[要約] RFC 9319は、ROA内のIPプレフィックスを制限することで偽装された起点ハイジャック攻撃のリスクを軽減する方法を推奨し、maxLength属性の使用を特定のケースを除いて避けることを提案しています。また、DDoS対策サービスの利用を促進するためのROAの作成についても議論しています。
Internet Engineering Task Force (IETF) Y. Gilad
Request for Comments: 9319 Hebrew University of Jerusalem
BCP: 185 S. Goldberg
Category: Best Current Practice Boston University
ISSN: 2070-1721 K. Sriram
USA NIST
J. Snijders
Fastly
B. Maddison
Workonline Communications
October 2022
The Use of maxLength in the Resource Public Key Infrastructure (RPKI)
リソース公開キーインフラストラクチャ(RPKI)での最大長の使用
Abstract
概要
This document recommends ways to reduce the forged-origin hijack attack surface by prudently limiting the set of IP prefixes that are included in a Route Origin Authorization (ROA). One recommendation is to avoid using the maxLength attribute in ROAs except in some specific cases. The recommendations complement and extend those in RFC 7115. This document also discusses the creation of ROAs for facilitating the use of Distributed Denial of Service (DDoS) mitigation services. Considerations related to ROAs and RPKI-based Route Origin Validation (RPKI-ROV) in the context of destination-based Remotely Triggered Discard Route (RTDR) (elsewhere referred to as "Remotely Triggered Black Hole") filtering are also highlighted.
このドキュメントでは、Route Origin Authorization(ROA)に含まれるIPプレフィックスのセットを慎重に制限することにより、Forged-Origin Hijack Attack Surfaceを削減する方法を推奨しています。1つの推奨事項は、特定の場合を除き、ROASで最大長属性の使用を避けることです。推奨事項は、RFC 7115の推奨事項と拡張を補完し、拡張します。このドキュメントでは、分散型サービス拒否(DDOS)緩和サービスの使用を促進するためのROAの作成についても説明しています。宛先ベースのリモートトリガー廃棄ルート(RTDR)(「リモートトリガーブラックホール」と呼ばれる他の場所)フィルタリングのコンテキストでのROASおよびRPKIベースのルート起源検証(RPKI-RoV)に関連する考慮事項も強調表示されます。
Status of This Memo
本文書の位置付け
This memo documents an Internet Best Current Practice.
このメモは、インターネットの最高の現在の練習を文書化しています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on BCPs is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。BCPの詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9319.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9319で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2022 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2022 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、修正されたBSDライセンスで説明されているように保証なしで提供される修正されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction
1.1. Requirements
1.2. Documentation Prefixes
2. Suggested Reading
3. Forged-Origin Sub-Prefix Hijack
4. Measurements of the RPKI
5. Recommendations about Minimal ROAs and maxLength
5.1. Facilitating Ad Hoc Routing Changes and DDoS Mitigation
5.2. Defensive De-aggregation in Response to Prefix Hijacks
6. Considerations for RTDR Filtering Scenarios
7. User Interface Design Recommendations
8. Operational Considerations
9. Security Considerations
10. IANA Considerations
11. References
11.1. Normative References
11.2. Informative References
Acknowledgments
Authors' Addresses
The Resource Public Key Infrastructure (RPKI) [RFC6480] uses Route Origin Authorizations (ROAs) to create a cryptographically verifiable mapping from an IP prefix to a set of Autonomous Systems (ASes) that are authorized to originate that prefix. Each ROA contains a set of IP prefixes and the AS number of one of the ASes authorized to originate all the IP prefixes in the set [RFC6482]. The ROA is cryptographically signed by the party that holds a certificate for the set of IP prefixes.
リソース公開キーインフラストラクチャ(RPKI)[RFC6480]は、ルートオリジン認証(ROA)を使用して、IPプレフィックスからそのプレフィックスを発信するように許可されている自律システム(ASE)のセット(ASE)への暗号化された検証可能なマッピングを作成します。各ROAには、IPプレフィックスのセットと、SET [RFC6482]のすべてのIPプレフィックスを発信することが許可されたASESの1つのAS番号が含まれています。ROAは、IPプレフィックスのセットの証明書を保持する当事者によって暗号化されています。
The ROA format also supports a maxLength attribute. According to [RFC6482], "When present, the maxLength specifies the maximum length of the IP address prefix that the AS is authorized to advertise." Thus, rather than requiring the ROA to list each prefix that the AS is authorized to originate, the maxLength attribute provides a shorthand that authorizes an AS to originate a set of IP prefixes.
ROA形式は、MaxLength属性もサポートしています。[RFC6482]によると、「存在すると、MaxLengthは、ASが宣伝することが許可されているIPアドレスプレフィックスの最大長を指定します。」したがって、ROAに、ASが発生することが許可されている各プレフィックスをリストするように要求するのではなく、MaxLength属性は、IPプレフィックスのセットを発信するように承認する速記を提供します。
However, measurements of RPKI deployments have found that the use of the maxLength attribute in ROAs tends to lead to security problems. In particular, measurements taken in June 2017 showed that of the prefixes specified in ROAs that use the maxLength attribute, 84% were vulnerable to a forged-origin sub-prefix hijack [GSG17]. The forged-origin prefix or sub-prefix hijack involves inserting the legitimate AS as specified in the ROA as the origin AS in the AS_PATH; the hijack can be launched against any IP prefix/sub-prefix that has a ROA. Consider a prefix/sub-prefix that has a ROA that is unused (i.e., not announced in BGP by a legitimate AS). A forged-origin hijack involving such a prefix/sub-prefix can propagate widely throughout the Internet. On the other hand, if the prefix/sub-prefix were announced by the legitimate AS, then the propagation of the forged-origin hijack is somewhat limited because of its increased AS_PATH length relative to the legitimate announcement. Of course, forged-origin hijacks are harmful in both cases, but the extent of harm is greater for unannounced prefixes. See Section 3 for detailed discussion.
