SlideShare a Scribd company logo
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
RPKIやってみませんか?
インフラストラクチャ本部 データセンターチーム マネージャー 黒河内 倫
Copyright © GREE, Inc. All Rights Reserved.
氏名
黒河内 倫(くろこうち おさむ)
所属
グリー株式会社 インフラストラクチャ本部
データセンターチーム マネージャー
プロフィール
2002年 イッツ・コミュニケーションズ株式会社
2006年 楽天株式会社 ネットワーク構築・運用チーム
2011年 グリー株式会社 データセンターチーム
自己紹介
Copyright © GREE, Inc. All Rights Reserved.
会社紹介
従業員数
1,867人(グループ全体・2014年09月末時点)
事業内容
ソーシャルゲーム事業
ソーシャルメディア事業
プラットフォーム事業
広告・アドネットワーク事業
ライセンス&マーチャンダイジング事業
ベンチャーキャピタル事業
Copyright © GREE, Inc. All Rights Reserved.
1. グリーとしてのRPKIへのモチベーション
2. モックアップ環境での検証
3. Production環境適用にむけて
4. 課題と感じたところ
5. まとめ
目次
Copyright © GREE, Inc. All Rights Reserved.
1. グリーのRPKIへの
モチベーション
Copyright © GREE, Inc. All Rights Reserved.
Securityというよりは障害検知が目的
弊社は事業上、日本の携帯キャリアへの通信が多い
携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利用しているため、1Prefixあたりのユーザ数は多い
そのため1Prefixでも障害が発生した場合、その影響範囲は大きい
もし、Mis-Originationされた経路がBGPで広報されても
何かしらの形で対応できる手段が欲しい
RPKIに期待
Copyright © GREE, Inc. All Rights Reserved.
RPKIで守れること
他ASのPrefixがMis-Originationされた際の対応が可能
具体的にはROAサーバの情報とBGPで受診した経路を比較し
その結果を用いて、attributeを書き換えることができる
守れるもの
守れないもの
自ASのPrefixがMis-Originationされた際
→ BGPMON/経路奉行などで対応可能
ASごとMis-Originationされた際
→ 後ほど岡田さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved.
2. モックアップ環境での検証
Copyright © GREE, Inc. All Rights Reserved.
まずはモックアップ検証
ROAサーバ
JPNIC様のROAキャッシュサーバを利用
更に弊社(AS55394)のPrefixをROAサーバに登録
ネットワーク検証環境
以下のソフトウェアを用意して検証を行った
VMware ESXi5.1
CISCO CSR1000v
Juniper FireFly
※いずれもMakerのSiteからDownload可能
Copyright © GREE, Inc. All Rights Reserved.
CSR1000v
OS : IOS-XE 3.10.03.S
IPアドレス :192.168.1.48/24
AS番号 : 65000
Firefly
OS : JUNOS 12.1X46-D10
IPアドレス :192.168.1.49/24
AS番号 : 65001
ESXiサーバ
検証環境Gateway
192.168.1.0/24
インターネット
192.41.192.218
(JPNIC様 ROAキャッシュサーバ)
RPKIプロトコル
BGP Peer
ダミー経路送信
10.0.0.0/8
116.93.144.0/20
グローバルIPにNAT
Origin
Validation
検証構成
route-map origin-validation permit 10
match rpki invalid
set local-preference 90
route-map origin-validation permit 20
match rpki not-found
set local-preference 100
route-map origin-validation permit 30
match rpki valid
set local-preference 110
Copyright © GREE, Inc. All Rights Reserved.
検証結果
イレギュラーパターンで問題は発生したものの
ROAサーバへの接続、OriginValidation自体は問題なく動作した
csr1000v#show ip bgp
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
I*> 116.93.144.0/20 192.168.1.49 90 0 65001 i
N*> 10.0.0.0/8 192.168.1.49 100 0 65001 i
csr1000v#show ip bgp rpki table | inc 116.93.144.0
116.93.144.0/20 24 55394 0 192.41.192.218/323
116.93.144.0
ROAサーバ上はAS55394-Originだが受信経路は65001-Originのため”Invalid” → LP90
10.0.0.0
ROAサーバに登録がないため”Not Found” → LP100
JPNIC様のROAサーバから受信されている
Copyright © GREE, Inc. All Rights Reserved.
3. Production環境適用に向けて
Copyright © GREE, Inc. All Rights Reserved.
グリーで考えている構成案
構成概要
ASR9000を利用する予定
Route ReflectorでOriginValidationを行う
※全BGP-RouterがRPKI対応していないため
設計ポリシー
Local Preferenceで制御
invalidの場合:Local Preference”-50”
not-foundの場合:Pass
validの場合:Local Preferenceを”+50”
ROAサーバ
未定(考え中)
Copyright © GREE, Inc. All Rights Reserved.
ASR9000でのRoute Reflector構成を検討
ASR9000
(Route Reflector)
ASR9000
(Route Reflector)
Route ReflectorでValidationを行い、それをClientに返せるか!?
Origin
Validation
TransitRouter TransitRouter TransitRouter
そもそもValidationできませんでした
RPKI非対応 RPKI非対応 RPKI非対応
Copyright © GREE, Inc. All Rights Reserved.
RPKIはiBGPでは対応していない
RFCにも(明言はされていないが)、
基本的にはExternalの接続を想定されている
そのためeBGPのみに適用される
外部接続部分のRouterでValidationを行う前提に
標準化もRouterOSも実装もされている
この様にAS内の一箇所で集中的に
Validationする設計はできない
Copyright © GREE, Inc. All Rights Reserved.
4.課題と感じたところ
環境の都合上、Cisco様の機器をベースに情報を記載をさせて頂きます
Copyright © GREE, Inc. All Rights Reserved.
