JApan Network Operators' Group

汚れたIPv4アドレスのクリーニングについて考えよう

概要

既存ビジネスにまだIPv4アドレスが必要との声が多い昨今、移転したアドレスの汚れ具合を気にする声や、汚染度がわからないため使用が躊躇される休眠IPアドレスなど、「汚れたIPv4アドレス」の存在を耳にします。

一体、汚れたIPv4アドレスとは何でしょうか?

有名なアドレスとしては JANOG26 「IPアドレスの行方」 で紹介された様に1.1.1.1などがあります。また、 Bogon リストに登録されたままになってしまい、ルーティング経路として到達不可のアドレスもあるかもしれません(RFC6441 にあるとおり、もう未アサインのアドレスに対するフィルターは解除するべきです)。

「汚れたIPv4アドレス」とは、この様な多くの方に使用されてしまっている、またはルーティング不可なアドレスというだけではありません。

一例として、現在のメールの世界ではspamなどで使われたアドレスを評価するReputationサービスがあります。

一度spamの送信元と判断されたIPアドレスは、ルーティング到達可能かもしれませんがサービスには使用できない、「汚れたIPv4アドレス」となるのです。

本セッションでは、メール運用者の日々の運用と、サービスレベルを維持向上するために必要なIPv4アドレスの扱い方を説明します。その上で、様々なreputationサービスの概要とそのスコアの改善方法を共有する事によって、枯渇したIPv4アドレスを移転/共有される状況となった現在の、最新のIPv4アドレスの運用およびクリーニング技術に関して議論したいと思います。

発表者

風間 勇人 (サイバーエリアリサーチ株式会社)

小林 秀行 (シスコシステムズ合同会社)

加藤 理人 (NECビッグローブ株式会社)


公開資料
参考資料
議論ログ
Q:会場からの質問
A:発表者からの回答/コメント
C:会場からのコメント

A: サーバーとネットワークの住み分け。ISP側で常時パケットフィルターしたい? 融合の流れ? CPEのOpen Resolver対策は、頑張って行かなければならないこと。お客様の機器なので、見つけたあと、一軒一軒電話? →将来、脆弱性が出たらどうするのか?

C: Open Resolverについて、JANOG31.5で話をした。大量にあるということで。当時はBINDのキャッシュサーバとCPEが。しかし実際は、かなりの数のCPEがある。対応してくれるユーザーは少ない。買い替えのと金、脆弱性のないものになっていればいい。ただ、全数を調査している人の話では、数が増えている。市場にたくさんある。量販店で売っているCPEに、問題があるものがたくさんある。これから発売されるCPEが対策済みでないと。

C: 日本は、マネージドCPEのモデルがあまりなくて、家電量販店などで買ってきてつけることがすごく普及してる。諸外国だと、マネージドなので、そちらから制御できる。ビジネスモデルを変える必要があるかも?

C: 常時パケットフィルターしたいか?しないほうがいいと思いますが、いざというとき、エンドユーザーのためにパケットフィルターできるといい。特定のポート番号、IPアドレスでフィルターできるといい。最近あった恥ずかしい話。私の会社の中にもあった。Open Resolverがいっぱい。対策はした。この問題は、かなり数も多いし、一台一台を対応するのは難しい。Rate Limitのようなものでコントロールできるようにしたい。パケットフィルターはしたくないが、できるようにしておくべき。ポート53番宛のパケットは 1Mbpsまでしか許さない、とか。

C: ユーザ視点なのですが、ISP側でフィルターして欲しいのは、ユーザーの手前でフィルターしてほしい、ということだと思うので、ISP側にバーチャルルータなどをおいてもらって、そこで制御できるようにするとよい?ルータを、ISP側においていただけないかな?

A: ISP側にでっかい箱をおいて、それが家庭向けBBルータの代わりになる、という製品はあるらしい。ただ、やっぱり、アクセスラインについては選ぶのでは。

C: Open Resolver対策を取ってないと、海外から外国語で連絡がくるかも知れません。

C: ISP側の常時パケットフィルターではなくてDC側。インターネットというのは、基本的にフィルターすべきではない。建前ですが。実際にお客様に通知をしても、まぁ、家の貯金が半分になる、とかでないと対策してくれない。現実的には、パケットフィルターしかないか。OP25Bみたいに。家庭向けの53番ポートっていらないのでは? うちのVPSも数万台になり、攻撃が来ることも。スクリーニングして、それをabuseが見て、こちらから連絡するが、それでも対応してくれない。月に何件かは、22ポートへのアクセスが。最近はWebサイトにも載せています。外側についても、22番をフィルターするとアクセスが激減した。ホスティング事業者でやるべきでは?。インターネットって、お互い、迷惑をかけないのは重要だと。迷惑をかけないという意味で、フィルターするということの優先度が上がることはある。

