このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
インターネットトラフィックは、ボーダーゲートウェイプロトコル(BGP)に依存して、ネットワーク間の転送先を見つけます。ただし、このトラフィックは、設定エラーや悪意のあるアクションによって誤った誘導を受けることがあります。トラフィックが通過するよう意図していないネットワークを通過することは、ルートリークと呼ばれます。私たちは、ブログで、複数回にわたり、BGPルートリークとそれがインターネットルーティングに与える影響について書いてきました。また、BGPにおけるパス検証の未来について示唆したことも何度かあります。
ネットワークコミュニティは、インターネットトラフィックの最終的な目的地を検証する点で大幅な進歩を遂げましたが、そこに到達するまでの実際の経路の安全性を確保することは、信頼性の高いインターネットを維持するための重要な課題となっています。これに対処するため、業界は、ネットワークトラフィックの経路全体を検証し、経路リークを防ぐように設計されたASPA(Autonomous System Provider Authorization)と呼ばれる新しい暗号標準を採用しています。
コミュニティがこの規格の展開を追跡できるように、Cloudflare Radarは新しいASPA導入監視機能を導入しました。このビューでは、5つの地域インターネットレジストリ(RIR)全体で、ASPA採用状況を時系列で観察し、自律システム(AS)レベルでのASPAレコードや変化を時系列で見ることができます。
ASPAの仕組みを理解するには、現在インターネットがトラフィックの宛先をどのように保護しているかを調べると良いでしょう。
現在、ネットワークは RPKI(リソースパブリック鍵インフラストラクチャ) と呼ばれるセキュアなインフラストラクチャシステムを使用しており、ここ数年で 導入が大幅に増えています。RPKIでは、ネットワークはROA(Route Origin Authorization)と呼ばれる特定の暗号レコードを発行します。ROAは検証可能なデジタルIDカードとして機能し、自律システム(AS)が特定のIPアドレスを広報することを正式に許可されていることを確認します。これは、あるネットワークが別のネットワークになりすます「オリジンハイジャック」の問題に対処するものです。
ASPA(自律システムプロバイダー認証)は、この基盤上に直接構築されています。ROAが目的地を確認するのに対し、ASPAレコードはその道のりを検証します。
データがインターネット上を移動する際、通過するすべてのネットワークの実行ログを保持します。BGPでは、このログはAS_PATH(自律システムパス)として知られています。ASPAは、ネットワークがRPKIシステム内で認定されたアップストリームプロバイダーのリストを公式に公開する方法を提供します。これにより、受信ネットワークはAS_PATHを見て、関連するASPAレコードをチェックし、トラフィックが承認されたネットワークチェーンを通過したことを確認できます。
ROAはトラフィックが正しい目的地に到着することを保証し、ASPAはトラフィックがそこに到達するために意図した許可されたルートを通ることを保証します。経路評価が実際にどのように機能するかを見てみましょう。
ASPAは、ルートが迂回であるかどうかをどのように認識するのでしょうか?インターネットの階層に依存しています。
健全なインターネットルーティングトポロジー(“valley-free” ルーティング), 通常、トラフィックは特定の経路をたどります。顧客から大規模プロバイダー(大手インターネットサービスプロバイダーなど)まで「上」に移動し、必要に応じて別の大手プロバイダーにまたがり、送信先が制限されています。これは「山」の形として視覚化できます。
アップランプ:トラフィックは、顧客から始まり、より大規模なプロバイダー(ISP)を経由して「上」に移動します。そこで、ISPは他のISPにトラフィックをトランジットしてもらうための支払いを行います。
The Apex: インターネットバックボーンの最上位層に到達し、単一のピアリングリンクを通過する場合があります。
ダウンランプ:これは、プロバイダーを経由して「下」に移動して、目的地であるお客様に到達します。
「バレーフリー」ルーティングを視覚化する。ルートはプロバイダーにまで伝播し、必要に応じて1つのピアリングリンクを経由して顧客に伝播します。
このモデルでは、ルートリークはバレーまたは最初の急激な上昇のようなものです。こうしたリークの1つは、トラフィックが顧客に流れ込み、その後、予期せず別のプロバイダーに戻ろうとする場合です。
