X

クラウド・セキュリティに関する考え方、製品情報、事例、セミナー (データベースセキュリティ・CASB・IDaaS・WAF・DDoSなど)

Oracle Internet Intelligence IXP Filter Checkの紹介 - インターネットエクスチェンジ用の新しいルート分析ツール

原文はこちら  (著者 : Laurent Gil)
https://blogs.oracle.com/cloudsecurity/introducing-oracle-internet-intelligence-ixp-filter-check%2c-a-new-route-analysis-tool-for-internet-exchanges


今日、Oracle Internet Intelligenceチームは、インターネットルーティングを保護する取り組みに役立つ新しいサービスを開始します。IXP Filter Checkと呼ばれる  無料のツールは、ルートフィルタリングの改善点を探して報告することにより、運用中のインターネットエクスチェンジポイント(IXP)をサポートすることを目的としています。

昨年、オラクルはInternet Societyとの提携を開始し、企業とユーザーにとってインターネットをより安全で安心なものにする方法を模索し始めました。 銀行、 保険会社、製薬会社などの企業と同様に、非営利組織と政府は、重要なインフラストラクチャの重要なコンポーネントとして、インターネットに直接接続された資産に目を向け続けています。市場調査会社  IDC  は、 2025年までに559億台のデバイスがオンラインになると推定しています。 信頼できるパートナーおよびサプライヤーとして、グローバルインターネットを可能な限り安全にすることが当社の責務であると考えています。 

BGPルーティングとは何か?なぜルーティングセキュリティの改善が必要か?

ボーダーゲートウェイプロトコル(BGP)は、インターネットでの基本的なプロトコルの1つです。これは、IPアドレスのレンジに到達する方法に関する情報をインターネット上で循環させるメカニズムであり、信頼に基づいています。このトピックに関する数十年にわたる研究とエンジニアリングにもかかわらず、インターネットでのルーティングのセキュリティ保護は依然として困難であることが知られています。これは、毎月のように発生する大規模なBGP ルーティングのインシデント事例があるという事実から明らかです。

IXPフィルターチェックの仕組み

IXPは、インターネットサービスプロバイダー(ISP)とコンテンツ配信ネットワーク(CDN)間の接続をする物理インフラストラクチャであり、Autonomous Systemまたはネットワーク間でインターネットトラフィックを交換します。IXPは、インターネットのインフラストラクチャにおいて重要な役割を果たし、通信、コンテンツプロバイダー、その他の主要な企業のネットワーク間で数千の接続を可能にします。また、大規模なBGPインシデントに関係する問題のあるBGPメッセージをフィルタリングします。

特に、IXPは、使用されていないIPアドレス(別名「bogons」)または不正なアクターによって使用されていることが知られているIPアドレス(別名「Spamhous Droplists」)にトラフィックをフィルタリング(例:ルーティングしない)することがよくあります。実際には、常にそうとは限りません(多くの場合は、単純な構成エラーが原因)。

Oracle Internet Intelligenceチームは、世界中の200近くのIXPでルートフィルタリングを分析するためにIXP Filter Checkを開発しました。IXPフィルターチェックは、インターネット上のルートサーバーの動作を継続的に分析する初の公開ツールです(下の図1を参照)。これらのIXPでルートサーバーによって渡されるルートを監視することにより、IXPフィルターチェックはIXPにフィードバックを提供し、ルートフィルタリングを改善する場所を特定し、MANRS IXP要件への技術的遵守を支援します。

IXP Filter Checkは、開発中に世界最大級のIXPでの1か月間のRPKIフィルターの停止など、3つのIXPでの主要なフィルター設定ミスを特定しました。これらの問題を検出することで、IXPフィルターチェックは、連携するルートサーバー管理者がルートフィルタリングを修正できるようにし、ルートサーバーフィルタリングのサードパーティの技術的レビューの必要性も検証しました。

結論

オラクルは、企業およびグローバルユーザーにとってインターネットの安全性を高めることに尽力しており、このツールがIXPのルーティングセキュリティの向上に役立つことを誇りに思っています。これらの取り組みの強力なパートナーであるPCHとInternet Societyに感謝します。

本ツールのより詳細な技術紹介については、Oracle Internet Intelligence, Internet Analysis ディレクター、Doug Madoryによるブログをご確認ください。 


Sources:
- IDC, Worldwide Global DataSphere IoT Device and Data Forecast, 2019–2023, Doc # US45066919, May 2019
- The snapshot above of our IXP tool demonstrates how the tool reports the unique number of prefix/origin pairs, messages that were RPKI invalid, or those lacking a route object (IRR registration) at the time of collection, as well as prefixes and ASNs that are either bogons (to simplify, bogons are available IP addresses that have not yet been allocated to anybody) or on Spamhaus droplists (known IP blocks that are "hijacked" or leased by professional spam or cyber-crime operations (used for dissemination of malware, trojan downloaders, botnet controllers).

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.