C: キャッシュサーバを53番ポート固定で送信元がそうなっているものがあるので、フィルターしてあげたほうがいいです。

C: 基本は、インターネットはフィルターしたくないが、責任は伴うわけで、何も、こうあるべき、というのをしらないエンドユーザーに押し付けるのは限界が来ている。OP25Bについても、SMTPサーバを建てたい人がいるだろう。そういう人は固定IPへ。選択の自由は必要。他人には迷惑をかけないNWを提供すべきという時期に来ているのではないか、と個人的には思っている。

C: デフォルトをある程度フィルタリングするのはしかたがない。

A: ユーザーにはある程度制御できるように?

C: 外向けには、申請制にしたかったが、マーケティングに負けたw

C: OP25Bの時も、サポート部分のコストがあったと。やっぱり、SSHのポートって、ホスティングだと閉じたほうが、もろもろのコストが減る。53番のことも、同じく、ある種、サポートコストをドライブフォースにして、会社を動かすことができたら。

A: サーバーでも、SSHはちゃんと動かすと便利だよね?

C: ちゃんと、って言っても、ユーザーアカウントが。

A: 選べるようにしておくことが重要、ってことですね。

C: フィルタリングって、ドラッグだと思う。やればやるほど気持ちよくなって、そう思いません?いつやめるの?

A: 今でしょ

C: フィルタリングしちゃいかん。Butっていうと、Butも気持ちが良い。DCの運用でも、基本はしたくない。最初は閉じてあるけど、選択で開けられます、っていうのは、綺麗な方法だと。

C: サービスの作り方、責任を持った作り方をちゃんとやって行かなければならなくて、責任を持った作り方ができないのであれば、それは死んでいくしかない。それは製品を作っている方も同じで。これはダメでしょっていうのは、ダメって言わないと。

A: OP25Bって、本当にやめられない。ブラジルで入ったが、あの国も、もうやめられない。

C: DNSについては、別の方法があると思います。

A: 僕も、これを始めてしまうと、どんどん進んでしまうと。

A: 将来の夢とかあります?

C: インターネットで一番に!

C: デフォルト設定の話。最近は、デフォルトでパケットを落とすフィルターが入っていて、もしDNSが、汚れたポートと認定されるのなら、フィルターに入るのか? 守ってあげるっていう意味はあるけど、わかっている人は、自分で開けるので、これらをバランスセキュリティに提案したら?

C: 汚れたIPアドレスの話で、RBLの話が。RBLなんて使わないでっていう発表をしたことがある。そのアドレスから、本当にSPAMが来たのか、わからない。送信側としては、SPAMもあったかもしれないけど、普通のメールもあるから、受け取ってから判断してほしい、という話をした。でも、今の話のように、53番とか、入ってくるものはないでしょ、っていうのであれば、フィルターするのもいいのかな?と。あと、SSHの話で、VPSのサービスを始めた時に、最初はSSHはOffになっていて、お客様に変更してもらうようにしてありました。

C: フィルターは癖になるのでどうか?という話が。メールもオープンリレーができないように。53番をインバウンドでフィルターするのは良いと、僕も思う。総務省とお話をして進めたら。

C: 53番フィルターは、やりたい人がやれば。それよりもBCP38を頑張って欲しい。

C: インターネットの99%のユーザーは、僕らから見ると、永遠のビギナーにならざるを得ない。制度だとか、法律だとかによって解決するのを、よくわかっていない人がやり始めて、もっと住みにくいインターネットになるのは良くないので、ここにいるエンジニアの皆さんで、ちゃんと進めていければ。

A: Segmented IP53B: ISPによっては導入する場合があると思います。が、その範囲をなるべく狭めたい。

A: まとめ: パケットフィルターは時に有用だけど、乱暴者・過剰防衛にならないように。

ソーシャルボタンを読み込み中か、 お使いのブラウザではソーシャルボタンをご利用いただけません。

→プログラムへ戻る

JANOG32 Meeting
JANOG32はさくらインターネット株式会社のホストにより開催しました。