ただし、RPKIの展開の測定により、ROASでの最大長属性の使用がセキュリティ上の問題につながる傾向があることがわかりました。特に、2017年6月に行われた測定では、最大属性属性を使用するROASで指定された接頭辞のうち、84%がForged-Origin sub-Prefix Hijack [GSG17]に対して脆弱であることが示されました。 Forged-Originのプレフィックスまたはサブプレフィックスのハイジャックには、AS_PathのようにROAで指定されているように正当なものを挿入することが含まれます。ハイジャックは、ROAを備えたIPプレフィックス/サブプレフィックスに対して起動できます。使用されていないROAを備えたプレフィックス/サブプレフィックスを考えてみましょう(つまり、正当なASによってBGPで発表されていません)。このようなプレフィックス/サブプレフィックスを含む偽造オリジンハイジャックは、インターネット全体で広く伝播する可能性があります。一方、正当なASによってプレフィックス/サブプレフィックスが発表された場合、正当な発表と比較してAS_PATHの長さが増加しているため、偽造オリジンのハイジャックの伝播はやや制限されています。もちろん、どちらの場合も、偽造オリジンのハイジャックは有害ですが、害の程度は未発表の接頭辞の方が大きくなります。詳細については、セクション3を参照してください。
For this reason, this document recommends that, whenever possible, operators SHOULD use "minimal ROAs" that authorize only those IP prefixes that are actually originated in BGP, and no other prefixes. Further, it recommends ways to reduce the forged-origin attack surface by prudently limiting the address space that is included in ROAs. One recommendation is to avoid using the maxLength attribute in ROAs except in some specific cases. The recommendations complement and extend those in [RFC7115]. The document also discusses the creation of ROAs for facilitating the use of DDoS mitigation services. Considerations related to ROAs and RPKI-ROV in the context of destination-based Remotely Triggered Discard Route (RTDR) (elsewhere referred to as "Remotely Triggered Black Hole") filtering are also highlighted.
このため、このドキュメントでは、可能な限り、オペレーターは実際にBGPで発生したIPプレフィックスのみを承認する「最小限のROA」を使用する必要があり、他のプレフィックスはないことを推奨しています。さらに、ROAに含まれるアドレス空間を慎重に制限することにより、偽造オリジン攻撃面を減らす方法を推奨します。1つの推奨事項は、特定の場合を除き、ROASで最大長属性の使用を避けることです。推奨事項は、[RFC7115]の推奨事項を補完し、拡張します。このドキュメントでは、DDOS緩和サービスの使用を促進するためのROAの作成についても説明しています。宛先ベースのリモートトリガー廃棄ルート(RTDR)(「リモートトリガーブラックホール」と呼ばれる他の場所)フィルタリングのコンテキストでのROASとRPKI-ROVに関連する考慮事項も強調表示されます。
Please note that the term "RPKI-based Route Origin Validation" and the corresponding acronym "RPKI-ROV" that are used in this document mean the same as the term "Prefix Origin Validation" used in [RFC6811].
このドキュメントで使用される「RPKIベースのルートオリジン検証」という用語と、[RFC6811]で使用される「プレフィックスオリジン検証」という用語と同じであるという対応する頭字語「RPKi-Rov」は、に注意してください。
One ideal place to implement the ROA-related recommendations is in the user interfaces for configuring ROAs. Recommendations for implementors of such user interfaces are provided in Section 7.
ROA関連の推奨事項を実装するのに理想的な場所の1つは、ROAを構成するためのユーザーインターフェイスにあります。このようなユーザーインターフェイスの実装者に関する推奨事項は、セクション7で提供されています。
The practices described in this document require no changes to the RPKI specifications and will not increase the number of signed ROAs in the RPKI because ROAs already support lists of IP prefixes [RFC6482].
このドキュメントで説明されているプラクティスは、RPKI仕様の変更を必要とせず、ROASがすでにIPプレフィックスのリストをサポートしているため、RPKIの署名されたROAの数は増加しません[RFC6482]。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
The documentation prefixes recommended in [RFC5737] are insufficient for use as example prefixes in this document. Therefore, this document uses the address space defined in [RFC1918] for constructing example prefixes.
[RFC5737]で推奨されるドキュメントのプレフィックスは、このドキュメントの例として使用するには不十分です。したがって、このドキュメントでは、[RFC1918]で定義されたアドレス空間を使用して、例のプレフィックスを構築します。
Note that although the examples in this document are presented using IPv4 prefixes, all the analysis thereof and the recommendations made are equally valid for the equivalent IPv6 cases.
このドキュメントの例はIPv4プレフィックスを使用して提示されていますが、そのすべての分析と行われた推奨事項は、同等のIPv6ケースに対して等しく有効であることに注意してください。
It is assumed that the reader understands BGP [RFC4271], RPKI [RFC6480], ROAs [RFC6482], RPKI-ROV [RFC6811], and BGPsec [RFC8205].
読者は、BGP [RFC4271]、RPKI [RFC6480]、ROAS [RFC6482]、RPKI-ROV [RFC6811]、およびBGPSEC [RFC8205]を理解していると想定されています。
A detailed description and discussion of forged-origin sub-prefix hijacks are presented here, especially considering the case when the sub-prefix is not announced in BGP. The forged-origin sub-prefix hijack is relevant to a scenario in which:
Forged-Originサブプレフィックスのハイジャックの詳細な説明と説明は、特にBGPでサブプレフィックスが発表されない場合を考慮して、ここで提示されています。Forged-Origin Sub-Prefixハイジャックは、次のシナリオに関連しています。
(1) the RPKI [RFC6480] is deployed, and
(1) RPKI [RFC6480]が展開されています
(2) routers use RPKI-ROV to drop invalid routes [RFC6811], but
(2) ルーターはrpki-rovを使用して無効なルート[rfc6811]をドロップしますが、
(3) BGPsec [RFC8205] (or any similar method to validate the truthfulness of the BGP AS_PATH attribute) is not deployed.
(3) BGPSEC [RFC8205](またはBGP AS_PATH属性の真実性を検証するための同様の方法)は展開されません。
Note that this set of assumptions accurately describes a substantial and growing number of large Internet networks at the time of writing.
この一連の仮定は、執筆時点でかなりの数の大規模なインターネットネットワークを正確に説明していることに注意してください。
The forged-origin sub-prefix hijack [RFC7115] [GCHSS] is described here using a running example.
Forged-Origin Sub-Prefix Hijack [RFC7115] [GCHSS]は、実行中の例を使用してここで説明されています。
Consider the IP prefix 192.168.0.0/16, which is allocated to an organization that also operates AS 64496. In BGP, AS 64496 originates the IP prefix 192.168.0.0/16 as well as its sub-prefix 192.168.225.0/24. Therefore, the RPKI should contain a ROA authorizing AS 64496 to originate these two IP prefixes.
64496としても運営されている組織に割り当てられたIPプレフィックス192.168.0.0/16を考慮してください。64496は、IPプレフィックス192.168.0.0.0/16とそのサブプレフィックス192.168.225.0/24を発信します。したがって、RPKIには、これら2つのIPプレフィックスを発信するために64496として認可されたROAを含める必要があります。
Suppose, however, the organization issues and publishes a ROA including a maxLength value of 24:
ただし、組織が24の最大値を含むROAを発行し、公開しているとします。
ROA:(192.168.0.0/16-24, AS 64496)
ROA:(192.168.0.0/16-24、AS 64496)
We refer to the above as a "loose ROA" since it authorizes AS 64496 to originate any sub-prefix of 192.168.0.0/16 up to and including length /24, rather than only those prefixes that are intended to be announced in BGP.