IPv4とIPv6の指定ができない(不具合がある訳ではない)
IPv4だけのネットワークでも、ROAサーバにIPv6の情報があれば、
IPv4/IPv6すべての情報がSyncされてしまう
ROAサーバ側の課題(その1)
IPv4/IPv6の指定が出来ない
Copyright © GREE, Inc. All Rights Reserved.
RPKIにはMaxlenという(MaxPrefixLength)という項目があるが、
このようなテーブルを発見した
ROAサーバ側の課題(その2)
Maxlenが活かされてない
Network Maxlen Origin-AS Source Neighbor
2.0.0.0/16 16 3215 0 210.173.170.254/323
2.0.0.0/12 16 3215 0 210.173.170.254/323
2.1.0.0/16 16 3215 0 210.173.170.254/323
2.2.0.0/16 16 3215 0 210.173.170.254/323
2.3.0.0/16 16 3215 0 210.173.170.254/323
2.4.0.0/16 16 3215 0 210.173.170.254/323
2.5.0.0/16 16 3215 0 210.173.170.254/323
2.6.0.0/16 16 3215 0 210.173.170.254/323
2.8.0.0/16 16 3215 0 210.173.170.254/323
2.9.0.0/16 16 3215 0 210.173.170.254/323
2.10.0.0/16 16 3215 0 210.173.170.254/323
2.11.0.0/16 16 3215 0 210.173.170.254/323
2.12.0.0/16 16 3215 0 210.173.170.254/323
2.13.0.0/16 16 3215 0 210.173.170.254/323
2.14.0.0/16 16 3215 0 210.173.170.254/323
こちらの詳細は、後ほど岡田さんより別途ご説明
Copyright © GREE, Inc. All Rights Reserved.
ネットワーク機器の課題(その1)
OriginValidation時の挙動
OriginValidationはRoute[map/Policy]で定義を行う
そのため動作としては、基本的に
Ext]
communityの添付
Local Preferenceの添付
などattributeを変更することしか出来ない
Invalid = “Mis-Origination”されているという状況であるため、
ここはalert(snmp/syslog)をあげる仕組みが欲しい
Copyright © GREE, Inc. All Rights Reserved.
ネットワーク機器の課題(その2)
Reboot時の挙動
機器にRebootなどが発生すると、
起動後のRoute(map/Policy)がすべてNotFoundの扱いとなってしまう
原因は起動時の動作が以下の通りとなるからである
1. RouterのOS起動
↓
2. BGP-Neighborが張られる
↓
3. ただしこの時点ではROAサーバとのPeerが貼れていない
そのためROA情報がないため、Route[map/Policy]が
全部Not-found扱いでFIBが作成される
↓
4. その後RPKIサーバに問い合わせる、
しかしFIBは完成しているため、FIB情報は上書きされない
エビデンス:clear ip bgp (soft)でFIBに書きかわる
対処方法:設定で回避可能であるか確認中(eemであれば対応可能)
Copyright © GREE, Inc. All Rights Reserved.
ネットワーク機器の課題(その3)
情報が少ない
弊社の環境上、Cisco機器(ASR9000/CSR1000v)での実装だった
特にASR9000(IOS-XR)については非常に苦労した
今回、Production環境の実装に向けては、
Cisco様に多大なご協力を頂いたが、Cisco様の中でも情報が少なかった
RPKIは2年以上前に実装されているにも関わらず、
現状利用Userが殆どいないことがわかった
Copyright © GREE, Inc. All Rights Reserved.
ROAキャッシュサーバの課題
配置方法PublicなROAサーバはインターネットのどこに配置すべきか?
EndUser
Validationされた経路がほしいユーザもいれば
自社でValidationしたいユーザもいる
ユーザとしては2つの提供パターンが欲しいがTransit/IXには負担がかかる
Transit
ValidationしたPrefixを提供するサービス
ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
IX(Internet Exchange)
Route SeverでValidationを行い、Prefixを提供するサービス
ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
Copyright © GREE, Inc. All Rights Reserved.
5.まとめ
Copyright © GREE, Inc. All Rights Reserved.
現状のRPKIを取り巻く状況
ROAキャッシュサーバ
RIRの足並みが揃っていないと感じる
+ 国際移転アドレスがAPNICのROAサーバに登録できなかった
+ 登録方法がRIRごとによってまちまちに見えた
ここはうまく連携をしてほしい
RPKI自体の信頼性が無くなるようなことには、なって欲しくない
Routerの実装
RPKIに対応しているMakerも少ない
またMakerでも情報や導入実績が少ない
実装面でも強化が必要
まだまだこれからのプロトコル
Copyright © GREE, Inc. All Rights Reserved.
今後のRPKI
本当の最終ゴールは”BGPSEC”としたい
BGPSEC=”Origin Validation”+”Path Validation”
ただ”Origin Validation”できなければ、
”BGPSEC”は実現できないと考える
幸い、RPKIは検証は簡単にできる
まずは一緒にRPKIを使い倒してみませんか?
Copyright © GREE, Inc. All Rights Reserved.
あるべき姿
まだこの辺り
1.インターネット上でのマスク長勝負がなくなる
※吸い込まれたら吸い込み返す世界はNo!!!
2.Secureでないネットワークが
インターネットに繋がっても、他の事業者に影響しない
3.間違ったPrefixが広報されても、Routingされない
まず最初の一歩を踏み出そう!
Copyright © GREE, Inc. All Rights Reserved.
参考資料
RPKI
https://www.nic.ad.jp/ja/rpki/
BGPSEC
https://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_07.html
JANOG
http://www.janog.gr.jp/meeting/janog30/program/rpk.html
http://www.janog.gr.jp/meeting/janog31/program/rpki.html
http://www.janog.gr.jp/meeting/janog32/program/rpki.html
Nanog
https://www.nanog.org/meetings/nanog52/presentations/Sunday/110612.nanog-origin-validation.pdf
https://www.nanog.org/meetings/nanog49/presentations/Tuesday/bgp-origin-validation-FINAL.pdf
Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.

