なぜ、RPKIを啓蒙してるんだっけ？

インターネットの自律システム(AS)

「BGPとは？| BGPルーティングの説明」で、インターネットについて説明されています。インターネットは何十万もの「自律システム」(autonomous systems、一般的に"AS"と省略表記される)と呼ばれる小規模なネットワークの集合体である。その自律システムは「ルーター」で構成されている。

インターネットはネットワークのネットワークです。自律システム（AS）と呼ばれる何十万に分割された小規模ネットワークから成り、各ASは本質的には単一組織により運営されるルーターの大規模なプールです。

The Internet is a network of networks. It is broken up into hundreds of thousands of smaller networks known as autonomous systems (ASes). Each of these networks is essentially a large pool of routers run by a single organization.

各ASは、BGP （Border Gateway Protocol）を介して他のASと経路情報を交換します。インターネットにつながっているすべてのAS（ルーター）は、常にインターネット全体の経路（full route）を更新・維持しています。

関連情報

• ASとは （JPNIC、"Autonomous Systems"、自律システム）
• 用語解説：自律システムとは？| ASNとは？
• 用語解説：BGPとは？| BGPルーティングの説明

信頼（Trust）に基づくBGPリスク

「BGPとは？| BGPルーティングの説明」で、BGPによる経路情報交換のリスク（弱点）について説明されています。BGPでは、誤った経路情報であっても信頼して、近隣へ広報してしまいます。悪意が有ろうと、無かろうと、大規模な混乱が発生してしまいます。

「BGPとは？| BGPルーティングの説明」で、紹介されている事例概要

• 2008年、パキスタンで、パキスタンからYouTubeへのアクセスを妨害⇒World Wideでアクセス障害発生
• 2019年、小さな会社がVerizonへの優先経路⇒インターネット接続障害
• 2018年、10万ドル相当の暗号通貨を盗む経路ハイジャック事件

BGPで広告された経路情報の正しさを検証できず、信頼して、誤った経路にルーティングしてしい、混乱に陥る。

経路情報(BGP)の Zero Trust

BGPで広報される経路情報は、経路の正しさを「RPKI」(Resource Public-Key Infrastructure)という仕組みで検証するようになっています。「信頼できない」という前提の「Zero Trust」の考え方に移行しつつあります。

「RPKI」で経路情報を検証し、正しい経路情報でインターネットが運用されていけば、 悪意のある経路ハイジャックを防止 することができます。

関連情報

• 用語解説：BGPとは？| BGPルーティングの説明
• 2018/04/25 BGP leaks and cryptocurrencies
• 2018/09/19 RPKI - The required cryptographic upgrade to BGP routing
• 2018/09/19 RPKI and BGP: our path to securing Internet Routing

関連する話題の調査リスト

2018年からCloudflareがBGPによる経路情報交換の信頼性向上（RPKIの啓蒙）に向かう。

DATE	情報源	タイトル	概要
2018/04/25	Cloudflare	BGP leaks and cryptocurrencies	BGPとは BGP leakとは 何が起こった？ "Amazon"に割り当てられたIPネットワークを"Hurricane Electric"が"eNet Inc"のものであると広告した。 影響 過失の責任者は誰？
2018/09/19	Cloudflare	RPKI - The required cryptographic upgrade to BGP routing	BGPの経路情報は安全ではない。 CloudflareはRPKIにコミットする 経路リーク・経路ハイジャック事例 簡単なBGP解説
2018/09/19	Cloudflare	RPKI and BGP: our path to securing Internet Routing	経路ハイジャックから保護する試み 経路の精査・検証 検証データを安全に効率よくルーターに投入
2018/11/16	Cloudflare	How a Nigerian ISP Accidentally Knocked Google Offline	ニカラグアのISPがGoogleを誤爆（経路リーク） 多くのサービスがアクセス不能
2019/02/24	Cloudflare	Cloudflare’s RPKI Toolkit	Cloudflareが使っているRPKIのツール紹介（オープンソース） Githubで公開 GoRTR Go言語 検証されたROAリストをエッジに送信 OctoRPKI Go言語 検証したROAリストの作成と供給
2020/03/03	Cloudflare	RPKI and the RTR protocol	RTRプロトコル(RFC8210)
2020/04/18	Cloudflare	Is BGP Safe Yet? No. But we are tracking it carefully	RPKIに対応している環境かどうかの判別方法を提供 不正な経路を流して、その影響を受けて、誤ったサイトに誘導されるかどうかを判別する。

