#JANOG 51 Meeting Day1 ふじさんホール

Yoshikazu GOTO @goto_ipv6

松崎さん：JPIRRでみんなが使っている認証 ・だいたいみんなパスワード認証 →99% ・PGP認証で運用している人も →1.4% (のみっていう人は 0.7%) ・MAIL-FROM認証は、JPIRRでは無視される模様 #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：認証の拠り所 ・パスワード認証 →拠り所は共有パスワード→でも漏れやすい →運用が大事 →→申請者が変わったら、パスワードも変更？ →→申請メールを見られると、パスワードが漏洩 #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： ・PGP認証 →拠り所はPGP秘密鍵&鍵のパスフレーズ →みんな担当者個人のを #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：PGP認証でも注意が必要 ・再送攻撃に脆弱 →昔の情報で上書きされる危険性が →オブジェクトに毎回変わる何かがあればよかった ・実際は、継続的に変化するのは as-pathぐらい #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：IRRの今後 ・認証、どうします？ →他では Webベースの認証方式があったりも #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：RPKI ・IPアドレスとかAS番号の分配を証明できる認証基盤 →分配にもとづいてROAなどの電子証明書を発行できる →コンピュータで自動処理しやすい #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： ・経路制御に活用が広がりつつある →ROA→あるPrefixの生成元ASを記載する証明書 →ROAを収集して経路確認に利用 #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ASPA ・そのASのプロバイダーとなっているASを記載する証明書 →一つのASが発行できるASPAは一つだけ →一つのASPAに複数のプロバイダーASを登録できる #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： ・ASPAを経路フィルターに使おうという議論がIETFでも #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ASPAの利点欠点 利点 ・多分ルータにとって軽い →おそらく証明書検証は外部 →ルータには検証後のリストだけ →経路送受信時に比較するだけ ・人にとっても軽い →ROAと同じく発行するだけ #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

・段階導入できる →AS_PATHの一部でも適用可能 #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： 欠点 ・分からない箇所はある →上流のピアは信頼できるか ・AS単位の制御なので表現できないこともある →例えば、部分トランジット →例えば、Prefixごとに上流を変える #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ASPA下での経路ハイジャック手法 ・悪意のAS_Xが、AS_Zの経路を乗っ取る #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ASPAはみんなが発行するほど強くなる ・AS_PATHの中で検証できる範囲が広がる #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ピア先の確認大事 ・ASPAはトランジット関係を検証できるが、ピア関係は検証できない ・ピアを張ろうとしている相手は本当にそのASですか？ ・偽物である危険性もある ・悪者がちゃんとお金を払って顧客になる場合も #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ピアを張る前に相手の確認が大事 ・あんまり知らない相手との調整時が特に危ない ・調整の連絡時には、公式窓口にも念のためCcしておく →peeringdbに書いてあるpolicy/noc窓口とか #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

・連絡先メールアドレスが不審ではないか #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ASPAはAS_PATHフィルターを代用できるか？ ・ピア向け、顧客向けのAS_PATHフィルター →受信対象の経路のみ受け取る →現状はメール連絡 or IRR as-setでフィルター作成 #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： ・ASPA →Valid →Invalid →Unknown：AS_PATHの代用にするなら受け取っちゃだめ #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん： ・みんながASPAを発行すれば可能 →ASPA Validな経路だけを受信する ・ASPAを集めれば、静的なAS_PATHフィルターを自動生成できる →古いルーターでもASPAの恩恵を受けられる #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

・ルーターがASPA検証に対応すれば、もうちょっと自動化もはかどる #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：ポイント ・IRR登録を頑張ろう ・RPKI ROA発行もよろしく ・ASPAが発行できる世界になったらみんなで頑張ろう ・ピア先の確認は大事 →いろいろなネットワークオペレーターと仲良しになって #janog #janog51_fujisan_hall

Yoshikazu GOTO @goto_ipv6

松崎さん：JPIRRに思うこと ・更新の手段に要望あります？ →メールでも大丈夫 →Webベース？ →APIほしい？→いらっしゃいますね 欲しい機能があれば、JPNICに届けてあげると、検討してもらえる #janog #janog51_fujisan_hall

てぃーじぇ @tj8000rpm

BGP運用は全くやってないがAPIほしいっていう人が意外と少なかった #janog #janog51_fujisan_hall

じふ @yuuturn5

最近JPIRRの登録したので会場からのコメントめっちゃ同意。 メールベースだとRouteオブジェクトを一気に登録削除とか、定期更新がメールだと自動化しやすいとか、やっぱりパスワードが気になるとか #janog #janog51_fujisan_hall