More Related Content

What's hot

ターン制コマンドバトルにおける強化学習効率化
ターン制コマンドバトルにおける強化学習効率化ターン制コマンドバトルにおける強化学習効率化
ターン制コマンドバトルにおける強化学習効率化
gree_tech
 
OSS強化学習フレームワークの比較
OSS強化学習フレームワークの比較OSS強化学習フレームワークの比較
OSS強化学習フレームワークの比較
gree_tech
 
【デブサミ夏AL】グリーのboxの使い方
【デブサミ夏AL】グリーのboxの使い方【デブサミ夏AL】グリーのboxの使い方
【デブサミ夏AL】グリーのboxの使い方
Developers Summit
 
インターネットの維持再考(導入編)
インターネットの維持再考(導入編)インターネットの維持再考(導入編)
インターネットの維持再考(導入編)
gree_tech
 
Keynote
KeynoteKeynote
Keynote
gree_tech
 
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNA
 
ログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechcon
DeNA
 
Aws導入時にまず考える〇〇のこと
Aws導入時にまず考える〇〇のことAws導入時にまず考える〇〇のこと
Aws導入時にまず考える〇〇のこと
recotech
 
ゲームバランス調整補助のための強化学習の効率化
ゲームバランス調整補助のための強化学習の効率化ゲームバランス調整補助のための強化学習の効率化
ゲームバランス調整補助のための強化学習の効率化
gree_tech
 
Game BaaS Implemented in Ruby
Game BaaS Implemented in RubyGame BaaS Implemented in Ruby
Game BaaS Implemented in Ruby
dena_study
 
DeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
DeNAオリジナル ゲーム専用プラットフォーム SakashoについてDeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
DeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
Makoto Haruyama
 
ゲームインフラとGoogle Cloud Platformと酒!
ゲームインフラとGoogle Cloud Platformと酒!ゲームインフラとGoogle Cloud Platformと酒!
ゲームインフラとGoogle Cloud Platformと酒!
Hasegawa Yusuke
 
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
dena_study
 
これからはじめるインフラエンジニア
これからはじめるインフラエンジニアこれからはじめるインフラエンジニア
これからはじめるインフラエンジニア外道 父
 
ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208
Osamu Kurokochi
 
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechcon
DeNA
 
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
Dai Iwai
 
続・インターネットの維持
続・インターネットの維持続・インターネットの維持
続・インターネットの維持
gree_tech
 
grasysの仕組み解説
grasysの仕組み解説grasysの仕組み解説
grasysの仕組み解説
Hasegawa Yusuke
 
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
Dai Iwai
 

What's hot (20)

