SlideShare ist ein Scribd-Unternehmen logo

JANOG35_RPKIやってみませんか? 20150120

Osamu Kurokochi
Osamu Kurokochi

RPKIやってみませんか?

Internet
1 von 28
Downloaden Sie, um offline zu lesen
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. RPKIやってみませんか? インフラストラクチャ本部  データセンターチーム  マネージャー  ⿊黒河内  倫倫
Copyright © GREE, Inc. All Rights Reserved. ⽒氏名   ⿊黒河内  倫倫(くろこうち  おさむ) 所属   グリー株式会社  インフラストラクチャ本部   データセンターチーム  マネージャー プロフィール   2002年年  イッツ・コミュニケーションズ株式会社     2006年年  楽天株式会社  ネットワーク構築・運⽤用チーム   2011年年  グリー株式会社  データセンターチーム ⾃自⼰己紹介
Copyright © GREE, Inc. All Rights Reserved. 会社紹介 従業員数   1,867⼈人(グループ全体・2014年年09⽉月末時点) 事業内容   ソーシャルゲーム事業   ソーシャルメディア事業   プラットフォーム事業   広告・アドネットワーク事業   ライセンス&マーチャンダイジング事業   ベンチャーキャピタル事業
Copyright © GREE, Inc. All Rights Reserved. 1.  グリーとしてのRPKIへのモチベーション 2.  モックアップ環境での検証 3.  Production環境適⽤用にむけて 4.  課題と感じたところ 5.  まとめ ⽬目次
Copyright © GREE, Inc. All Rights Reserved. 1.  グリーのRPKIへの                 モチベーション
Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、 NATを利利⽤用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣生した場合、その影響範囲は⼤大きい もし、Mis-‐‑‒Originationされた経路路がBGPで広報されても                           何かしらの形で対応できる⼿手段が欲しい RPKIに期待
Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-‐‑‒Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路路を⽐比較し その結果を⽤用いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃自ASのPrefixがMis-‐‑‒Originationされた際     →  BGPMON/経路路奉⾏行行などで対応可能 ASごとMis-‐‑‒Originationされた際     →  後ほど岡⽥田さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved. 2.  モックアップ環境での検証
Copyright © GREE, Inc. All Rights Reserved. まずはモックアップ検証 ROAサーバ   JPNIC様のROAキャッシュサーバを利利⽤用   更更に弊社(AS55394)のPrefixをROAサーバに登録    ネットワーク検証環境   以下のソフトウェアを⽤用意して検証を⾏行行った   VMware  ESXi5.1   CISCO  CSR1000v   Juniper  FireFly     ※いずれもMakerのSiteからDownload可能
Copyright © GREE, Inc. All Rights Reserved. CSR1000v OS : IOS-XE 3.10.03.S IPアドレス :192.168.1.48/24 AS番号 : 65000 Firefly OS : JUNOS 12.1X46-D10 IPアドレス :192.168.1.49/24 AS番号 : 65001 ESXiサーバ 検証環境Gateway 192.168.1.0/24 インターネット 192.41.192.218 (JPNIC様 ROAキャッシュサーバ) RPKIプロトコル BGP Peer ダミー経路送信 10.0.0.0/8 116.93.144.0/20 グローバルIPにNAT Origin Validation 検証構成 route-map origin-validation permit 10 match rpki invalid set local-preference 90 route-map origin-validation permit 20 match rpki not-found set local-preference 100 route-map origin-validation permit 30 match rpki valid set local-preference 110
Copyright © GREE, Inc. All Rights Reserved. 検証結果 イレギュラーパターンで問題は発⽣生したものの ROAサーバへの接続、OriginValidation⾃自体は問題なく動作した csr1000v#show  ip  bgp Status  codes:  s  suppressed,  d  damped,  h  history,  *  valid,  >  best,  i  -‐‑‒  internal,                            r  RIB-‐‑‒failure,  S  Stale,  m  multipath,  b  backup-‐‑‒path,  f  RT-‐‑‒Filter,                            x  best-‐‑‒external,  a  additional-‐‑‒path,  c  RIB-‐‑‒compressed, Origin  codes:  i  -‐‑‒  IGP,  e  -‐‑‒  EGP,  ?  -‐‑‒  incomplete RPKI  validation  codes:  V  valid,  I  invalid,  N  Not  found            Network                                    Next  Hop                        Metric  LocPrf  Weight  Path I*>      116.93.144.0/20    192.168.1.49                                      90            0  65001  i N*>    10.0.0.0/8                      192.168.1.49                                    100          0  65001  i csr1000v#show  ip  bgp  rpki  table  |  inc  116.93.144.0 116.93.144.0/20   24            55394            0              192.41.192.218/323 116.93.144.0  ROAサーバ上はAS55394-Originだが受信経路は65001-Originのため”Invalid” → LP90 10.0.0.0  ROAサーバに登録がないため”Not Found” → LP100 JPNIC様のROAサーバから受信されている
Copyright © GREE, Inc. All Rights Reserved. 3.  Production環境適⽤用に向けて
Copyright © GREE, Inc. All Rights Reserved. グリーで考えている構成案 構成概要   ASR9000を利利⽤用する予定   Route  ReflectorでOriginValidationを⾏行行う   ※全BGP-‐‑‒RouterがRPKI対応していないため 設計ポリシー   Local  Preferenceで制御     invalidの場合:Local  Preference”-‐‑‒50”     not-‐‑‒foundの場合:Pass     validの場合:Local  Preferenceを”+50” ROAサーバ   未定(考え中)
Copyright © GREE, Inc. All Rights Reserved. ASR9000でのRoute Reflector構成を検討 ASR9000 (Route  Reflector) ASR9000 (Route  Reflector) Route  ReflectorでValidationを⾏行行い、それをClientに返せるか!? Origin Validation TransitRouter TransitRouter TransitRouter そもそもValidationできませんでした RPKI⾮非対応 RPKI⾮非対応 RPKI⾮非対応
Copyright © GREE, Inc. All Rights Reserved. RPKIはiBGPでは対応していない RFCにも(明⾔言はされていないが)、     基本的にはExternalの接続を想定されている そのためeBGPのみに適⽤用される 外部接続部分のRouterでValidationを⾏行行う前提に               標準化もRouterOSも実装もされている この様にAS内の⼀一箇所で集中的に           Validationする設計はできない
Copyright © GREE, Inc. All Rights Reserved. 4.課題と感じたところ 環境の都合上、Cisco様の機器をベースに情報を記載をさせて頂きます
Copyright © GREE, Inc. All Rights Reserved. IPv4とIPv6の指定ができない(不不具合がある訳ではない) IPv4だけのネットワークでも、ROAサーバにIPv6の情報があれば、 IPv4/IPv6すべての情報がSyncされてしまう ROAサーバ側の課題(その1) IPv4/IPv6の指定が出来ない
Copyright © GREE, Inc. All Rights Reserved. RPKIにはMaxlenという(MaxPrefixLength)という項⽬目があるが、 このようなテーブルを発⾒見見した ROAサーバ側の課題(その2) Maxlenが活かされてない Network Maxlen Origin-AS Source Neighbor 2.0.0.0/16 16 3215 0 210.173.170.254/323 2.0.0.0/12 16 3215 0 210.173.170.254/323 2.1.0.0/16 16 3215 0 210.173.170.254/323 2.2.0.0/16 16 3215 0 210.173.170.254/323 2.3.0.0/16 16 3215 0 210.173.170.254/323 2.4.0.0/16 16 3215 0 210.173.170.254/323 2.5.0.0/16 16 3215 0 210.173.170.254/323 2.6.0.0/16 16 3215 0 210.173.170.254/323 2.8.0.0/16 16 3215 0 210.173.170.254/323 2.9.0.0/16 16 3215 0 210.173.170.254/323 2.10.0.0/16 16 3215 0 210.173.170.254/323 2.11.0.0/16 16 3215 0 210.173.170.254/323 2.12.0.0/16 16 3215 0 210.173.170.254/323 2.13.0.0/16 16 3215 0 210.173.170.254/323 2.14.0.0/16 16 3215 0 210.173.170.254/323 こちらの詳細は、後ほど岡⽥田さんより別途ご説明
Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その1) OriginValidation時の挙動 OriginValidationはRoute[map/Policy]で定義を⾏行行う そのため動作としては、基本的に Ext]   communityの添付   Local  Preferenceの添付 などattributeを変更更することしか出来ない Invalid  =  “Mis-‐‑‒Origination”されているという状況であるため、 ここはalert(snmp/syslog)をあげる仕組みが欲しい
Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その2) Reboot時の挙動 機器にRebootなどが発⽣生すると、 起動後のRoute(map/Policy)がすべてNotFoundの扱いとなってしまう 原因は起動時の動作が以下の通りとなるからである 1. RouterのOS起動    ↓ 2. BGP-Neighborが張られる    ↓ 3. ただしこの時点ではROAサーバとのPeerが貼れていない   そのためROA情報がないため、Route[map/Policy]が   全部Not-found扱いでFIBが作成される    ↓ 4. その後RPKIサーバに問い合わせる、   しかしFIBは完成しているため、FIB情報は上書きされない エビデンス:clear  ip  bgp  (soft)でFIBに書きかわる 対処⽅方法:設定で回避可能であるか確認中(eemであれば対応可能)
Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その3) 情報が少ない 弊社の環境上、Cisco機器(ASR9000/CSR1000v)での実装だった 特にASR9000(IOS-‐‑‒XR)については⾮非常に苦労した 今回、Production環境の実装に向けては、   Cisco様に多⼤大なご協⼒力力を頂いたが、Cisco様の中でも情報が少なかった RPKIは2年年以上前に実装されているにも関わらず、                       現状利利⽤用Userが殆どいないことがわかった
Copyright © GREE, Inc. All Rights Reserved. ROAキャッシュサーバの課題 配置方法PublicなROAサーバはインターネットのどこに配置すべきか? EndUser   Validationされた経路路がほしいユーザもいれば   ⾃自社でValidationしたいユーザもいる ユーザとしては2つの提供パターンが欲しいがTransit/IXには負担がかかる Transit   ValidationしたPrefixを提供するサービス   ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス IX(Internet  Exchange)   Route  SeverでValidationを⾏行行い、Prefixを提供するサービス   ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
Copyright © GREE, Inc. All Rights Reserved. 5.まとめ
Copyright © GREE, Inc. All Rights Reserved. 現状のRPKIを取り巻く状況 ROAキャッシュサーバ   RIRの⾜足並みが揃っていないと感じる   +  国際移転アドレスがAPNICのROAサーバに登録できなかった   +  登録⽅方法がRIRごとによってまちまちに⾒見見えた   ここはうまく連携をしてほしい   RPKI⾃自体の信頼性が無くなるようなことには、なって欲しくない Routerの実装   RPKIに対応しているMakerも少ない   またMakerでも情報や導⼊入実績が少ない   実装⾯面でも強化が必要 まだまだこれからのプロトコル
Copyright © GREE, Inc. All Rights Reserved. 今後のRPKI 本当の最終ゴールは”BGPSEC”としたい BGPSEC=”Origin  Validation”+”Path  Validation” ただ”Origin  Validation”できなければ、                 ”BGPSEC”は実現できないと考える 幸い、RPKIは検証は簡単にできる まずは⼀一緒にRPKIを使い倒してみませんか?
Copyright © GREE, Inc. All Rights Reserved. あるべき姿 まだこの辺り 1.インターネット上でのマスク⻑⾧長勝負がなくなる           ※吸い込まれたら吸い込み返す世界はNo!!! 2.Secureでないネットワークが         インターネットに繋がっても、他の事業者に影響しない 3.間違ったPrefixが広報されても、Routingされない まず最初の⼀一歩を踏み出そう!
Copyright © GREE, Inc. All Rights Reserved. 参考資料 RPKI https://www.nic.ad.jp/ja/rpki/   BGPSEC https://www.ipa.go.jp/security/fy23/reports/tech1-‐‑‒tg/b_̲07.html     JANOG http://www.janog.gr.jp/meeting/janog30/program/rpk.html http://www.janog.gr.jp/meeting/janog31/program/rpki.html http://www.janog.gr.jp/meeting/janog32/program/rpki.html Nanog https://www.nanog.org/meetings/nanog52/presentations/Sunday/110612.nanog-‐‑‒origin-‐‑‒validation.pdf https://www.nanog.org/meetings/nanog49/presentations/Tuesday/bgp-‐‑‒origin-‐‑‒validation-‐‑‒FINAL.pdf
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.