64496として、BGPで発表される予定の接頭辞のみではなく、長さ /24までの192.168.0.0/16までのサブプレフィックスを発信することを64496として認定するため、上記を「緩いROA」と呼びます。
Because AS 64496 only originates two prefixes in BGP (192.168.0.0/16 and 192.168.225.0/24), all other prefixes authorized by the loose ROA (for instance, 192.168.0.0/24) are vulnerable to the following forged-origin sub-prefix hijack [RFC7115] [GCHSS]:
AS 64496はBGP(192.168.0.0/16および192.168.225.0/24)の2つの接頭辞のみを発信しているため、緩いROAによって承認された他のすべてのプレフィックス(たとえば、192.168.0.0/24)はフォロージンサブサブサブサブサブサブサブサブサブサブサブサブサブサブサブサブサブの脆弱性に対して脆弱です。-prefix hijack [rfc7115] [gchss]:
The hijacker AS 64511 sends a BGP announcement "192.168.0.0/24: AS 64511, AS 64496", falsely claiming that AS 64511 is a neighbor of AS 64496 and that AS 64496 originates the IP prefix 192.168.0.0/24. In fact, the IP prefix 192.168.0.0/24 is not originated by AS 64496.
64511としてのハイジャッカーは、「192.168.0.0/24:AS 64496」としてBGP発表を送信します。64511は64496の隣人であり、AS 64496がIPプレフィックス192.168.0.0.0/24を発信していると誤って主張しています。実際、IPプレフィックス192.168.0.0/24は、AS 64496から発信されていません。
The hijacker's BGP announcement is valid according to the RPKI since the ROA (192.168.0.0/16-24, AS 64496) authorizes AS 64496 to originate BGP routes for 192.168.0.0/24.
HijackerのBGP発表は、ROA(192.168.0.0/16-24、64496 AS 64496)以来、RPKIに従って有効です。
Because AS 64496 does not actually originate a route for 192.168.0.0/24, the hijacker's route is the only route for 192.168.0.0/24. Longest-prefix-match routing ensures that the hijacker's route to the sub-prefix 192.168.0.0/24 is always preferred over the legitimate route to 192.168.0.0/16 originated by AS 64496.
64496は実際には192.168.0.0/24のルートを発生していないため、ハイジャックのルートは192.168.0.0/24の唯一のルートです。最長のプレフィックスマッチルーティングにより、サブプレフィックス192.168.0.0/24へのハイジャック担当者のルートが、AS 64496から始まる192.168.0.0/16に合法的なルートで常に優先されることを保証します。
Thus, the hijacker's route propagates through the Internet, and traffic destined for IP addresses in 192.168.0.0/24 will be delivered to the hijacker.
したがって、ハイジャッカーのルートはインターネットを介して伝播し、192.168.0.0/24のIPアドレス用に運命づけられているトラフィックがハイジャッカーに配信されます。
The forged-origin sub-prefix hijack would have failed if a minimal ROA as described in Section 5 was used instead of the loose ROA. In this example, a minimal ROA would be:
Forged-Originサブプレフィックスのハイジャックは、緩いROAの代わりにセクション5で説明されている最小限のROAを使用した場合、失敗しました。この例では、最小限のROAは次のとおりです。
ROA:(192.168.0.0/16, 192.168.225.0/24, AS 64496)
This ROA is "minimal" because it includes only those IP prefixes that AS 64496 originates in BGP, but no other IP prefixes [RFC6907].
このROAは、64496がBGPに発生するが、他のIPプレフィックスはない[RFC6907]を含むIPプレフィックスのみが含まれるため、「最小」です。
The minimal ROA renders AS 64511's BGP announcement invalid because:
最小限のROAは、64511のBGPアナウンスが無効であるためにレンダリングします。
(1) this ROA "covers" the attacker's announcement (since 192.168.0.0/24 is a sub-prefix of 192.168.0.0/16), and
(1) このROAは、攻撃者の発表を「カバー」します(192.168.0.0/24以降は192.168.0.0/16のサブプレフィックスです)、そして
(2) there is no ROA "matching" the attacker's announcement (there is no ROA for AS 64511 and IP prefix 192.168.0.0/24) [RFC6811].
(2) 攻撃者の発表を「一致させる」ROAはありません(AS 64511およびIPプレフィックス192.168.0.0/24のROAはありません)[RFC6811]。
If routers ignore invalid BGP announcements, the minimal ROA above ensures that the sub-prefix hijack will fail.
ルーターが無効なBGPアナウンスを無視すると、上記の最小ROAがサブプレフィックスのハイジャックが失敗することを保証します。
Thus, if a minimal ROA had been used, the attacker would be forced to launch a forged-origin prefix hijack in order to attract traffic as follows:
したがって、最小限のROAが使用されていた場合、攻撃者は、次のようにトラフィックを引き付けるために、鍛造オリジンプレフィックスハイジャックを起動することを余儀なくされます。
The hijacker AS 64511 sends a BGP announcement "192.168.0.0/16: AS 64511, AS 64496", falsely claiming that AS 64511 is a neighbor of AS 64496.
64511 AS Hijackerは、「192.168.0.0/16:As 64511、As 64496」というBGP発表を送信し、64511はAS 64496の隣人であると誤って主張しています。
This forged-origin prefix hijack is significantly less damaging than the forged-origin sub-prefix hijack:
この鍛造オリジンプレフィックスのハイジャックは、偽造オリジンサブプレフィックスのハイジャックよりも有意に損傷が少ないです。
AS 64496 legitimately originates 192.168.0.0/16 in BGP, so the hijacker AS 64511 is not presenting the only route to 192.168.0.0/16.
AS 64496はBGPで192.168.0.0/16を合法的に発信しているため、64511としてのハイジャッカーは192.168.0.0/16の唯一のルートを提示していません。
Moreover, the path originated by AS 64511 is one hop longer than the path originated by the legitimate origin AS 64496.
さらに、AS 64511によって由来するパスは、合法的な起源が64496として生じるパスよりも1つのホップ長です。
As discussed in [LSG16], this means that the hijacker will attract less traffic than it would have in the forged-origin sub-prefix hijack where the hijacker presents the only route to the hijacked sub-prefix.
[LSG16]で説明したように、これは、ハイジャック者がハイジャックされたサブプレフィックスへの唯一のルートを提示するForged-Origin Sub-Prefix Hijackよりも、ハイジャッカーがより少ないトラフィックを引き付けることを意味します。
In summary, a forged-origin sub-prefix hijack has the same impact as a regular sub-prefix hijack, despite the increased AS_PATH length of the illegitimate route. A forged-origin sub-prefix hijack is also more damaging than the forged-origin prefix hijack.