ターン制コマンドバトルにおける強化学習効率化
ターン制コマンドバトルにおける強化学習効率化ターン制コマンドバトルにおける強化学習効率化
ターン制コマンドバトルにおける強化学習効率化
 
OSS強化学習フレームワークの比較
OSS強化学習フレームワークの比較OSS強化学習フレームワークの比較
OSS強化学習フレームワークの比較
 
【デブサミ夏AL】グリーのboxの使い方
【デブサミ夏AL】グリーのboxの使い方【デブサミ夏AL】グリーのboxの使い方
【デブサミ夏AL】グリーのboxの使い方
 
インターネットの維持再考(導入編)
インターネットの維持再考(導入編)インターネットの維持再考(導入編)
インターネットの維持再考(導入編)
 
Keynote
KeynoteKeynote
Keynote
 
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechconDeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
DeNAのゲームを支えるプラットフォーム Sakasho #denatechcon
 
ログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechconログ分析で支えるゲームパラメータ設計 #denatechcon
ログ分析で支えるゲームパラメータ設計 #denatechcon
 
Aws導入時にまず考える〇〇のこと
Aws導入時にまず考える〇〇のことAws導入時にまず考える〇〇のこと
Aws導入時にまず考える〇〇のこと
 
ゲームバランス調整補助のための強化学習の効率化
ゲームバランス調整補助のための強化学習の効率化ゲームバランス調整補助のための強化学習の効率化
ゲームバランス調整補助のための強化学習の効率化
 
Game BaaS Implemented in Ruby
Game BaaS Implemented in RubyGame BaaS Implemented in Ruby
Game BaaS Implemented in Ruby
 
DeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
DeNAオリジナル ゲーム専用プラットフォーム SakashoについてDeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
DeNAオリジナル ゲーム専用プラットフォーム Sakashoについて
 
ゲームインフラとGoogle Cloud Platformと酒!
ゲームインフラとGoogle Cloud Platformと酒!ゲームインフラとGoogle Cloud Platformと酒!
ゲームインフラとGoogle Cloud Platformと酒!
 
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
DeNA の新しいネイティブ開発(パズル戦隊デナレンジャー)
 
これからはじめるインフラエンジニア
これからはじめるインフラエンジニアこれからはじめるインフラエンジニア
これからはじめるインフラエンジニア
 
ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208
 
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechcon
 
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
2021/09/25 JAZUG11周年記念LT大会 ~FSLogixのお話~
 
続・インターネットの維持
続・インターネットの維持続・インターネットの維持
続・インターネットの維持
 
grasysの仕組み解説
grasysの仕組み解説grasysの仕組み解説
grasysの仕組み解説
 
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
10/2勉強会資料 ~IaaSを知る前にサーバを知ろう~
 

Viewers also liked

focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...
Satoshi Suzuki
 
ライオンでも分かるVuejs
ライオンでも分かるVuejsライオンでも分かるVuejs
ライオンでも分かるVuejs
lion-man
 
Fringe81内定者研修2013 yコンベンチャー発表資料
Fringe81内定者研修2013 yコンベンチャー発表資料Fringe81内定者研修2013 yコンベンチャー発表資料
Fringe81内定者研修2013 yコンベンチャー発表資料Yuzuru Tanaka
 
LINEファミリーサービスの育て方 LINEバイトの場合
LINEファミリーサービスの育て方 LINEバイトの場合LINEファミリーサービスの育て方 LINEバイトの場合
LINEファミリーサービスの育て方 LINEバイトの場合
LINE Corporation
 
企画したUXをプロダクトに反映するディレクション
企画したUXをプロダクトに反映するディレクション企画したUXをプロダクトに反映するディレクション
企画したUXをプロダクトに反映するディレクション
LINE Corporation
 
Sano web広告最適化20131018v3
Sano web広告最適化20131018v3Sano web広告最適化20131018v3
Sano web広告最適化20131018v3Masakazu Sano
 
The monad fear
The monad fearThe monad fear
The monad fear
LINE Corporation
 
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよクライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
Seki Yousuke
 

Viewers also liked (8)

focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...
 
