的弊社は事業上、日本の携帯キャリアへの通信が多い携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること他ASのPrefixがMis-Originationされた際の対応が可能具体的にはROAサーバの情報とBGPで受診した経路を比較し

Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか？

Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がないプロダクション環境で防御できた実績があると大きい

Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間にハイジャックをされた場合 ISP1

Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なしそのため、下記の様な名前の偽装も必要がない http://www.gree.net/

Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、接続事業者、キャリアなどに連絡を行う必要があるハイジャックされた出元のキャリアに連絡が容易につけば、

Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある自社のクラウドサービス自社コーポレイトサイト

Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はないしかし知名度/利用度も低い状態である

Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、いまあるプロトコルを使いたおしてみてはどうでしょうか？

Copyright © GREE, Inc. All Rights Reserved. Why don’t you

Copyright © GREE, Inc. All Rights Reserved. When do you

Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,