JANOG19 ミーティング 2日目 (1/26) のメモ

http://www.janog.gr.jp/meeting/janog19/program.html

1. 経路ハイジャック 〜経路奉行 meets JPIRR〜 (9:30- )

• • 経路ハイジャックが発生する原因
    • 不正経路の広報を許す為

• • 将来的には... (実装までに時間はかかるけど...)
    • soBGP、sBGP、pgBGP

• • 正しい経路とは？
    • パス属性 + NLRI で定義をしている
    • 経路奉行では...
      • origin AS と prefix で定義をしている
      • IRR の情報が正しくないと誤検知をしてしまう (RADB はゴミが多い)

• • 経路奉行 + JPIRR
    • 利用する IRR を RADB から JPIRR に変更をしたところ、誤検知の改善が出来た

• • ただし限界はある...
    • 経路広報元ルータのベスト経路以外は見えない
    • 経路広報元 AS が同じで、AS PATH が違う場合
    • そもそも設定情報が間違っている場合

2. これでいいのか TTL - 短いDNS TTLのリスクを考える (10:15- )

• • DNS とは
    • トランスポートは、主に UDP だが、条件によっては、TCP になる事もある
    • 問い合わせパケット : クエリ名 + ID + etc..
    • 応答パケット : クエリ名 + ID + 回答 + etc..
    • ID : 識別の為の 16bit の値

• • DNS cache poisoning 攻撃
    • DNS cache サーバに嘘の情報を cache させる
    • poisoning された DNS サーバを使うユーザは、別のサイトに誘導されてしまう (phishing の可能性がある)

• • 誕生日攻撃による poisoning
    • DNS RR の TTL が短い場合、cache サーバの問い合わせ頻度は、高くなる
    • DNS 応答を cache サーバに送り続けると、poisoning が出来てしまう

• • CDN 屋さんは、TTL を短くしているケースが多いので危険

3. MEDって曲者？ 〜BGPのベストパス選択の実際〜 (11:15- )

• • MED とは
    • BGP のパス属性のひとつ
    • optional non-transitive 属性
    • 値が小さいほうが優先

• • ベストパス選択プロセス
    • ベストパス選択は、優先度の高い属性を、一番上のエントリから順番に、タイブレーク方式で比較をする
    • RR や confederation を使用すると比較する経路が少なくなりやすい

• • BGP スピーカは、ベストパスのみを通知する

• • ループしてしまう場合...
    • MED の存在によって、タイブレークルールが完全には行われない

• • bgp always-compare-med
    • 隣接 AS の差異に関係なく、MED 値を常に比較

• • bgp deterministic-med
    • 隣接 AS ごとに比較対象の経路をグループ化し、同一 AS 内でのベストとなる経路を選択した後、違う AS グループでベストとなる経路と比較する

• • RFC3345 と RFC4451

• • Type 1 Churn 問題 と Type 2 Churn 問題

• • 解決方法
    • local_pref を使用する
    • ネットワークの入り口で、MED を同じ値に上書き
    • bgp always-compare-med を使用する
    • Tunnel 技術を併用する

4. BGP運用 - your policy vs my policy (13:45- )

• • BGP で受信をした経路の優先度
    • 顧客経路 ＞ ピア経路 ≧ 上流経路

• • インターネットの構造
    • フルメッシュではない
    • Tier 構造
    • 直接接続をしていないネットワークに到達をする場合には、他のネットワークを経由する

• • 無理なポリシは不幸を招く

• • 不幸な事例
    • k.root-servers
      • anycast
        • 専用の AS と prefix を持っている
      • global node : 全世界から参照される、prepend をして非優先
      • local node : 限定された地域からのみ参照される、no-export にして優先
      • http://www.merit.edu/mail.archives/nanog/2005-10/msg01226.html
    • パーシャルトランジット
      • 国際のみのトランジット
      • 国内のみのトランジット
      • 特定 AS 向けのみのトランジット
      • 制御方法
        • bgp community
        • AS PATH
        • confederation との組み合わせ

5. Lightning Talks (14:45- )

• • Windows Vista IPv6 stack 仕様変更
    • NANOG38 で beta の仕様について発表をしたところ、RC2 では、改善された
    • 重要な topic は NANOG にも展開をしよう

• • Cisco IOS/IOS-XR Security Advisory
    • 1/24 に SA が 3つ 発表された
      • Crafted IP Option
      • Crafted TCP Packet
      • Crafted IPv6 Packet header
    • CVSS (Common Vulnerability Scoring System)
      • FIRST に呼びかけで、脆弱性に関する深刻度評価の標準化