ライオンでも分かるVuejs
ライオンでも分かるVuejsライオンでも分かるVuejs
ライオンでも分かるVuejs
 
Fringe81内定者研修2013 yコンベンチャー発表資料
Fringe81内定者研修2013 yコンベンチャー発表資料Fringe81内定者研修2013 yコンベンチャー発表資料
Fringe81内定者研修2013 yコンベンチャー発表資料
 
LINEファミリーサービスの育て方 LINEバイトの場合
LINEファミリーサービスの育て方 LINEバイトの場合LINEファミリーサービスの育て方 LINEバイトの場合
LINEファミリーサービスの育て方 LINEバイトの場合
 
企画したUXをプロダクトに反映するディレクション
企画したUXをプロダクトに反映するディレクション企画したUXをプロダクトに反映するディレクション
企画したUXをプロダクトに反映するディレクション
 
Sano web広告最適化20131018v3
Sano web広告最適化20131018v3Sano web広告最適化20131018v3
Sano web広告最適化20131018v3
 
The monad fear
The monad fearThe monad fear
The monad fear
 
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよクライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
クライアントサイドMVVMアーキテクチャとVue.jsをまとめたよ
 

Similar to RPKIやってみませんか?

JANOG35_RPKIやってみませんか? 20150120
JANOG35_RPKIやってみませんか? 20150120JANOG35_RPKIやってみませんか? 20150120
JANOG35_RPKIやってみませんか? 20150120
Osamu Kurokochi
 
161218 cybozu SRE
161218 cybozu SRE161218 cybozu SRE
161218 cybozu SRE
tomonori-saito-cybozu
 
[AWS re:invent 2013 Report] AWS New EC2 Instance Types
[AWS re:invent 2013 Report] AWS New EC2 Instance Types[AWS re:invent 2013 Report] AWS New EC2 Instance Types
[AWS re:invent 2013 Report] AWS New EC2 Instance TypesAmazon Web Services Japan
 
YJTC18 A-1 データセンタネットワークの取り組み
YJTC18 A-1 データセンタネットワークの取り組みYJTC18 A-1 データセンタネットワークの取り組み
YJTC18 A-1 データセンタネットワークの取り組み
Yahoo!デベロッパーネットワーク
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
softlayerjp
 
ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計
gree_tech
 
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
Developers Summit
 
Application performance gree_20140908
Application performance gree_20140908Application performance gree_20140908
Application performance gree_20140908
Osamu Kurokochi
 
Sumo Logic活用事例とその運用
Sumo Logic活用事例とその運用Sumo Logic活用事例とその運用
Sumo Logic活用事例とその運用
gree_tech
 
インフラエンジニアの楽しい標準化活動
インフラエンジニアの楽しい標準化活動インフラエンジニアの楽しい標準化活動
インフラエンジニアの楽しい標準化活動
gree_tech
 
20130313 OSCA Hadoopセミナー
20130313 OSCA Hadoopセミナー20130313 OSCA Hadoopセミナー
20130313 OSCA Hadoopセミナー
Ichiro Fukuda
 
Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所
Tetsuya Odashima
 
愛せよ、さもなくば捨てよ。
愛せよ、さもなくば捨てよ。愛せよ、さもなくば捨てよ。
愛せよ、さもなくば捨てよ。
Sho Yoshida
 
ログについて改めて考えてみた
ログについて改めて考えてみたログについて改めて考えてみた
ログについて改めて考えてみた
株式会社オプト 仙台ラボラトリ
 
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoFRPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
gree_tech
 
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Osamu Kurokochi
 
コンテンツ事業者のネットワーク
コンテンツ事業者のネットワークコンテンツ事業者のネットワーク
コンテンツ事業者のネットワーク
Takehiro Yoshihama
 
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
Sho Yoshida
 
Hadoop conferencejapan2011
Hadoop conferencejapan2011Hadoop conferencejapan2011
Hadoop conferencejapan2011Ichiro Fukuda
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
Yahoo!デベロッパーネットワーク
 

Similar to RPKIやってみませんか? (20)

JANOG35_RPKIやってみませんか? 20150120
JANOG35_RPKIやってみませんか? 20150120JANOG35_RPKIやってみませんか? 20150120
JANOG35_RPKIやってみませんか? 20150120
 
161218 cybozu SRE
161218 cybozu SRE161218 cybozu SRE
161218 cybozu SRE
 
[AWS re:invent 2013 Report] AWS New EC2 Instance Types
[AWS re:invent 2013 Report] AWS New EC2 Instance Types[AWS re:invent 2013 Report] AWS New EC2 Instance Types
[AWS re:invent 2013 Report] AWS New EC2 Instance Types
 
YJTC18 A-1 データセンタネットワークの取り組み
YJTC18 A-1 データセンタネットワークの取り組みYJTC18 A-1 データセンタネットワークの取り組み
YJTC18 A-1 データセンタネットワークの取り組み
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
 
ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計ハイブリッドクラウドで変わるインフラストラクチャ設計
ハイブリッドクラウドで変わるインフラストラクチャ設計
 
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
【14-B-2】グリーを支えるデータ分析基盤の過去と現在(橋本泰一〔グリー〕)
 