Empfohlen

ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208Osamu Kurokochi
 
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120Osamu Kurokochi
 
Application performance gree_20140908
Application performance gree_20140908Application performance gree_20140908
Application performance gree_20140908Osamu Kurokochi
 
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Osamu Kurokochi
 
RPKIやってみませんか?
RPKIやってみませんか?RPKIやってみませんか?
RPKIやってみませんか?gree_tech
 
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応v6app
 
show コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudyshow コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudyakira6592
 
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方akira6592
 

Empfohlen

ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208Osamu Kurokochi
 
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120Osamu Kurokochi
 
Application performance gree_20140908
Application performance gree_20140908Application performance gree_20140908
Application performance gree_20140908Osamu Kurokochi
 
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Osamu Kurokochi
 
RPKIやってみませんか?
RPKIやってみませんか?RPKIやってみませんか?
RPKIやってみませんか?gree_tech
 
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応v6app
 
show コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudyshow コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudyakira6592
 
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方akira6592
 
#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたことrecotech
 
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)v6app
 
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜Akira Nakagawa
 
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニアrecotech
 
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart GatewayEnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart GatewayAtomu Hidaka
 
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~シスコシステムズ合同会社
 
Jeopardy
JeopardyJeopardy
Jeopardyworldofcasterboarding
 
Amarnath Resume 12-10-16
Amarnath Resume 12-10-16Amarnath Resume 12-10-16
Amarnath Resume 12-10-16Amarnath Thangavel T
 
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologicsActivitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologicsbeatrizarnal
 
Ketan
KetanKetan
Ketanashish7777794
 
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001Tulsi99
 
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editorImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editorVLabTasks
 
SHELL 2011 slides
SHELL 2011 slidesSHELL 2011 slides
SHELL 2011 slidesFuminori Nakamura
 
Biclce6 2015 presentation
Biclce6 2015 presentationBiclce6 2015 presentation
Biclce6 2015 presentationFuminori Nakamura
 
ejemplo
ejemploejemplo
ejemplosistemasinstituto20
 
Suresh resume
Suresh resumeSuresh resume
Suresh resumeKr Suresh
 
Thank You Veterans
Thank You VeteransThank You Veterans
Thank You Veteranscag40oz
 
Olympics 2028 2
Olympics 2028 2Olympics 2028 2
Olympics 2028 2Zaynab Lasshab
 
Pradeep.ii
Pradeep.iiPradeep.ii
Pradeep.iiPradeep Jaswani
 
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)Goa App
 
UV ray spectrophotometer
UV ray spectrophotometerUV ray spectrophotometer
UV ray spectrophotometerGoa App
 
161218 cybozu SRE
161218 cybozu SRE161218 cybozu SRE
161218 cybozu SREtomonori-saito-cybozu
 

Weitere ähnliche Inhalte

Was ist angesagt?

#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたことrecotech
 
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)v6app
 
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜Akira Nakagawa
 
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニアrecotech
 
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart GatewayEnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart GatewayAtomu Hidaka
 
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~シスコシステムズ合同会社
 

Was ist angesagt? (6)

#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと
 
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
 
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
 
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
 
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart GatewayEnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart Gateway
 
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
 

Andere mochten auch

Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologicsActivitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologicsbeatrizarnal
 
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001Tulsi99
 
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editorImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editorVLabTasks
 
Suresh resume
Suresh resumeSuresh resume
Suresh resumeKr Suresh
 
Thank You Veterans
Thank You VeteransThank You Veterans
Thank You Veteranscag40oz
 
