JANOG Comment 1000 馬渡 将隆 日本インターネットエクスチェンジ株式会社 2010/08/01 xSP のルータにおいて設定を推奨するフィルタの項目について 1. はじめに 近年インターネットが公共インフラとして一般的に利用されるようになり、 最近では、創世期には想像をしていなかったような、いつも使えて当たり前 のサービス品質レベルをインターネットに期待されている事を感じます。 ここで、インターネットの基本的な構造について目を向けると、特徴の1 つとして、AS (xSP) の相互接続によってインターネットは構成されている と言う事があげられると思います。 インターネットの構成要素となっている AS は、依然として着実に増加し 続けている現状があるのですが、AS が増加し、AS の相互接続も増加し続け ていく中で、インターネットの安定性を維持していく為に、アクシデントや トラブルの対策として活用をすべき基本技術の1つであるフィルタを分かり やすくまとめておく事が必要だと考えています。 2. 概要 本文書は、インターネットの安定性を保つ為に、xSP の内部および外部へ の接続部分において、xSP で運用をしているルータに設定をする事が推奨さ れるフィルタをまとめた文書です。 本文書で提示をしている "最低限、設定をする事が推奨されるフィルタ" については、xSP ネットワークの運用において基本的な部分となるので、文 字通り、最低限設定をする必要があると考え、それに加えて併記してある "(運用者、ルータの) リソースにより設定を考慮するフィルタ" については、 ネットワークの運用をしている NOC のメンバー、および、ネットワーク内 で使用をしているルータのパフォーマンスにより設定の可否を検討する事が 必要であると考えます。 本文書で提示している全てのフィルタの項目は、以下の項目を前提にして 考えられてあり、全ての xSP のネットワークで適用される事を期待してい ます。 o IPv4 ネットワークのみ対象とし、IPv6 ネットワークは対象としない o エンドユーザの正常な通信には影響を与えない (アドレス詐称やアタックなどへの対策方法の1つとしてフィルタを考え る) o 不必要なパケットや経路は出さない/受け取らない o 下記に例としてあげてある特定アプリケーションの通信のパケットフィ ルタについては対象としない (例) Outbound Port25 Blocking (迷惑メール対策用途)、P2P トラフィ ックフィルタ など 3. 言葉の定義 この文書内で使用する言葉を、この文書内においては、以下のとおり定義 します。 1. xSP とは、 以下の条件を満たしているサービスプロバイダの総称 o インターネットへの接続性がある事 o グローバル AS 番号を所有している事 o 他 AS と BGP を利用した相互接続を行っている事 2. パケットフィルタ とは、 IP パケットのヘッダの情報を元にしてフィルタリングを行う方法 本文書内にあるパケットフィルタの項目では、特に Source アドレ スと Destination アドレスの情報を元にしたフィルタを扱っていま す。 3. Prefix フィルタ とは、 Prefix 長の情報を元にしてフィルタリングを行う方法 別名 : Prefix Based フィルタ 4. AS-PATH フィルタ とは、 AS-PATH 属性の情報を元にしてフィルタリングを行う方法 5. 経路フィルタ とは、 "Prefix フィルタ" および "AS-PATH フィルタ" の双方を包括した フィルタの総称 6. トランジット とは、 フルルートの広告を受ける接続の形態、および、フルルートの広告 を受けている状態の事 7. ピア とは、 xSP 同士において、お互いの内部および顧客の経路交換をする接続 の形態、および、経路交換をしている状態の事 8. Bogon List とは、 IANA から割り振りされていない Prefix、および、Special-Use Prefix の一覧。Bogon List に掲載されている Prefix は、外部に 経路広告をしてはいけない。 4. この文書のまとめ方 この文書は以下のとおりの項目に分類をしてまとめてあります。 1. 大項目 (フィルタの適用場所での区分) o トランジット接続部分 o ピア(パブリック/プライベート)接続部分 o 顧客接続部分 (static route 接続顧客、BGP 接続顧客) o ルータ自身へのアクセス 2. 中項目 (設定をする事の優先度での区分) o 最低限、設定をする事が推奨されるフィルタ o (運用者、ルータの) リソースにより設定を考慮するフィルタ 3. 小項目 (フィルタの種類での区分) o パケットフィルタ (Ingress/Egress) o 経路フィルタ (Ingress/Egress) o フィルタの運用を軽減する為に有効な技術 ※ この文書では、接続部分単位(ルータ単位)によって、運用担当者が分 かれている運用体制の xSP にとって、参照がしやすくなる事を考慮し、 まず最初にフィルタの適用場所単位での分類をしています。 ※ 分類図 - 下記の四角で囲んである部分単位で別文書になっています。 ┌──────────────┐ │ 親文書 (この文書) JC1000 │ └─┬────────────┘ │ │┌────────┐ ├┤ トランジット ├┬ 最低限、設定をする事が推奨される ││ 接続部分編 ││ フィルタ ││ JC1001 ││ │ │└────────┘│ ├ パケットフィルタ │ │ ├ 経路フィルタ │ │ └ フィルタの運用を軽減する為に │ │ 有効な技術 │ │ │ └ リソースにより設定を考慮するフィ │ ルタ │ │ │ ├ パケットフィルタ │ ├ 経路フィルタ │ └ フィルタの運用を軽減する為に │ 有効な技術 │┌────────┐ ├┤ ピア接続 ├─ 同上 ││ 部分編 │ ││ JC1002 │ │└────────┘ │┌────────┐ ├┤ 顧客接続 ├─ 同上 ││ 部分編 │ ││ JC1003 │ │└────────┘ │┌────────┐ └┤ ルータ自身へ ├┬ 最低限、設定をする事が推奨される │ のアクセス編 ││ フィルタ │ JC1004 ││ │ └────────┘│ ├ パケットフィルタ │ └ フィルタの運用を軽減する為に │ 有効な技術 │ └ リソースにより設定を考慮するフィ ルタ │ ├ パケットフィルタ └ フィルタの運用を軽減する為に 有効な技術 ※ JC : JANOG Comment 5. 謝辞 この文書の作成にあたっては、非常に多くの方からのご協力とサポートが 不可欠なものでした。 まず、Interdomain Routing Security Workshop の参加者の皆様、および JANOG メーリングリストのメンバーの皆様に感謝を致します。 皆様からのご意見とご提案はこの文書をまとめていく為にとても重要なもの でした。中でも、石田慶樹様、高田寛様、西野大様、吉野誠吾様からは発表 の会場において多くのご意見をいただきました。 このような技術文書では、実際にネットワークの運用実務を経験されている 方からの助言がなによりの支援だと実感しております。 この文書を作成する機会を与えていただき、文書作成の為に貴重な時間を 割いていただいた近藤邦昭様、吉田友哉様、仲西亮子様に感謝を致します。 近藤邦昭様からは、技術面での助言はもちろん、文書の構成についての助言 もしていただきました。 藤井秀雄様にも感謝を致します。藤井様には、この文書を分かりやすくす る為の図の作成をしていただきました。 最後に、この文書の発表にあたって、業務の時間を割いて発表のレビュー に協力をしていただいた株式会社ドリーム・トレイン・インターネットのネ ットワーク運用メンバーに感謝を致します。 6. この文書の作成にあたり、参考にさせていただいた文献 以下の文献を参考にして、本文書を作成しています。 1. The Team Cymru Documents http://www.team-cymru.org/ReadingRoom/Documents/ 1.1. Bogon List http://www.cymru.com/Documents/bogon-list.html 1.2. Secure BGP Template http://www.team-cymru.org/ReadingRoom/Templates/secure-bgp-template.html 1.3. Secure IOS Template http://www.cymru.com/Documents/secure-ios-template.html 1.4. Secure JunOS Template http://www.cymru.com/gillsr/documents/junos-template.pdf 2. Cisco ISP Resource ftp://ftp-eng.cisco.com/cons/isp/ 7. その他に有益な文献 本文書を参照するにあたり、以下の文献もあわせて参照をする事をお勧め します。 1. RFC2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://www.ietf.org/rfc/rfc2827.txt 2. RFC5735 - Special Use IPv4 Addresses http://www.ietf.org/rfc/rfc5735.txt ※ RFC5735 の中に記載されているアドレスの一覧はフィルタで reject をすべきアドレスの一覧とは異なります。 3. RFC3704 - Ingress Filtering for Multihomed Networks http://www.ietf.org/rfc/rfc3704.txt 8. 著者 氏名 : 馬渡 将隆 [MAWATARI Masataka] 所属 : 日本インターネットエクスチェンジ株式会社 EMail : mawatari@jpix.ad.jp 9. 免責事項 本文書によって発生した損失や損害について、著者は一切責任を負いませ ん。 10. この文書の配布に関して 本文書の再配布や転載は内容に関して一切の変更を加えないと言う条件で 許可をします。 以上 ---------------------------------------------------------------------- 更新履歴 ---------------------------------------------------------------------- 日付 : 2005/09/09 - 文書公開 日付 : 2010/08/01 - 「3. 言葉の定義」 に 「Bogon List とは、」 を追記 - 「6. この文書の作成にあたり、参考にさせていただいた文献」 にある 「The Team Cymru Documents」 の URL を変更 - 「6. この文書の作成にあたり、参考にさせていただいた文献」 にある 「Secure BGP Template」 の URL を変更 - 「7. その他に有益な文献」 にある 「RFC3330 - Special-Use IPv4 Addresses」 を削除 - 「7. その他に有益な文献」 に 「RFC5735 - Special Use IPv4 Addresses」 を追記 - 「8. 著者」 にある 「所属」 と 「EMail」 を更新 ----------------------------------------------------------------------