Application performance gree_20140908
Application performance gree_20140908Application performance gree_20140908
Application performance gree_20140908
 
Sumo Logic活用事例とその運用
Sumo Logic活用事例とその運用Sumo Logic活用事例とその運用
Sumo Logic活用事例とその運用
 
インフラエンジニアの楽しい標準化活動
インフラエンジニアの楽しい標準化活動インフラエンジニアの楽しい標準化活動
インフラエンジニアの楽しい標準化活動
 
20130313 OSCA Hadoopセミナー
20130313 OSCA Hadoopセミナー20130313 OSCA Hadoopセミナー
20130313 OSCA Hadoopセミナー
 
Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所
 
愛せよ、さもなくば捨てよ。
愛せよ、さもなくば捨てよ。愛せよ、さもなくば捨てよ。
愛せよ、さもなくば捨てよ。
 
ログについて改めて考えてみた
ログについて改めて考えてみたログについて改めて考えてみた
ログについて改めて考えてみた
 
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoFRPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
 
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
 
コンテンツ事業者のネットワーク
コンテンツ事業者のネットワークコンテンツ事業者のネットワーク
コンテンツ事業者のネットワーク
 
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
 
Hadoop conferencejapan2011
Hadoop conferencejapan2011Hadoop conferencejapan2011
Hadoop conferencejapan2011
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
 

More from gree_tech

アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
gree_tech
 
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
gree_tech
 
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
gree_tech
 
アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~
gree_tech
 
長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化
gree_tech
 
Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介
gree_tech
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
gree_tech
 
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現についてSINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
gree_tech
 
海外展開と負荷試験
海外展開と負荷試験海外展開と負荷試験
海外展開と負荷試験
gree_tech
 
翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み
gree_tech
 
組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い
gree_tech
 
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
gree_tech
 
データエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件についてデータエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件について
gree_tech
 
シェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジーシェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジー
gree_tech
 
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
gree_tech
 
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
gree_tech
 
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
gree_tech
 
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
gree_tech
 
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
gree_tech
 
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
gree_tech
 

More from gree_tech (20)

アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
 
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
 
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
 
アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~アプリ起動時間高速化 ~推測するな、計測せよ~
アプリ起動時間高速化 ~推測するな、計測せよ~
 
長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化長寿なゲーム事業におけるアプリビルドの効率化
長寿なゲーム事業におけるアプリビルドの効率化
 
Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介Cloud Spanner をより便利にする運用支援ツールの紹介
Cloud Spanner をより便利にする運用支援ツールの紹介
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
 
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現についてSINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
 
海外展開と負荷試験
海外展開と負荷試験海外展開と負荷試験
海外展開と負荷試験
 
翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み翻訳QAでのテスト自動化の取り組み
翻訳QAでのテスト自動化の取り組み
 
組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い組み込み開発のテストとゲーム開発のテストの違い
組み込み開発のテストとゲーム開発のテストの違い
 
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介サーバーフレームワークに潜んでる脆弱性検知ツール紹介
サーバーフレームワークに潜んでる脆弱性検知ツール紹介
 
データエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件についてデータエンジニアとアナリストチーム兼務になった件について
データエンジニアとアナリストチーム兼務になった件について
 
シェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジーシェアドサービスとしてのデータテクノロジー
シェアドサービスとしてのデータテクノロジー
 
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
 
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
 
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
 
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
 
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
 
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
 

RPKIやってみませんか?