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)Goa App
 
UV ray spectrophotometer
UV ray spectrophotometerUV ray spectrophotometer
UV ray spectrophotometerGoa App
 

Andere mochten auch (15)

Jeopardy
JeopardyJeopardy
Jeopardy
 
Amarnath Resume 12-10-16
Amarnath Resume 12-10-16Amarnath Resume 12-10-16
Amarnath Resume 12-10-16
 
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologicsActivitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
 
Ketan
KetanKetan
Ketan
 
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001
 
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editorImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editor
 
SHELL 2011 slides
SHELL 2011 slidesSHELL 2011 slides
SHELL 2011 slides
 
Biclce6 2015 presentation
Biclce6 2015 presentationBiclce6 2015 presentation
Biclce6 2015 presentation
 
ejemplo
ejemploejemplo
ejemplo
 
Suresh resume
Suresh resumeSuresh resume
Suresh resume
 
Thank You Veterans
Thank You VeteransThank You Veterans
Thank You Veterans
 
Olympics 2028 2
Olympics 2028 2Olympics 2028 2
Olympics 2028 2
 
Pradeep.ii
Pradeep.iiPradeep.ii
Pradeep.ii
 
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)
 
UV ray spectrophotometer
UV ray spectrophotometerUV ray spectrophotometer
UV ray spectrophotometer
 

Ähnlich wie JANOG35_RPKIやってみませんか? 20150120

Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Tomoya Hibi
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbixsoftlayerjp
 
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャAWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ真吾 吉田
 
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップSORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップSORACOM,INC
 
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)Kazuya Sugimoto
 
Cephベンチマーク kvm
Cephベンチマーク kvmCephベンチマーク kvm
Cephベンチマーク kvmToshimi Kawabata
 
【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化Developers Summit
 
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方v6app
 
Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善Takashi Honda
 
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善Developers Summit
 
災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」Masaru Hiroki
 
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端ITaitc_jp
 
楽ちんユーザー認証付Spa
楽ちんユーザー認証付Spa楽ちんユーザー認証付Spa
楽ちんユーザー認証付SpaTakahiro Tsuchiya
 
Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下Koyo Takenoshita
 
おすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップおすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップKoichiro Sumi
 
Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介オラクルエンジニア通信
 
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデートOracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデートオラクルエンジニア通信
 
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦Sho Yoshida
 

Ähnlich wie JANOG35_RPKIやってみませんか? 20150120 (20)

161218 cybozu SRE
161218 cybozu SRE161218 cybozu SRE
161218 cybozu SRE
 
ログについて改めて考えてみた
ログについて改めて考えてみたログについて改めて考えてみた
ログについて改めて考えてみた
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
 
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャAWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
 
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップSORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
 
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
 
Cephベンチマーク kvm
Cephベンチマーク kvmCephベンチマーク kvm
Cephベンチマーク kvm
 
【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化
 
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
 
Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善
 
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
 
災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」
 
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT
 
楽ちんユーザー認証付Spa
楽ちんユーザー認証付Spa楽ちんユーザー認証付Spa
楽ちんユーザー認証付Spa
 
Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下
 
おすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップおすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップ
 
Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介
 
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデートOracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
 