要約すると、forged-originサブプレフィックスのハイジャックは、非合法ルートのAS_PATHの長さが増加しているにもかかわらず、通常のサブプレフィックスハイジャックと同じ影響を及ぼします。鍛造オリジンサブプリフィックスハイジャックは、偽造オリジンプレフィックスハイジャックよりも損害を与えています。
Network measurements taken in June 2017 showed that 12% of the IP prefixes authorized in ROAs have a maxLength value longer than their prefix length. Of these, the vast majority (84%) were non-minimal, as they included sub-prefixes that are not announced in BGP by the legitimate AS and were thus vulnerable to forged-origin sub-prefix hijacks. See [GSG17] for details.
2017年6月に撮影されたネットワーク測定では、ROASで承認されたIPプレフィックスの12%が、プレフィックスの長さよりも長い値が長いことが示されました。これらのうち、大多数(84%)は非最小でした。なぜなら、合法的なASによってBGPで発表されていないサブプレフィックスが含まれていたため、Forged-Originサブプレフィックスのハイジャックに対して脆弱だったからです。詳細については、[GSG17]を参照してください。
These measurements suggest that operators commonly misconfigure the maxLength attribute and unwittingly open themselves up to forged-origin sub-prefix hijacks. That is, they are exposing a much larger attack surface for forged-origin hijacks than necessary.
これらの測定は、オペレーターが一般的に最大属性を誤って構成し、無意識のうちに鍛造オリジンのサブプレフィックスハイジャックに開放することを示唆しています。つまり、彼らは必要以上に偽造オリジンハイジャックのはるかに大きな攻撃面を公開しています。
Operators SHOULD use minimal ROAs whenever possible. A minimal ROA contains only those IP prefixes that are actually originated by an AS in BGP and no other IP prefixes. See Section 3 for an example.
オペレーターは、可能な限り最小限のROAを使用する必要があります。最小限のROAには、実際にはBGPおよび他のIPプレフィックスはありません。例については、セクション3を参照してください。
In general, operators SHOULD avoid using the maxLength attribute in their ROAs, since its inclusion will usually make the ROA non-minimal.
一般に、オペレーターは通常、ROAがROAを非最小化するため、ROAで最大長属性の使用を避ける必要があります。
One such exception may be when all more specific prefixes permitted by the maxLength value are actually announced by the AS in the ROA. Another exception is where: (a) the maxLength value is substantially larger compared to the specified prefix length in the ROA, and (b) a large number of more specific prefixes in that range are announced by the AS in the ROA. In practice, this case should occur rarely (if at all). Operator discretion is necessary in this case.
そのような例外の1つは、最大値によって許可されているすべての具体的な接頭辞が実際にROAのASによって発表された場合です。別の例外は次のとおりです。(a)最大値は、ROAの指定されたプレフィックス長と比較して大幅に大きく、(b)その範囲のより多くの特定のプレフィックスがROAのASによって発表されます。実際には、この場合はめったに発生しないはずです(もしあれば)。この場合、オペレーターの裁量が必要です。
This practice requires no changes to the RPKI specifications and need not increase the number of signed ROAs in the RPKI because ROAs already support lists of IP prefixes [RFC6482]. See [GSG17] for further discussion of why this practice will have minimal impact on the performance of the RPKI ecosystem.
このプラクティスでは、RPKI仕様の変更は必要ありません。ROASはすでにIPプレフィックスのリストをサポートしているため、RPKIの署名されたROAの数を増やす必要はありません[RFC6482]。[GSG17]を参照して、このプラクティスがRPKIエコシステムのパフォーマンスに最小限の影響を与える理由についての詳細については、参照してください。
Operators that implement these recommendations and have existing ROAs published in the RPKI system MUST perform a review of such objects, especially where they make use of the maxLength attribute, to ensure that the set of included prefixes is "minimal" with respect to the current BGP origination and routing policies. Published ROAs MUST be replaced as necessary. Such an exercise MUST be repeated whenever the operator makes changes to either policy.
これらの推奨事項を実装し、RPKIシステムに既存のROASを搭載しているオペレーターは、特に最大属性を使用する場合、そのようなオブジェクトのレビューを実行して、含まれるプレフィックスのセットが現在のBGPに関して「最小」であることを確認する必要があります。オリジネーションとルーティングポリシー。公開されたRoasは、必要に応じて交換する必要があります。このような演習は、オペレーターがいずれかのポリシーを変更するたびに繰り返さなければなりません。
Operational requirements may require that a route for an IP prefix be originated on an ad hoc basis, with little or no prior warning. An example of such a situation arises when an operator wishes to make use of DDoS mitigation services that use BGP to redirect traffic via a "scrubbing center".
運用上の要件では、IPプレフィックスのルートをアドホックベースで発信する必要があり、事前の警告はほとんどまたはまったくありません。このような状況の例は、オペレーターがBGPを使用して「スクラブセンター」を介してトラフィックをリダイレクトするDDOS緩和サービスを使用したい場合に発生します。
In order to ensure that such ad hoc routing changes are effective, a ROA validating the new route should exist. However, a difficulty arises due to the fact that newly created objects in the RPKI are made visible to relying parties considerably more slowly than routing updates in BGP.
このようなアドホックルーティングの変更が効果的であることを確認するために、新しいルートを検証するROAが存在するはずです。ただし、RPKIで新しく作成されたオブジェクトが、BGPの更新をルーティングするよりもかなりゆっくりと依存するように見えるようになっているため、困難が生じます。
Ideally, it would not be necessary to pre-create the ROA, which validates the ad hoc route, and instead create it "on the fly" as required. However, this is practical only if the latency imposed by the propagation of RPKI data is guaranteed to be within acceptable limits in the circumstances. For time-critical interventions such as responding to a DDoS attack, this is unlikely to be the case.
理想的には、アドホックルートを検証するROAを事前に作成し、代わりに必要に応じて「オンザフライ」を作成する必要はありません。ただし、これは、RPKIデータの伝播によって課されるレイテンシが、状況で許容可能な制限内に保証されている場合にのみ実用的です。DDOS攻撃への対応などの時間的に重要な介入については、これが事実ではありません。
Thus, the ROA in question will usually need to be created well in advance of the routing intervention, but such a ROA will be non-minimal, since it includes an IP prefix that is sometimes (but not always) originated in BGP.