  • 1. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. RPKIやってみませんか? インフラストラクチャ本部 データセンターチーム マネージャー 黒河内 倫
  • 2. Copyright © GREE, Inc. All Rights Reserved. 氏名 黒河内 倫(くろこうち おさむ) 所属 グリー株式会社 インフラストラクチャ本部 データセンターチーム マネージャー プロフィール 2002年 イッツ・コミュニケーションズ株式会社 2006年 楽天株式会社 ネットワーク構築・運用チーム 2011年 グリー株式会社 データセンターチーム 自己紹介
  • 3. Copyright © GREE, Inc. All Rights Reserved. 会社紹介 従業員数 1,867人(グループ全体・2014年09月末時点) 事業内容 ソーシャルゲーム事業 ソーシャルメディア事業 プラットフォーム事業 広告・アドネットワーク事業 ライセンス&マーチャンダイジング事業 ベンチャーキャピタル事業
  • 4. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2. モックアップ環境での検証 3. Production環境適用にむけて 4. 課題と感じたところ 5. まとめ 目次
  • 5. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
  • 6. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、 NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待
  • 7. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり
  • 8. Copyright © GREE, Inc. All Rights Reserved. 2. モックアップ環境での検証
  • 9. Copyright © GREE, Inc. All Rights Reserved. まずはモックアップ検証 ROAサーバ JPNIC様のROAキャッシュサーバを利用 更に弊社(AS55394)のPrefixをROAサーバに登録 ネットワーク検証環境 以下のソフトウェアを用意して検証を行った VMware ESXi5.1 CISCO CSR1000v Juniper FireFly ※いずれもMakerのSiteからDownload可能
  • 10. Copyright © GREE, Inc. All Rights Reserved. CSR1000v OS : IOS-XE 3.10.03.S IPアドレス :192.168.1.48/24 AS番号 : 65000 Firefly OS : JUNOS 12.1X46-D10 IPアドレス :192.168.1.49/24 AS番号 : 65001 ESXiサーバ 検証環境Gateway 192.168.1.0/24 インターネット 192.41.192.218 (JPNIC様 ROAキャッシュサーバ) RPKIプロトコル BGP Peer ダミー経路送信 10.0.0.0/8 116.93.144.0/20 グローバルIPにNAT Origin Validation 検証構成 route-map origin-validation permit 10 match rpki invalid set local-preference 90 route-map origin-validation permit 20 match rpki not-found set local-preference 100 route-map origin-validation permit 30 match rpki valid set local-preference 110
  • 11. Copyright © GREE, Inc. All Rights Reserved. 検証結果 イレギュラーパターンで問題は発生したものの ROAサーバへの接続、OriginValidation自体は問題なく動作した csr1000v#show ip bgp Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x best-external, a additional-path, c RIB-compressed, Origin codes: i - IGP, e - EGP, ? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path I*> 116.93.144.0/20 192.168.1.49 90 0 65001 i N*> 10.0.0.0/8 192.168.1.49 100 0 65001 i csr1000v#show ip bgp rpki table | inc 116.93.144.0 116.93.144.0/20 24 55394 0 192.41.192.218/323 116.93.144.0 ROAサーバ上はAS55394-Originだが受信経路は65001-Originのため”Invalid” → LP90 10.0.0.0 ROAサーバに登録がないため”Not Found” → LP100 JPNIC様のROAサーバから受信されている
  • 12. Copyright © GREE, Inc. All Rights Reserved. 3. Production環境適用に向けて
  • 13. Copyright © GREE, Inc. All Rights Reserved. グリーで考えている構成案 構成概要 ASR9000を利用する予定 Route ReflectorでOriginValidationを行う ※全BGP-RouterがRPKI対応していないため 設計ポリシー Local Preferenceで制御 invalidの場合:Local Preference”-50” not-foundの場合:Pass validの場合:Local Preferenceを”+50” ROAサーバ 未定(考え中)
  • 14. Copyright © GREE, Inc. All Rights Reserved. ASR9000でのRoute Reflector構成を検討 ASR9000 (Route Reflector) ASR9000 (Route Reflector) Route ReflectorでValidationを行い、それをClientに返せるか!? Origin Validation TransitRouter TransitRouter TransitRouter そもそもValidationできませんでした RPKI非対応 RPKI非対応 RPKI非対応
  • 15. Copyright © GREE, Inc. All Rights Reserved. RPKIはiBGPでは対応していない RFCにも(明言はされていないが)、 基本的にはExternalの接続を想定されている そのためeBGPのみに適用される 外部接続部分のRouterでValidationを行う前提に 標準化もRouterOSも実装もされている この様にAS内の一箇所で集中的に Validationする設計はできない
  • 16. Copyright © GREE, Inc. All Rights Reserved. 4.課題と感じたところ 環境の都合上、Cisco様の機器をベースに情報を記載をさせて頂きます
  • 17. Copyright © GREE, Inc. All Rights Reserved. IPv4とIPv6の指定ができない(不具合がある訳ではない) IPv4だけのネットワークでも、ROAサーバにIPv6の情報があれば、 IPv4/IPv6すべての情報がSyncされてしまう ROAサーバ側の課題(その1) IPv4/IPv6の指定が出来ない