Cloudflareの経路安全性やRPKIの情報共有サイト

Web サイト	概要
https://isbgpsafeyet.com/	Is BGP safe yet? No.
https://rpki.cloudflare.com/	RPKI Explore the Routing Security ecosystem

参考情報、出典

Cloudflare (English)

• What is BGP hijacking?

• Cloudflare Docs
• The Cloudflare Blog (related tags：rpki, bgp, outage, security, peering)
  • RPKI（Resource Public Key Infrastructure）Tag
    • 2022/12/16 Helping build a safer Internet by measuring BGP RPKI Route Origin Validation
    • 2022/02/23 BGP security and confirmation biases
    • 2021/11/13 Fixing Recent Validation Vulnerabilities in OctoRPKI
    • 2021/03/25 Protecting Cloudflare Customers from BGP Insecurity with Route Leak Detection
    • 2020/11/06 The Internet is Getting Safer: Fall 2020 RPKI Update
    • 2020/04/18 Is BGP Safe Yet? No. But we are tracking it carefully
    • 2020/03/03 RPKI and the RTR protocol
    • 2019/06/27 The deep-dive into how Verizon and a BGP Optimizer Knocked Large Parts of the Internet Offline Monday
    • 2019/06/17 Welcome to Crypto Week 2019
    • 2019/02/24 Cloudflare’s RPKI Toolkit
    • 2018/09/19 RPKI and BGP: our path to securing Internet Routing
    • 2018/09/19 RPKI - The required cryptographic upgrade to BGP routing
  • Facebook outage (2022/10)
    • 2021/10/09 What happened on the Internet during the Facebook outage
    • 2021/10/05 Understanding how Facebook disappeared from the Internet
  • Amazon route leak、route hijack (2018/04/24)
    • 2018/04/25 BGP leaks and cryptocurrencies
  • Route Hijacks 、 Route leaks
    • 2020/03/03 RPKI and the RTR protocol
    • 2018/11/16 How a Nigerian ISP Accidentally Knocked Google Offline
    • 2018/04/11 Fixing reachability to 1.1.1.1, GLOBALLY!
  • North American Network Operators Group (NANOG)
    • 2017/02/02 NANOG - the art of running a network and discussing common operational issues

Cloudflare (日本語)

• BGPハイジャックとは？
• The Cloudflare Blog
  • RPKI （Resource Public Key Infrastructure）(JP)
    • 2021/03/25 ルートリーク検出でCloudflareユーザーをBGPの不安から保護
    • 2020/04/18 BGPはまだ安全ではなく、注意深く追跡することが必要
  • 経路ハイジャック（BGPハイジャック）
    • 2022/11/25 BGPコミュニティがASパスプリペンドよりも優れている理由
    • 2022/11/24 ルートリークの検出方法と新しいCloudflare Radarルートリークサービス
    • 2021/03/25 ルートリーク検出でCloudflareユーザーをBGPの不安から保護
    • 2020/04/18 BGPはまだ安全ではなく、注意深く追跡することが必要
    • 2019/06/18 マルチパスドメイン認証（Multipath Domain Control Validation）を使用した証明書発行の保護
  • Facebook が消えた日（2022/10）
    • 2021/10/05 フェイスブックがインターネットから消えた事件を 解明する

そのほか

• • 2021/03/30 IIJのRPKIの取り組み
  • 2021/01/27 RPKI 101(2020/05)
  • 2019/10/17 経路ハイジャックとROAの話
  • 2014/12/05 インターネット経路制御の信頼性向上に向けて～RPKIの普及と課題～

Cloudflare リンク集

Cloudflareに関するメディア掲載記事（Published in an IT magazine）

Cloudflare 報道発表資料（Published in PRTIMES）

Classmethod

• • 「Cloudflare」タグの記事一覧