したがって、問題のROAは通常、ルーティング介入のかなり前に作成する必要がありますが、そのようなROAは、BGPで発生する場合がある(常にではない)IPプレフィックスを含むため、非最小です。
In this case, the ROA SHOULD only include:
この場合、ROAには次のもののみを含める必要があります。
(1) the set of IP prefixes that are always originated in BGP, and
(1) 常にBGPで発生するIPプレフィックスのセットと
(2) the set of IP prefixes that are sometimes, but not always, originated in BGP.
(2) 常にではありませんが、常にではないが、BGPに由来するIPプレフィックスのセット。
The ROA SHOULD NOT include any IP prefixes that the operator knows will not be originated in BGP. In general, the ROA SHOULD NOT make use of the maxLength attribute unless doing so has no impact on the set of included prefixes.
ROAには、オペレーターがBGPで発生しないことを知っているIPプレフィックスを含めるべきではありません。一般に、ROAは、含まれているプレフィックスのセットに影響を与えない限り、MaxLength属性を使用するべきではありません。
The running example is now extended to illustrate one situation where it is not possible to issue a minimal ROA.
実行中の例は、最小限のROAを発行することが不可能な状況を示すために拡張されています。
Consider the following scenario prior to the deployment of RPKI. Suppose AS 64496 announced 192.168.0.0/16 and has a contract with a DDoS mitigation service provider that holds AS 64500. Further, assume that the DDoS mitigation service contract applies to all IP addresses covered by 192.168.0.0/22. When a DDoS attack is detected and reported by AS 64496, AS 64500 immediately originates 192.168.0.0/22, thus attracting all the DDoS traffic to itself. The traffic is scrubbed at AS 64500 and then sent back to AS 64496 over a backhaul link. Notice that, during a DDoS attack, the DDoS mitigation service provider AS 64500 originates a /22 prefix that is longer than AS 64496's /16 prefix, so all the traffic (destined to addresses in 192.168.0.0/22) that normally goes to AS 64496 goes to AS 64500 instead. In some deployments, the origination of the /22 route is performed by AS 64496 and announced only to AS 64500, which then announces transit for that prefix. This variation does not change the properties considered here.
RPKIの展開前の次のシナリオを検討してください。 AS 64496が192.168.0.0/16を発表し、64500を保持するDDOS緩和サービスプロバイダーと契約を結んでいると仮定します。さらに、DDOS緩和サービス契約は192.168.0.0/22の対象となるすべてのIPアドレスに適用されると仮定します。 64500がすぐに192.168.0.0/22を起源とするため、DDOS攻撃がAS 64496で検出および報告された場合、すべてのDDOSトラフィックがそれ自体に引き付けられます。トラフィックはAS 64500でスクラブされ、バックホールリンク上でAS 64496に送信されます。 DDOS攻撃中に、64500としてのDDOS緩和サービスプロバイダーは、64496's /16プレフィックスよりも長いA /22プレフィックスを発信するため、通常はすべてのトラフィック(192.168.0.0/22のアドレスに移行している)は、通常64496は代わりに64500になります。一部の展開では、 /22ルートのオリジネーションはAS 64496によって実行され、AS 64500にのみ発表され、そのプレフィックスのトランジットが発表されます。このバリエーションは、ここで考慮される特性を変更しません。
First, suppose the RPKI only had the minimal ROA for AS 64496, as described in Section 3. However, if there is no ROA authorizing AS 64500 to announce the /22 prefix, then the DDoS mitigation (and traffic scrubbing) scheme would not work. That is, if AS 64500 originates the /22 prefix in BGP during DDoS attacks, the announcement would be invalid [RFC6811].
まず、セクション3で説明されているように、RPKIがAS 64496の最小ROAのみを持っていたとしますが、64500が /22プレフィックスを発表する64500を許可しない場合、DDOS緩和(およびトラフィックスクラブ)スキームは機能しません。。つまり、DDOS攻撃中に64500がBGPで /22プレフィックスを発信する場合、発表は無効になります[RFC6811]。
Therefore, the RPKI should have two ROAs: one for AS 64496 and one for AS 64500.
したがって、RPKIには2つのROASが必要です。1つはAS 64496、もう1つは64500です。
ROA:(192.168.0.0/16, 192.168.225.0/24, AS 64496)
ROA:(192.168.0.0/22, AS 64500)
ROA:(192.168.0.0/22、AS 64500)
Neither ROA uses the maxLength attribute, but the second ROA is not "minimal" because it contains a /22 prefix that is not originated by anyone in BGP during normal operations. The /22 prefix is only originated by AS 64500 as part of its DDoS mitigation service during a DDoS attack.
どちらのROAもMaxLength属性を使用しませんが、2番目のROAは「最小」ではありません。これは、通常の操作中にBGPの誰にも発生しないA /22プレフィックスが含まれているためです。/22プレフィックスは、DDOS攻撃中にDDOS緩和サービスの一環としてAS 64500によってのみ発生します。
Notice, however, that this scheme does not come without risks. Namely, all IP addresses in 192.168.0.0/22 are vulnerable to a forged-origin sub-prefix hijack during normal operations when the /22 prefix is not originated. (The hijacker AS 64511 would send the BGP announcement "192.168.0.0/22: AS 64511, AS 64500", falsely claiming that AS 64511 is a neighbor of AS 64500 and falsely claiming that AS 64500 originates 192.168.0.0/22.)
ただし、このスキームはリスクなしには来ないことに注意してください。つまり、192.168.0.0/22のすべてのIPアドレスは、 /22プレフィックスが発信されない場合の通常の操作中に、偽造オリジンサブプレフィックスハイジャックに対して脆弱です。(64511としてのハイジャッカーは、「192.168.0.0/22:AS 64511、AS 64500」のBGPアナウンスを送信し、64511はAS 64500の隣人であり、64500が192.168.0.0/22から誤って主張していると誤って主張しています)
In some situations, the DDoS mitigation service at AS 64500 might want to limit the amount of DDoS traffic that it attracts and scrubs. Suppose that a DDoS attack only targets IP addresses in 192.168.0.0/24. Then, the DDoS mitigation service at AS 64500 only wants to attract the traffic designated for the /24 prefix that is under attack, but not the entire /22 prefix. To allow for this, the RPKI should have two ROAs: one for AS 64496 and one for AS 64500.
状況によっては、AS 64500のDDOS緩和サービスは、引き付けてスクラブするDDOSトラフィックの量を制限したい場合があります。DDOS攻撃が192.168.0.0/24のIPアドレスのみをターゲットにすると仮定します。次に、AS 64500のDDOS緩和サービスは、攻撃を受けている /24のプレフィックスに指定されたトラフィックを引き付けたいだけですが、 /22プレフィックス全体ではありません。これを許可するには、RPKIには2つのRoasが必要です。1つは64496、もう1つは64500です。
ROA:(192.168.0.0/16, 192.168.225.0/24, AS 64496)
ROA:(192.168.0.0/22-24, AS 64500)
ROA:(192.168.0.0/22-24、AS 64500)
The second ROA uses the maxLength attribute because it is designed to explicitly enable AS 64500 to originate any /24 sub-prefix of 192.168.0.0/22.
