なぜ、RPKIを啓蒙してるんだっけ?

元々のインターネットは、善な技術者による信頼(Trust)で成り立っていました。インターネットが社会を支えるインフラにふさわしい信頼を獲得するためにそれを支える技術は「Zero Trust」に移行していくべきなのでしょう。 「RPKI」は、何を支えてくれるんでしたっけ?

平野尚志

2024.02.25

インターネットの自律システム(AS)

BGPとは?| BGPルーティングの説明」で、インターネットについて説明されています。インターネットは何十万もの「自律システム」(autonomous systems、一般的に"AS"と省略表記される)と呼ばれる小規模なネットワークの集合体である。その自律システムは「ルーター」で構成されている。

インターネットはネットワークのネットワークです。自律システム(AS)と呼ばれる何十万に分割された小規模ネットワークから成り、各ASは本質的には単一組織により運営されるルーターの大規模なプールです。

The Internet is a network of networks. It is broken up into hundreds of thousands of smaller networks known as autonomous systems (ASes). Each of these networks is essentially a large pool of routers run by a single organization.

各ASは、BGP (Border Gateway Protocol)を介して他のASと経路情報を交換します。インターネットにつながっているすべてのAS(ルーター)は、常にインターネット全体の経路(full route)を更新・維持しています。

関連情報

信頼(Trust)に基づくBGPリスク

BGPとは?| BGPルーティングの説明で、BGPによる経路情報交換のリスク(弱点)について説明されています。BGPでは、誤った経路情報であっても信頼して、近隣へ広報してしまいます。悪意が有ろうと、無かろうと、大規模な混乱が発生してしまいます。

BGPとは?| BGPルーティングの説明で、紹介されている事例概要

  • 2008年、パキスタンで、パキスタンからYouTubeへのアクセスを妨害⇒World Wideでアクセス障害発生
  • 2019年、小さな会社がVerizonへの優先経路⇒インターネット接続障害
  • 2018年、10万ドル相当の暗号通貨を盗む経路ハイジャック事件

BGPで広告された経路情報の正しさを検証できず、信頼して、誤った経路にルーティングしてしい、混乱に陥る。

経路情報(BGP)の Zero Trust

BGPで広報される経路情報は、経路の正しさを「RPKI」(Resource Public-Key Infrastructure)という仕組みで検証するようになっています。「信頼できない」という前提の「Zero Trust」の考え方に移行しつつあります。

「RPKI」で経路情報を検証し、正しい経路情報でインターネットが運用されていけば、 悪意のある経路ハイジャックを防止 することができます。

関連情報

関連する話題の調査リスト

2018年からCloudflareがBGPによる経路情報交換の信頼性向上(RPKIの啓蒙)に向かう。

DATE 情報源 タイトル 概要
2018/04/25 Cloudflare BGP leaks and cryptocurrencies
  • BGPとは
  • BGP leakとは
  • 何が起こった?
    • "Amazon"に割り当てられたIPネットワークを"Hurricane Electric"が"eNet Inc"のものであると広告した。
    • 影響
    • 過失の責任者は誰?
2018/09/19 Cloudflare RPKI - The required cryptographic upgrade to BGP routing
  • BGPの経路情報は安全ではない。
  • CloudflareはRPKIにコミットする
    • 経路リーク・経路ハイジャック事例
  • 簡単なBGP解説
2018/09/19 Cloudflare RPKI and BGP: our path to securing Internet Routing
  • 経路ハイジャックから保護する試み
  • 経路の精査・検証
  • 検証データを安全に効率よくルーターに投入
2018/11/16 Cloudflare How a Nigerian ISP Accidentally Knocked Google Offline
  • ニカラグアのISPがGoogleを誤爆(経路リーク)
  • 多くのサービスがアクセス不能
2019/02/24 Cloudflare Cloudflare’s RPKI Toolkit
  • Cloudflareが使っているRPKIのツール紹介(オープンソース)
    • Githubで公開
  • GoRTR
    • Go言語
    • 検証されたROAリストをエッジに送信
  • OctoRPKI
    • Go言語
    • 検証したROAリストの作成と供給
2020/03/03 Cloudflare RPKI and the RTR protocol
  • RTRプロトコル(RFC8210)
2020/04/18 Cloudflare Is BGP Safe Yet? No. But we are tracking it carefully
  • RPKIに対応している環境かどうかの判別方法を提供
    • 不正な経路を流して、その影響を受けて、誤ったサイトに誘導されるかどうかを判別する。

Cloudflareの経路安全性やRPKIの情報共有サイト

Web サイト 概要
https://isbgpsafeyet.com/ Is BGP safe yet? No.
https://rpki.cloudflare.com/ RPKI Explore the Routing Security ecosystem

参考情報、出典

Cloudflare (English)

Cloudflare (日本語)

そのほか

Cloudflare リンク集

Cloudflareに関するメディア掲載記事(Published in an IT magazine)

Cloudflare 報道発表資料(Published in PRTIMES)

Classmethod

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

Cloudflare Proxy 導入後に発生した526エラーの原因と解決方法

Ryosuke IGARASHI

2024.04.05

サービス事業者向けリバースプロキシ フレームワーク Pingora ことはじめ

大瀧隆太

2024.03.31

2024/2/26 Webinar資料「ネットワーク業界から見た Cloudflare 動向」

平野尚志

2024.03.22

Gmailに届かないCloudflare経由の独自ドメインメールを調べてみた

suzuki.ryo

2024.03.21