お客様は、2つの大規模ネットワークプロバイダー間でトラフィックをトランジットすることを意図しておらず、備えることもできないため、このような「ダウンアンドアップ」の動きは望ましくないものです。
ASPAは、ネットワークオペレーターが暗号化された方法で認定プロバイダーを宣言できるようにし、受信ネットワークがASパスがこの期待される構造に従っていることを確認できるようにします。
ASPAは、ルート伝播の両端から「関係の連鎖」をチェックすることで、ASパスを検証します。
「Up」パスと「Down」パスが重複しているか、上部で交差する場合、そのルートは有効です。山型はそのまま。
しかし、2つの有効なパスが一致しない場合、つまり中央に承認が行われていない、または無効なギャップがある場合は、ASPAはこうしたパスに問題があると報告します。このギャップは、「バレー」またはリークを表します。
ネットワーク(AS65539)が顧客(AS65538)から不正なルートを受信したシナリオを見てみましょう。
お客様(AS65538)は、あるプロバイダー(AS65537)から受信したトラフィックを別のプロバイダー(AS65538)に「アップ」送信しようとしており、プロバイダー間のブリッジのように機能します。これは典型的なルートリークです。次は、ASPAの検証プロセスについて説明します。
Up-Ramp をチェックします。元のソース (AS65536) がプロバイダーを承認します。(合格をチェック)。
Down-Rampをチェックします。目的地から始まって振り返ります。お客様(AS65538)が表示されています。
不一致:アップランプはAS65537で終了し、ダウンランプは65538で終了します。2つのランプは接続されません。
「上」パスと「下」パスが接続できないため、システムはこれをASPA 無効としてフラグを立てます。RPKIに署名されたASPAオブジェクトがないと、どのネットワークがどのプレフィックスを誰にアドバタイズすることを許可されているかを見つけることができないため、このパスの検証を行うためにASPAが必要となります。各ASのプロバイダーネットワークのリストに署名することで、どのネットワークがラテラルまたはアップストリームにプレフィックスを伝播できるかを把握できます。
ASPAは、攻撃者が実際のオリジンプレフィックスへのBGPパスを装ってアドバタイズすることにより、Route Origin Validation(ROV)をバイパスする偽造オリジンハイジャックに対する効果的な防御として機能します。オリジンASは正しいままですが、ハイジャッカーと被害者の関係は捏造されています。
ASPAは、被害者のネットワークが実際の認定プロバイダーを暗号的に宣言できるようにすることで、この欺瞞性を公開します。ハイジャッカーが許可リストに載っていないため、パスは無効として拒否され、悪意のあるリダイレクトを効果的に阻止します。
ただし、ASPAは偽造されたオリジンハイジャックから完全に保護することはできません。ASPAの検証であっても、ネットワーク上のこの種の攻撃を完全に防ぐことができないケースが少なくとも1つあります。ASPAが説明できない偽造オリジンハイジャックの例としては、プロバイダーが顧客へのパスアドバタイズを偽造する場合があります。
基本的に、プロバイダーは、別のASとのピアリングリンクを「偽造」して、そのようなピアリングリンクが存在しない場合でも、AS_PATHの長さが短い顧客からのトラフィックを引き付けることができるのです。ASPAはプロバイダー情報に対してのみ機能し、ピアリング関係については何も知らないため、プロバイダーによるこのパス偽造を防ぐことはできません。
そのため、ASPAは偽造されたオリジンハイジャックルートを拒否する効果的な手段となり得ますが、それでも効果がない稀なケースも存在し、それらについては注目に値します。
ネットワーク(または自律システム)のASPAオブジェクトの作成は、現在、RIPEやARINなどのレジストリで簡単なプロセスになっています。必要なのは、AS番号とインターネット中継サービスを購入するプロバイダーのAS番号だけです。これらは、IPアドレスをインターネット全体に公開することを許可された、信頼できるアップストリームネットワークです。逆に、これらはインターネットの他の部分への到達方法を示す完全なマップとして機能する、完全なルーティングテーブルの送信を許可したネットワークでもあります。
簡単な例を挙げながら、ASPAオブジェクトの作成がいかに簡単かをご紹介します。