2番目のROAは、64500が192.168.0.0/22の任意の /24サブプレフィックスを発信するように明示的に有効にするように設計されているため、MaxLength属性を使用します。
As before, the second ROA is not "minimal" because it contains prefixes that are not originated by anyone in BGP during normal operations. Also, all IP addresses in 192.168.0.0/22 are vulnerable to a forged-origin sub-prefix hijack during normal operations when the /22 prefix is not originated.
前と同様に、2番目のROAは、通常の操作中にBGPの誰からも発生しない接頭辞が含まれているため、「最小限」ではありません。また、192.168.0.0/22のすべてのIPアドレスは、 /22のプレフィックスが発信されない場合の通常の操作中に、鍛造オリジンサブプレフィックスのハイジャックに対して脆弱です。
The use of the maxLength attribute in this second ROA also comes with additional risk. While it permits the DDoS mitigation service at AS 64500 to originate prefix 192.168.0.0/24 during a DDoS attack in that space, it also makes the other /24 prefixes covered by the /22 prefix (i.e., 192.168.1.0/24, 192.168.2.0/24, and 192.168.3.0/24) vulnerable to forged-origin sub-prefix attacks.
この2番目のROAでのMaxLength属性の使用には、追加のリスクもあります。AS 64500のDDOS緩和サービスは、そのスペースでのDDOS攻撃中にプレフィックス192.168.0.0/24を発信することを許可しますが、 /22プレフィックスでカバーされている他の /24のプレフィックスも作成します(すなわち、192.168.1.0/24、192.168.2.0/24、および192.168.3.0/24)Forged-Origin Sub-Prefix攻撃に対して脆弱。
When responding to certain classes of prefix hijack (in particular, the forged-origin sub-prefix hijack described above), it may be desirable for the victim to perform "defensive de-aggregation", i.e., to begin originating more-specific prefixes in order to compete with the hijack routes for selection as the best path in networks that are not performing RPKI-ROV [RFC6811].
プレフィックスハイジャックの特定のクラス(特に、上記の偽造オリジンサブプレフィックスハイジャック)に応答する場合、被害者が「防御脱凝固」を実行することが望ましい場合があります。RPKI-Rov [RFC6811]を実行していないネットワークの最良のパスとして、選択のためにハイジャックルートと競合するために。
In topologies where at least one AS on every path between the victim and hijacker filters RPKI-ROV invalid prefixes, it may be the case that the existence of a minimal ROA issued by the victim prevents the defensive more-specific prefixes from being propagated to the networks topologically close to the attacker, thus hampering the effectiveness of this response.
被害者とハイジャッカーの間のすべてのパスで少なくとも1つがRPKI-Rovの無効な接頭辞をフィルターするトポロジでは、被害者によって発行された最小限のROAの存在が、防御的なより固有のプレフィックスが、ネットワークはトポロジカルに攻撃者に近いため、この応答の有効性が妨げられます。
Nevertheless, this document recommends that, where possible, network operators publish minimal ROAs even in the face of this risk. This is because:
それにもかかわらず、このドキュメントは、可能であれば、ネットワークオペレーターがこのリスクに直面しても最小限のROAを公開することを推奨しています。それの訳は:
* Minimal ROAs offer the best possible protection against the immediate impact of such an attack, rendering the need for such a response less likely;
* 最小限のROAは、このような攻撃の即時の影響に対する可能な限り最良の保護を提供し、そのような対応の必要性を低下させます。
* Increasing RPKI-ROV adoption by network operators will, over time, decrease the size of the neighborhoods in which this risk exists; and
* ネットワークオペレーターによるRPKI-ROVの採用の増加は、時間の経過とともに、このリスクが存在する近隣のサイズを減らします。と
* Other methods for reducing the size of such neighborhoods are available to potential victims, such as establishing direct External BGP (EBGP) adjacencies with networks from whom the defensive routes would otherwise be hidden.
* そのような近隣のサイズを縮小する他の方法は、防御ルートが隠されているネットワークと直接的な外部BGP(EBGP)隣接を確立するなど、潜在的な被害者が利用できます。
Considerations related to ROAs and RPKI-ROV [RFC6811] for the case of destination-based RTDR (elsewhere referred to as "Remotely Triggered Black Hole") filtering are addressed here. In RTDR filtering, highly specific prefixes (greater than /24 in IPv4 and greater than /48 in IPv6, or possibly even /32 in IPv4 and /128 in IPv6) are announced in BGP. These announcements are tagged with the well-known BGP community defined by [RFC7999]. For the reasons set out above, it is obviously not desirable to use a large maxLength value or include any such highly specific prefixes in the ROAs to accommodate destination-based RTDR filtering.
宛先ベースのRTDR(「リモートトリガーブラックホール」と呼ばれる他の場所)の場合、ROASおよびRPKI-ROV [RFC6811]に関連する考慮事項フィルタリングはここで説明されています。RTDRフィルタリングでは、非常に特異的なプレフィックス(IPv4で /24よりも大きく、IPv6では /48以上、またはBGPではIPv4では /32、IPv6で /128)が発表されています。これらの発表は、[RFC7999]で定義されたよく知られているBGPコミュニティでタグ付けされています。上記の理由により、大規模な最大値を使用したり、宛先ベースのRTDRフィルタリングに対応するためにROASにそのような高度に特異的なプレフィックスを含めることは明らかに望ましくありません。
As a result, RPKI-ROV [RFC6811] is a poor fit for the validation of RTDR routes. Specification of new procedures to address this use case through the use of the RPKI is outside the scope of this document.
その結果、RPKI-Rov [RFC6811]は、RTDRルートの検証に適していないことです。RPKIを使用してこのユースケースに対処するための新しい手順の仕様は、このドキュメントの範囲外です。
Therefore:
したがって:
* Operators SHOULD NOT create non-minimal ROAs (by either creating additional ROAs or using the maxLength attribute) for the purpose of advertising RTDR routes; and
* オペレーターは、RTDRルートを広告する目的で、非最小ROAS(追加のROAを作成するか、最大属性を使用して)を作成しないでください。と
* Operators providing a means for operators of neighboring autonomous systems to advertise RTDR routes via BGP MUST NOT make the creation of non-minimal ROAs a pre-requisite for its use.
* 近隣の自律システムのオペレーターがBGPを介してRTDRルートを宣伝する手段を提供するオペレーターは、非最小ROAの作成を使用するための前提条件にしてはなりません。
Most operator interaction with the RPKI system when creating or modifying ROAs will occur via a user interface that abstracts the underlying encoding, signing, and publishing operations.
