JANOG21 Meeting @ Kumamoto|Jan. 24-25,2008|Parea Hall, Kumamoto city.
プログラム応募のきっかけ/動機
―今回のプログラムの応募のきっかけ/動機を教えてください。
芦田: そうですね、たまたま受けた割り振りブロックが new IANA allocation に該当する空間 ... 言葉を変えると生後3ヶ月の生まれたてホヤホヤのブロックだったんです。 いざ動かしてみると、なんでこんなメジャーなサイトへ通じないんだよってことが次から次へと出てきまして、ホント到達性の確保に苦労しました。
―いわゆるBogonフィルタに阻まれてしまったんですね。
芦田: Bogon対策って問題が起こってから問い合わせたり、過去に問題があった事例をもとに個別にテストしてみたり、どっちかっていうと受動的な対策が主だったわけです。 RIPEのように到達性を確認して公開している事例もあるのですが、アプリケーションレイヤのフィルタは引っかかりません。 経験も乏しかったですが、何よりもリソースと時間が限られている中で生後3ヶ月なprefixの到達性を並以上に上げて、 お客様にちゃんと説明できるデータを揃えなくてはいけない。そうした要求から行きついた方法だったんです。
Flow Inspection Project のひとつの成果報告という意味合いもあるのですが、プロジェクトの中で議論してるとメンバの感触がよくって関心を持ってもらえるんですね。 泥臭くて生々しいデータがどうしても視線を集めちゃうんですが、オペレータとして遠いようで身近な話題なので共感してもらえるかなーというのが一つ。
あと、経験してみて分かったのは一口にBogonといっても色々なパターンでフィルタがあって、"どこにアプローチしていいのか分からん、 でも挙動は共通してるからきっと何かある" みたいなのもあるんですね。 到達性について問題意識を共有して議論したいのはもちろんなのですが、 全国からジャンルを超えて集まるJANOGERの皆さんにお知恵を拝借したいというのも一つの大きな理由です。
Bogonフィルタ発見にむけたプロアクティブなアプローチ
―Bogonについては、過去JANOG18でも取り上げられました(New IANA IPv4 allocationsなアドレス利用の手引き)が今回のプログラムの違うぞ、という点はどんなところでしょうか?
芦田: JANOG18ではBogonフィルタによる問題自体の紹介、ネットワーク視点からのフィルタの自動化、啓蒙といったところが話題の中心でした。 今回のプログラムではアプローチがちょっと変わっていて "Bogonフィルタを見つける/検知する"という行為を通して到達性の確保というテーマにフォーカスしています。
―なるほど。受動的な対策だけでなく能動的な対策も必要だ、ということですね。その中で、ノンサンプリングという手法に行きついた経緯を教えていただけますか?
芦田: フィルタがどこにあるか分からないけど解除しなきゃ話にならん、ping打って調べるのはいいんだけど時間も人手も限られているのにどうやろうと考え始めたんです。
今のインターネットの海は広いなーと途方に暮れてたところ、ん? 海か? 漁師さんが網を打つなら魚影の濃いトコロへ投げるし、トラフィックが濃ゆいところから打ったほうが効率いいよねぇと。 mixi見えないのと個人のブログが見えなくなるのじゃまるでインパクト違うんだから "見えなきゃ痛い" 順に上から調べるという方針でいくことになったんです。
あと自分の設備を振り返ってみるとwebサーバにping通らないんですよね。 でもHTTPはどこからでも受ける。ping打つだけだったら自社が最初にNGじゃないかって。 社外に問い合わせしてても、ping通るけどFWで閉められてるパターンが少なくないってことでTCPでポートまで見ることに。
―エンドユーザの実感する到達性が一番大事だということですね。
芦田: トラフィックの濃さというか、トラフィック量ではなくアクセスが多い対地とアプリをどうやって知ろうかと考えてみたら目安になる情報源って意外と転がっていて、 最初はストレージに溜まってるログをあさったり、NetFlow のデータを眺めてそれっぽいデータが取れまして、それをもとに調べて一定の成果は得られました。
でも、やっぱり全部じゃないんですね。 Bogonフィルタって一言で言ってもいろんなパターンで仕掛けられていて、特定のパターンを仮定した調べ方じゃどうしても漏れが出てしまう。
お客様への説明に堪えうる評価をするには、ヘッダの隅々はもちろん場合によってはそれ以上まで知らなきゃとシミジミ痛感していたところ、 伊賀野さんをはじめFlow Inspection Project の方々とお話する機会があって、ノンサンプリングに行き着いたというか、道が開けたという感じです。 いざやってみると、欲しいデータが揃うという以上に色々な可能性があることも分かりました。
「遭遇しなければ関係ないや」ではなかった
―なるほど。色々な可能性についてはぜひ熊本でお話を伺いたいと思います。最後に、これだけは伝えたいというメッセージをお願いします
芦田: まず今回お話する機会をいただけたこと、ご支援いただいたプロジェクト関係者の皆様やミーティングスタッフの方々、 そして何よりJANOGERの皆さんに心より御礼申し上げます。
Bogon問題って遭遇しなければ関係ないや、と思われるかもしれません。正直言って私もそうでした。
フィルタを探して解除をお願いて評価する ... この繰り返しの中で強く感じたのは "これって到達性を真正面から確認して説明責任を全うする仕事だな"ということでして、 到達性の確保っていうネットワークオペレータの最も基本的なミッションだという点が皆さんに興味を持っていただける大きなポイントだと思います。
皆さんも色々な場面でフィルタを書かれていると思います。IPv4がもうすぐ枯渇を迎えますが、 やむを得ず中古のブロックを使うことになったら場合によっては自分が書いたフィルタにrejectされるかもしれないんですね。
到達性の確認と確保というのはフィルタを書くという作業の向こう側にある課題ともいえます。 ルータオペレータに限らず、サーバ運用に関わる方、セキュリティに関わる方、何らかの形でフィルタを書いたことがあるならご興味を持っていただけると思います。
熊本でお会いして議論できることを楽しみにしています。よろしくお願いいたします。
―芦田さんの真摯なお言葉に非常に心をうたれました。本日はお忙しい中ありがとうございました。