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
 

JANOG35_RPKIやってみませんか? 20150120

  • 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. RPKIやってみませんか? インフラストラクチャ本部  データセンターチーム  マネージャー  ⿊黒河内  倫倫
  • 2. Copyright © GREE, Inc. All Rights Reserved. ⽒氏名   ⿊黒河内  倫倫(くろこうち  おさむ) 所属   グリー株式会社  インフラストラクチャ本部   データセンターチーム  マネージャー プロフィール   2002年年  イッツ・コミュニケーションズ株式会社     2006年年  楽天株式会社  ネットワーク構築・運⽤用チーム   2011年年  グリー株式会社  データセンターチーム ⾃自⼰己紹介
  • 3. Copyright © GREE, Inc. All Rights Reserved. 会社紹介 従業員数   1,867⼈人(グループ全体・2014年年09⽉月末時点) 事業内容   ソーシャルゲーム事業   ソーシャルメディア事業   プラットフォーム事業   広告・アドネットワーク事業   ライセンス&マーチャンダイジング事業   ベンチャーキャピタル事業
  • 4. Copyright © GREE, Inc. All Rights Reserved. 1.  グリーとしてのRPKIへのモチベーション 2.  モックアップ環境での検証 3.  Production環境適⽤用にむけて 4.  課題と感じたところ 5.  まとめ ⽬目次
  • 5. Copyright © GREE, Inc. All Rights Reserved. 1.  グリーのRPKIへの                 モチベーション
  • 6. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、 NATを利利⽤用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣生した場合、その影響範囲は⼤大きい もし、Mis-‐‑‒Originationされた経路路がBGPで広報されても                           何かしらの形で対応できる⼿手段が欲しい RPKIに期待
  • 7. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-‐‑‒Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路路を⽐比較し その結果を⽤用いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃自ASのPrefixがMis-‐‑‒Originationされた際     →  BGPMON/経路路奉⾏行行などで対応可能 ASごとMis-‐‑‒Originationされた際     →  後ほど岡⽥田さんより詳細な説明あり
  • 8. Copyright © GREE, Inc. All Rights Reserved. 2.  モックアップ環境での検証
  • 9. Copyright © GREE, Inc. All Rights Reserved. まずはモックアップ検証 ROAサーバ   JPNIC様のROAキャッシュサーバを利利⽤用   更更に弊社(AS55394)のPrefixをROAサーバに登録    ネットワーク検証環境   以下のソフトウェアを⽤用意して検証を⾏行行った   VMware  ESXi5.1   CISCO  CSR1000v   Juniper  FireFly     ※いずれもMakerのSiteからDownload可能
  • 10. Copyright © GREE, Inc. All Rights Reserved. CSR1000v OS : IOS-XE 3.10.03.S IPアドレス :192.168.1.48/24 AS番号 : 65000 Firefly OS : JUNOS 12.1X46-D10 IPアドレス :192.168.1.49/24 AS番号 : 65001 ESXiサーバ 検証環境Gateway 192.168.1.0/24 インターネット 192.41.192.218 (JPNIC様 ROAキャッシュサーバ) RPKIプロトコル BGP Peer ダミー経路送信 10.0.0.0/8 116.93.144.0/20 グローバルIPにNAT Origin Validation 検証構成 route-map origin-validation permit 10 match rpki invalid set local-preference 90 route-map origin-validation permit 20 match rpki not-found set local-preference 100 route-map origin-validation permit 30 match rpki valid set local-preference 110
  • 11. Copyright © GREE, Inc. All Rights Reserved. 検証結果 イレギュラーパターンで問題は発⽣生したものの ROAサーバへの接続、OriginValidation⾃自体は問題なく動作した csr1000v#show  ip  bgp Status  codes:  s  suppressed,  d  damped,  h  history,  *  valid,  >  best,  i  -‐‑‒  internal,                            r  RIB-‐‑‒failure,  S  Stale,  m  multipath,  b  backup-‐‑‒path,  f  RT-‐‑‒Filter,                            x  best-‐‑‒external,  a  additional-‐‑‒path,  c  RIB-‐‑‒compressed, Origin  codes:  i  -‐‑‒  IGP,  e  -‐‑‒  EGP,  ?  -‐‑‒  incomplete RPKI  validation  codes:  V  valid,  I  invalid,  N  Not  found            Network                                    Next  Hop                        Metric  LocPrf  Weight  Path I*>      116.93.144.0/20    192.168.1.49                                      90            0  65001  i N*>    10.0.0.0/8                      192.168.1.49                                    100          0  65001  i csr1000v#show  ip  bgp  rpki  table  |  inc  116.93.144.0 116.93.144.0/20   24            55394            0              192.41.192.218/323 116.93.144.0  ROAサーバ上はAS55394-Originだが受信経路は65001-Originのため”Invalid” → LP90 10.0.0.0  ROAサーバに登録がないため”Not Found” → LP100 JPNIC様のROAサーバから受信されている
  • 12. Copyright © GREE, Inc. All Rights Reserved. 3.  Production環境適⽤用に向けて
  • 13. Copyright © GREE, Inc. All Rights Reserved. グリーで考えている構成案 構成概要   ASR9000を利利⽤用する予定   Route  ReflectorでOriginValidationを⾏行行う   ※全BGP-‐‑‒RouterがRPKI対応していないため 設計ポリシー   Local  Preferenceで制御     invalidの場合:Local  Preference”-‐‑‒50”     not-‐‑‒foundの場合:Pass     validの場合:Local  Preferenceを”+50” ROAサーバ   未定(考え中)
  • 14. Copyright © GREE, Inc. All Rights Reserved. ASR9000でのRoute Reflector構成を検討 ASR9000 (Route  Reflector) ASR9000 (Route  Reflector) Route  ReflectorでValidationを⾏行行い、それをClientに返せるか!? Origin Validation TransitRouter TransitRouter TransitRouter そもそもValidationできませんでした RPKI⾮非対応 RPKI⾮非対応 RPKI⾮非対応
  • 15. Copyright © GREE, Inc. All Rights Reserved. RPKIはiBGPでは対応していない RFCにも(明⾔言はされていないが)、     基本的にはExternalの接続を想定されている そのためeBGPのみに適⽤用される 外部接続部分のRouterでValidationを⾏行行う前提に               標準化もRouterOSも実装もされている この様にAS内の⼀一箇所で集中的に           Validationする設計はできない
  • 16. Copyright © GREE, Inc. All Rights Reserved. 4.課題と感じたところ 環境の都合上、Cisco様の機器をベースに情報を記載をさせて頂きます
  • 17. Copyright © GREE, Inc. All Rights Reserved. IPv4とIPv6の指定ができない(不不具合がある訳ではない) IPv4だけのネットワークでも、ROAサーバにIPv6の情報があれば、 IPv4/IPv6すべての情報がSyncされてしまう ROAサーバ側の課題(その1) IPv4/IPv6の指定が出来ない
  • 18. Copyright © GREE, Inc. All Rights Reserved. RPKIにはMaxlenという(MaxPrefixLength)という項⽬目があるが、 このようなテーブルを発⾒見見した ROAサーバ側の課題(その2) Maxlenが活かされてない Network Maxlen Origin-AS Source Neighbor 2.0.0.0/16 16 3215 0 210.173.170.254/323 2.0.0.0/12 16 3215 0 210.173.170.254/323 2.1.0.0/16 16 3215 0 210.173.170.254/323 2.2.0.0/16 16 3215 0 210.173.170.254/323 2.3.0.0/16 16 3215 0 210.173.170.254/323 2.4.0.0/16 16 3215 0 210.173.170.254/323 2.5.0.0/16 16 3215 0 210.173.170.254/323 2.6.0.0/16 16 3215 0 210.173.170.254/323 2.8.0.0/16 16 3215 0 210.173.170.254/323 2.9.0.0/16 16 3215 0 210.173.170.254/323 2.10.0.0/16 16 3215 0 210.173.170.254/323 2.11.0.0/16 16 3215 0 210.173.170.254/323 2.12.0.0/16 16 3215 0 210.173.170.254/323 2.13.0.0/16 16 3215 0 210.173.170.254/323 2.14.0.0/16 16 3215 0 210.173.170.254/323 こちらの詳細は、後ほど岡⽥田さんより別途ご説明