  • 18. Copyright © GREE, Inc. All Rights Reserved. RPKIにはMaxlenという(MaxPrefixLength)という項目があるが、 このようなテーブルを発見した ROAサーバ側の課題(その2) Maxlenが活かされてない Network Maxlen Origin-AS Source Neighbor 2.0.0.0/16 16 3215 0 210.173.170.254/323 2.0.0.0/12 16 3215 0 210.173.170.254/323 2.1.0.0/16 16 3215 0 210.173.170.254/323 2.2.0.0/16 16 3215 0 210.173.170.254/323 2.3.0.0/16 16 3215 0 210.173.170.254/323 2.4.0.0/16 16 3215 0 210.173.170.254/323 2.5.0.0/16 16 3215 0 210.173.170.254/323 2.6.0.0/16 16 3215 0 210.173.170.254/323 2.8.0.0/16 16 3215 0 210.173.170.254/323 2.9.0.0/16 16 3215 0 210.173.170.254/323 2.10.0.0/16 16 3215 0 210.173.170.254/323 2.11.0.0/16 16 3215 0 210.173.170.254/323 2.12.0.0/16 16 3215 0 210.173.170.254/323 2.13.0.0/16 16 3215 0 210.173.170.254/323 2.14.0.0/16 16 3215 0 210.173.170.254/323 こちらの詳細は、後ほど岡田さんより別途ご説明
  • 19. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その1) OriginValidation時の挙動 OriginValidationはRoute[map/Policy]で定義を行う そのため動作としては、基本的に Ext] communityの添付 Local Preferenceの添付 などattributeを変更することしか出来ない Invalid = “Mis-Origination”されているという状況であるため、 ここはalert(snmp/syslog)をあげる仕組みが欲しい
  • 20. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その2) Reboot時の挙動 機器にRebootなどが発生すると、 起動後のRoute(map/Policy)がすべてNotFoundの扱いとなってしまう 原因は起動時の動作が以下の通りとなるからである 1. RouterのOS起動 ↓ 2. BGP-Neighborが張られる ↓ 3. ただしこの時点ではROAサーバとのPeerが貼れていない そのためROA情報がないため、Route[map/Policy]が 全部Not-found扱いでFIBが作成される ↓ 4. その後RPKIサーバに問い合わせる、 しかしFIBは完成しているため、FIB情報は上書きされない エビデンス:clear ip bgp (soft)でFIBに書きかわる 対処方法:設定で回避可能であるか確認中(eemであれば対応可能)
  • 21. Copyright © GREE, Inc. All Rights Reserved. ネットワーク機器の課題(その3) 情報が少ない 弊社の環境上、Cisco機器(ASR9000/CSR1000v)での実装だった 特にASR9000(IOS-XR)については非常に苦労した 今回、Production環境の実装に向けては、 Cisco様に多大なご協力を頂いたが、Cisco様の中でも情報が少なかった RPKIは2年以上前に実装されているにも関わらず、 現状利用Userが殆どいないことがわかった
  • 22. Copyright © GREE, Inc. All Rights Reserved. ROAキャッシュサーバの課題 配置方法PublicなROAサーバはインターネットのどこに配置すべきか? EndUser Validationされた経路がほしいユーザもいれば 自社でValidationしたいユーザもいる ユーザとしては2つの提供パターンが欲しいがTransit/IXには負担がかかる Transit ValidationしたPrefixを提供するサービス ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス IX(Internet Exchange) Route SeverでValidationを行い、Prefixを提供するサービス ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
  • 23. Copyright © GREE, Inc. All Rights Reserved. 5.まとめ
  • 24. Copyright © GREE, Inc. All Rights Reserved. 現状のRPKIを取り巻く状況 ROAキャッシュサーバ RIRの足並みが揃っていないと感じる + 国際移転アドレスがAPNICのROAサーバに登録できなかった + 登録方法がRIRごとによってまちまちに見えた ここはうまく連携をしてほしい RPKI自体の信頼性が無くなるようなことには、なって欲しくない Routerの実装 RPKIに対応しているMakerも少ない またMakerでも情報や導入実績が少ない 実装面でも強化が必要 まだまだこれからのプロトコル
  • 25. Copyright © GREE, Inc. All Rights Reserved. 今後のRPKI 本当の最終ゴールは”BGPSEC”としたい BGPSEC=”Origin Validation”+”Path Validation” ただ”Origin Validation”できなければ、 ”BGPSEC”は実現できないと考える 幸い、RPKIは検証は簡単にできる まずは一緒にRPKIを使い倒してみませんか?
  • 26. Copyright © GREE, Inc. All Rights Reserved. あるべき姿 まだこの辺り 1.インターネット上でのマスク長勝負がなくなる ※吸い込まれたら吸い込み返す世界はNo!!! 2.Secureでないネットワークが インターネットに繋がっても、他の事業者に影響しない 3.間違ったPrefixが広報されても、Routingされない まず最初の一歩を踏み出そう!
  • 27. Copyright © GREE, Inc. All Rights Reserved. 参考資料 RPKI https://www.nic.ad.jp/ja/rpki/ BGPSEC https://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_07.html JANOG http://www.janog.gr.jp/meeting/janog30/program/rpk.html http://www.janog.gr.jp/meeting/janog31/program/rpki.html http://www.janog.gr.jp/meeting/janog32/program/rpki.html Nanog https://www.nanog.org/meetings/nanog52/presentations/Sunday/110612.nanog-origin-validation.pdf https://www.nanog.org/meetings/nanog49/presentations/Tuesday/bgp-origin-validation-FINAL.pdf
  • 28. Copyright © GREE, Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.