ROASを作成または変更するときにRPKIシステムとのほとんどのオペレーターの相互作用は、基礎となるエンコード、署名、および公開オペレーションを抽象化するユーザーインターフェイスを介して発生します。
This document recommends that designers and/or providers of such user interfaces SHOULD provide warnings to draw the user's attention to the risks of creating non-minimal ROAs in general and using the maxLength attribute in particular.
このドキュメントでは、このようなユーザーインターフェイスの設計者および/またはプロバイダーは、一般的に非最小ROAを作成し、特に最大属性を使用するリスクにユーザーの注意を引くための警告を提供することを推奨しています。
Warnings provided by such a system may vary in nature from generic warnings based purely on the inclusion of the maxLength attribute to customised guidance based on the observable BGP routing policy of the operator in question. The choices made in this respect are expected to be dependent on the target user audience of the implementation.
このようなシステムによって提供される警告は、問題のオペレーターの観察可能なBGPルーティングポリシーに基づいたカスタマイズされたガイダンスに基づいて、純粋に最大属性を含めることに基づいた一般的な警告から本質的に異なる場合があります。この点で行われた選択は、実装のターゲットユーザーオーディエンスに依存することが期待されています。
The recommendations specified in this document (in particular, those in Section 5) involve trade-offs between operational agility and security.
このドキュメント(特にセクション5の文書)で指定された推奨事項には、運用上の俊敏性とセキュリティのトレードオフが含まれます。
Operators adopting the recommended practice of issuing minimal ROAs will, by definition, need to make changes to their existing set of issued ROAs in order to effect changes to the set of prefixes that are originated in BGP.
最小限のROASを発行するという推奨されるプラクティスを採用するオペレーターは、定義上、BGPに由来するプレフィックスのセットに変更をもたらすために、既存の発行されたROAのセットに変更を加える必要があります。
Even in the case of routing changes that are planned in advance, existing procedures may need to be updated to incorporate changes to issued ROAs and may require additional time allowed for those changes to propagate.
事前に計画されているルーティングの変更の場合でも、発行されたROAに変更を組み込むために既存の手順を更新する必要がある場合があり、それらの変更が伝播するために追加の時間を許可する必要がある場合があります。
Operators are encouraged to carefully review the issues highlighted (especially those in Sections 5.1 and 5.2) in light of their specific operational requirements. Failure to do so could, in the worst case, result in a self-inflicted denial of service.
オペレーターは、特定の運用要件に照らして、強調された問題(特にセクション5.1および5.2の問題)を慎重に確認することをお勧めします。そうしないと、最悪の場合、自傷行為の拒否をもたらす可能性があります。
The recommendations made in Section 5 are likely to be more onerous for operators utilising large IP address space allocations from which many more-specific advertisements are made in BGP. Operators of such networks are encouraged to seek opportunities to automate the required procedures in order to minimise manual operational burden.
セクション5で行われた推奨事項は、BGPで多くのより固有の広告が作成される大きなIPアドレススペースの割り当てを利用するオペレーターにとってより面倒である可能性があります。このようなネットワークのオペレーターは、手動の運用負担を最小限に抑えるために、必要な手順を自動化する機会を求めることをお勧めします。
This document makes recommendations regarding the use of RPKI-ROV as defined in [RFC6811] and, as such, introduces no additional security considerations beyond those specified therein.
このドキュメントは、[RFC6811]で定義されているRPKI-Rovの使用に関する推奨事項を作成し、そのため、指定されたものを超えて追加のセキュリティ上の考慮事項を導入しません。
This document has no IANA actions.
このドキュメントにはIANAアクションがありません。
[RFC1918] Rekhter, Y., Moskowitz, B., Karrenberg, D., de Groot, G. J., and E. Lear, "Address Allocation for Private Internets", BCP 5, RFC 1918, DOI 10.17487/RFC1918, February 1996, <https://www.rfc-editor.org/info/rfc1918>.
[RFC1918] Rekhter、Y.、Moskowitz、B.、Karrenberg、D.、De Groot、G。J.、およびE. Lear、「プライベートインターネットのアドレス割り当て」、BCP 5、RFC 1918、DOI 10.17487/RFC1918、1996年2月、<https://www.rfc-editor.org/info/rfc1918>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487/RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。
[RFC4271] Rekhter, Y., Ed., Li, T., Ed., and S. Hares, Ed., "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, DOI 10.17487/RFC4271, January 2006, <https://www.rfc-editor.org/info/rfc4271>.
[RFC4271] Rekhter、Y.、ed。、Li、T.、ed。、およびS. Hares、ed。、「A Border Gateway Protocol 4(BGP-4)」、RFC 4271、DOI 10.17487/RFC4271、2006年1月、<https://www.rfc-editor.org/info/rfc4271>。
[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480, February 2012, <https://www.rfc-editor.org/info/rfc6480>.
[RFC6480] Lepinski、M。およびS. Kent、「安全なインターネットルーティングをサポートするインフラストラクチャ」、RFC 6480、DOI 10.17487/RFC6480、2012年2月、<https://www.rfc-editor.org/info/rfc6480>。
[RFC6482] Lepinski, M., Kent, S., and D. Kong, "A Profile for Route Origin Authorizations (ROAs)", RFC 6482, DOI 10.17487/RFC6482, February 2012, <https://www.rfc-editor.org/info/rfc6482>.
[RFC6482] Lepinski、M.、Kent、S。、およびD. Kong、「ルートオリジナル認可(ROA)のプロファイル」、RFC 6482、DOI 10.17487/RFC6482、2012年2月、<https://www.rfc-editor.org/info/rfc6482>。
[RFC6811] Mohapatra, P., Scudder, J., Ward, D., Bush, R., and R. Austein, "BGP Prefix Origin Validation", RFC 6811, DOI 10.17487/RFC6811, January 2013, <https://www.rfc-editor.org/info/rfc6811>.
[RFC6811] Mohapatra、P.、Scudder、J.、Ward、D.、Bush、R.、およびR. Austein、「BGPプレフィックスオリジン検証」、RFC 6811、DOI 10.17487/RFC6811、2013年1月、<https://www.rfc-editor.org/info/rfc6811>。
[RFC7115] Bush, R., "Origin Validation Operation Based on the Resource Public Key Infrastructure (RPKI)", BCP 185, RFC 7115, DOI 10.17487/RFC7115, January 2014, <https://www.rfc-editor.org/info/rfc7115>.