  • 19. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その1) OriginValidation時の挙動 OriginValidationはRoute[map/Policy]で定義を⾏行行う そのため動作としては、基本的に Ext]   communityの添付   Local  Preferenceの添付 などattributeを変更更することしか出来ない Invalid  =  “Mis-‐‑‒Origination”されているという状況であるため、 ここはalert(snmp/syslog)をあげる仕組みが欲しい
  • 20. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その2) Reboot時の挙動 機器にRebootなどが発⽣生すると、 起動後のRoute(map/Policy)がすべてNotFoundの扱いとなってしまう 原因は起動時の動作が以下の通りとなるからである 1. RouterのOS起動    ↓ 2. BGP-Neighborが張られる    ↓ 3. ただしこの時点ではROAサーバとのPeerが貼れていない   そのためROA情報がないため、Route[map/Policy]が   全部Not-found扱いでFIBが作成される    ↓ 4. その後RPKIサーバに問い合わせる、   しかしFIBは完成しているため、FIB情報は上書きされない エビデンス:clear  ip  bgp  (soft)でFIBに書きかわる 対処⽅方法:設定で回避可能であるか確認中(eemであれば対応可能)
  • 21. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その3) 情報が少ない 弊社の環境上、Cisco機器(ASR9000/CSR1000v)での実装だった 特にASR9000(IOS-‐‑‒XR)については⾮非常に苦労した 今回、Production環境の実装に向けては、   Cisco様に多⼤大なご協⼒力力を頂いたが、Cisco様の中でも情報が少なかった RPKIは2年年以上前に実装されているにも関わらず、                       現状利利⽤用Userが殆どいないことがわかった
  • 22. Copyright © GREE, Inc. All Rights Reserved. ROAキャッシュサーバの課題 配置方法PublicなROAサーバはインターネットのどこに配置すべきか? EndUser   Validationされた経路路がほしいユーザもいれば   ⾃自社でValidationしたいユーザもいる ユーザとしては2つの提供パターンが欲しいがTransit/IXには負担がかかる Transit   ValidationしたPrefixを提供するサービス   ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス IX(Internet  Exchange)   Route  SeverでValidationを⾏行行い、Prefixを提供するサービス   ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
  • 23. Copyright © GREE, Inc. All Rights Reserved. 5.まとめ
  • 24. Copyright © GREE, Inc. All Rights Reserved. 現状のRPKIを取り巻く状況 ROAキャッシュサーバ   RIRの⾜足並みが揃っていないと感じる   +  国際移転アドレスがAPNICのROAサーバに登録できなかった   +  登録⽅方法がRIRごとによってまちまちに⾒見見えた   ここはうまく連携をしてほしい   RPKI⾃自体の信頼性が無くなるようなことには、なって欲しくない Routerの実装   RPKIに対応しているMakerも少ない   またMakerでも情報や導⼊入実績が少ない   実装⾯面でも強化が必要 まだまだこれからのプロトコル
  • 25. Copyright © GREE, Inc. All Rights Reserved. 今後のRPKI 本当の最終ゴールは”BGPSEC”としたい BGPSEC=”Origin  Validation”+”Path  Validation” ただ”Origin  Validation”できなければ、                 ”BGPSEC”は実現できないと考える 幸い、RPKIは検証は簡単にできる まずは⼀一緒にRPKIを使い倒してみませんか?
  • 26. Copyright © GREE, Inc. All Rights Reserved. あるべき姿 まだこの辺り 1.インターネット上でのマスク⻑⾧長勝負がなくなる           ※吸い込まれたら吸い込み返す世界はNo!!! 2.Secureでないネットワークが         インターネットに繋がっても、他の事業者に影響しない 3.間違ったPrefixが広報されても、Routingされない まず最初の⼀一歩を踏み出そう!
  • 27. Copyright © GREE, Inc. All Rights Reserved. 参考資料 RPKI https://www.nic.ad.jp/ja/rpki/   BGPSEC https://www.ipa.go.jp/security/fy23/reports/tech1-‐‑‒tg/b_̲07.html     JANOG http://www.janog.gr.jp/meeting/janog30/program/rpk.html http://www.janog.gr.jp/meeting/janog31/program/rpki.html http://www.janog.gr.jp/meeting/janog32/program/rpki.html Nanog https://www.nanog.org/meetings/nanog52/presentations/Sunday/110612.nanog-‐‑‒origin-‐‑‒validation.pdf https://www.nanog.org/meetings/nanog49/presentations/Tuesday/bgp-‐‑‒origin-‐‑‒validation-‐‑‒FINAL.pdf
  • 28. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.