例えば、Cloudflareロンドンオフィスインターネットに使用するASであるAS203898のASPAオブジェクトを作成する必要があるとします。この記事の執筆時点で、当社ではAS8220、AS2860、AS1273の3つのインターネットプロバイダーを利用しています。つまり、これら3つのプロバイダーメンバーをリストに追加して、AS203898のASPAオブジェクトを作成することになります。
まず、RIPE RPKIダッシュボードにログインし、ASPAセクションに移動します。
次に、ASPAオブジェクトを作成したいオブジェクトの「Create ASPA」をクリックします。そこから、そのASのプロバイダーを記入するだけです。
非常にシンプルです。少し待つと、グローバルRPKIエコシステムにクエリが実行され、定義したプロバイダーを持つAS203898のASPAオブジェクトを見つけることができます。
これは、現在ASPAオブジェクトの作成をサポートしている唯一のRegional Internet Registry(RIR)であるARINにとっても同様の状況が見られます。ARINオンラインにログインし、ルーティングセキュリティに移動して「RPKIの管理」をクリックします。
そこから、「ASPAを作成」をクリックします。この例では、別のASNであるAS400095のオブジェクトを作成します。
これで、以上です。これで、プロバイダーAS0を使用して、AS40095のASPAオブジェクトを作成しました。
「AS0」プロバイダーエントリは使用される場合が特別で、AS所有者が自分のネットワークに有効なアップストリームプロバイダーが存在しないことを証明することを意味します。定義上、トランジットのないTier-1ネットワークは、実際にピアと顧客の関係だけを持つ場合、最終的にオブジェクトに「AS0」だけでASPAに署名する必要があります。
Cloudflare Radarの新しいASPA機能
Cloudflare Radarに新しいASPAデプロイメント監視機能を追加しました。新しいASPA展開ビューでは、ASPA導入の増加を経時的に検証することができ、AS登録に基づく5つのRegional Internet Registries(RIRs)全体の傾向を可視化することができます。
また、ASPAデータを国/地域と自律システム番号ルーティングページに直接統合しました。ユーザーは、ローカルに登録されたお客様のASNから関連するASPAレコードに基づいて、さまざまな場所でインフラストラクチャのセキュリティ対策がどのように進められているかを追跡できるようになりました。
また、AS203898など、特定の自律システム(AS)にズームインすると新しい機能も得られます。
ネットワークの観測されたBGPアップストリームプロバイダーがASPA認証されているかどうか、ASPAオブジェクト内のプロバイダーの全リスト、ASに関連するASPA変更のタイムラインを確認できます。
ついに、ASPAが実現し、インターネットパス検証のための暗号化アップグレードがあります。しかし、ルートオリジン検証のためにRPKIの開始当初から関わってきた人々は、インターネット上で実際に大きな価値を提供するまでには長い道のりになることを知っています。実際にASPAオブジェクトを使用してパスを検証するには、RPKI Relaying Party(RP)パッケージ、署名者実装、RTR(RPKI-to-Router protocol)ソフトウェア、BGP実装に変更が必要です。
ASPAの採用に加えて、運用者はRFC9234に記載されているように、BGPロールも設定する必要があります。BGPセッションに設定されるBGPロールは、将来的にルーターにASPAを実装する際に、上流または下流のどのアルゴリズムを適用するかを決定するのに役立ちます。つまり、BGPロールは、オペレータとして、他のASとの意図したBGP関係をこれらの近隣のASとのセッションに直接結びつける能力を与えます。ルーティングベンダーに確認して、RFC9234 BGPロールとOTC(Only-to-Customer)属性の実装をサポートしていることを確認してください。
ASPAを最大限に活用するために、すべてのお客様が各自のAS用にASPAオブジェクトを作成することをお勧めします。これらのASPAオブジェクトの作成と保守には、細心の注意を払う必要があります。将来的に、ネットワークはこれらのレコードを使用して無効なパスを積極的にブロックするため、正当なプロバイダーを省略すると、トラフィックがドロップされる可能性があります。しかし、このリスクの管理は、現在ネットワークがすでにルートオリジン認証(ROA)を処理している方法と異なるものはありません。ASPAは、インターネットパスの検証に必要な暗号化のアップグレードであり、ここに移行したことをうれしく思います。