[RFC7115] Bush、R。、「リソース公開キーインフラストラクチャ(RPKI)に基づくオリジン検証操作」、BCP 185、RFC 7115、DOI 10.17487/RFC7115、2014年1月、<https://www.rfc-editor.orgg/info/rfc7115>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487/RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。
[GCHSS] Gilad, Y., Cohen, A., Herzberg, A., Schapira, M., and H. Shulman, "Are We There Yet? On RPKI's Deployment and Security", NDSS 2017, February 2017, <https://eprint.iacr.org/2016/1010.pdf>.
[GCHSS] Gilad、Y.、Cohen、A.、Herzberg、A.、Schapira、M。、およびH. Shulman、「RPKIの展開とセキュリティについてはまだそこにいますか」、NDSS 2017、2017年2月、<HTTPS://eprint.iacr.org/2016/1010.pdf>。
[GSG17] Gilad, Y., Sagga, O., and S. Goldberg, "MaxLength Considered Harmful to the RPKI", CoNEXT '17, DOI 10.1145/3143361.3143363, December 2017, <https://eprint.iacr.org/2016/1015.pdf>.
[GSG17] Gilad、Y.、Sagga、O.、およびS. Goldberg、「RPKIに有害と見なされるMaxLength」、Conext '17、DOI 10.1145/3143361.3143363、2017年12月、<https://eprint.iaiad.org/2016/1015.pdf>。
[LSG16] Lychev, R., Shapira, M., and S. Goldberg, "Rethinking security for internet routing", Communications of the ACM, DOI 10.1145/2896817, October 2016, <http://cacm.acm.org/ magazines/2016/10/207763-rethinking-security-for-internet-routing/>.
[LSG16] Lychev、R.、Shapira、M。、およびS. Goldberg、「インターネットルーティングのセキュリティの再考」、ACMの通信、DOI 10.1145/2896817、2016年10月、<http://cacm.acm.org/雑誌/2016/10/207763-rethinking-security-for-internet-routing/>。
[RFC5737] Arkko, J., Cotton, M., and L. Vegoda, "IPv4 Address Blocks Reserved for Documentation", RFC 5737, DOI 10.17487/RFC5737, January 2010, <https://www.rfc-editor.org/info/rfc5737>.
[RFC5737] Arkko、J.、Cotton、M。、およびL. Vegoda、「IPv4アドレスブロックはドキュメント用に予約されています」、RFC 5737、DOI 10.17487/RFC5737、2010年1月、<https://www.rfc-editor.orgg/info/rfc5737>。
[RFC6907] Manderson, T., Sriram, K., and R. White, "Use Cases and Interpretations of Resource Public Key Infrastructure (RPKI) Objects for Issuers and Relying Parties", RFC 6907, DOI 10.17487/RFC6907, March 2013, <https://www.rfc-editor.org/info/rfc6907>.
[RFC6907] Manderson、T.、Sriram、K。、およびR. White、「発行者および依存関係者向けのリソース公開キーインフラストラクチャ(RPKI)オブジェクトのユースケースと解釈」、RFC 6907、DOI 10.17487/RFC6907、2013年3月、<https://www.rfc-editor.org/info/rfc6907>。
[RFC7999] King, T., Dietzel, C., Snijders, J., Doering, G., and G. Hankins, "BLACKHOLE Community", RFC 7999, DOI 10.17487/RFC7999, October 2016, <https://www.rfc-editor.org/info/rfc7999>.
[RFC7999] King、T.、Dietzel、C.、Snijders、J.、Doering、G.、およびG. Hankins、「Blackhole Community」、RFC 7999、DOI 10.17487/RFC7999、2016年10月、<https:// wwwwwwwww.rfc-editor.org/info/rfc7999>。
[RFC8205] Lepinski, M., Ed. and K. Sriram, Ed., "BGPsec Protocol Specification", RFC 8205, DOI 10.17487/RFC8205, September 2017, <https://www.rfc-editor.org/info/rfc8205>.
[RFC8205] Lepinski、M.、ed。およびK. Sriram編、「BGPSECプロトコル仕様」、RFC 8205、DOI 10.17487/RFC8205、2017年9月、<https://www.rfc-editor.org/info/rfc8205>。
Acknowledgments
謝辞
The authors would like to thank the following people for their review and contributions to this document: Omar Sagga and Aris Lambrianidis. Thanks are also due to Matthias Waehlisch, Ties de Kock, Amreesh Phokeer, Éric Vyncke, Alvaro Retana, John Scudder, Roman Danyliw, Andrew Alston, and Murray Kucherawy for comments and suggestions, to Roni Even for the Gen-ART review, to Jean Mahoney for the ART-ART review, to Acee Lindem for the Routing Area Directorate review, and to Sean Turner for the Security Area Directorate review.
著者は、この文書へのレビューと貢献について、次の人々に感謝したいと思います:オマール・サッガとアリス・ランブリニディス。また、マティアス・ワーリッシュ、ティーズ・デ・コック、アムリーシュ・フォーキー、エリック・ヴィンケ、アルバロ・レターナ、ジョン・スカダー、ローマ・ダニリウ、アンドリュー・アルストン、マレー・クチェロウィーに感謝します。アートアートレビューのためのMahoney、ルーティングエリアディレクターレビューのためのAcee Lindem、およびSean Turnerへのセキュリティエリアディレクターレビュー。
Authors' Addresses
著者のアドレス
Yossi Gilad Hebrew University of Jerusalem Rothburg Family Buildings Edmond J. Safra Campus Jerusalem 9190416 Israel Email: yossigi@cs.huji.ac.il
ヨッシギラドヘブライ語エルサレム大学ロスバーグ家族の建物エドモンドJ.サフラキャンパスエルサレム9190416イスラエルメール:yossigi@cs.huji.ac.il
Sharon Goldberg Boston University 111 Cummington St, MCS135 Boston, MA 02215 United States of America Email: goldbe@cs.bu.edu
シャロンゴールドバーグボストン大学111 Cummington St、MCS135ボストン、マサチューセッツ州02215アメリカ合衆国電子メール:goldbe@cs.bu.edu
Kotikalapudi Sriram USA National Institute of Standards and Technology 100 Bureau Drive Gaithersburg, MD 20899 United States of America Email: kotikalapudi.sriram@nist.gov
Kotikalapudi Sriram USA National Institute of Standards and Technology 100 Bureau Drive Gaithersburg、MD 20899アメリカ合衆国電子メール:kotikalapudi.sriram@nist.gov
Job Snijders Fastly Amsterdam Netherlands Email: job@fastly.com
Job Snijders早くアムステルダムオランダメールメール:job@fastly.com
Ben Maddison Workonline Communications 114 West St Johannesburg 2196 South Africa Email: benm@workonline.africa
ベンマディソンワークオンラインコミュニケーション114ウェストセントヨハネスブルグ2196南アフリカメール:benm@workonline.africa