ハクソク

世界を動かす技術を、日本語で。

BGPはもう安全ですか?

54日前原文(isbgpsafeyet.com)

概要

本リストは、世界中の主要なISPおよびトランジットプロバイダーの RPKI署名・フィルタリング状況 をまとめたものです。 「signed + filtering safe」は RPKI署名とフィルタリングが有効 であることを示します。 「partially safe」や「unsafe」は 一部または全く安全でない状態 を示します。 AS番号 とプロバイダー名、ステータスが記載されています。 セキュリティやネットワーク選定の参考情報として活用可能。

RPKI署名・フィルタリング状況一覧

  • RPKI署名 + フィルタリングが有効 な主要プロバイダー

    • Lumen transit(AS3356)
    • Arelion(旧Telia, AS1299)
    • Cogent transit(AS174)
    • NTT transit(AS2914)
    • Sparkle transit(AS6762)
    • Hurricane Electric transit(AS6939)
    • GTT transit(AS3257)
    • TATA transit(AS6453)
    • Zayo transit(AS6461)
    • PCCW transit(AS3491)
    • Vodafone transit(AS1273)
    • RETN transit(AS9002, 部分的に署名)
    • Orange transit(AS5511)
    • Telstra International transit(AS4637)
    • Telefonica/Telxius transit(AS12956)
    • Comcast ISP(AS7922)
    • AT&T ISP(AS7018)
    • Verizon ISP(AS701)
    • Liberty Global transit(AS6830)
    • Deutsche Telekom ISP(AS3320)
    • KPN transit(AS286, AS719)
    • Vocus Communications transit(AS4826)
    • Core-Backbone transit(AS33891)
    • Swisscom ISP(AS3303)
    • Cox Communications ISP(AS22773)
    • G8 transit(AS28329)
    • Telstra transit(AS1221)
    • Inter.link transit(AS5405)
    • Orange Polska ISP(AS5617, AS29535)
    • T-Mobile transit(AS1239, 部分的に署名)
    • Digi Romania ISP(AS8708)
    • GEANT ISP(AS20965)
    • Telekom Malaysia Berhad ISP(AS4788)
    • Softdados Telecom transit(AS52873)
    • Bell Canada ISP(AS577)
    • ...(他、多数)

  • 部分的に署名・フィルタリングが一部有効 なプロバイダー

    • IIJ transit(AS2497, ピアのみ部分的に安全)
    • OCN ISP(AS4713, ピアのみ部分的に安全)
    • Vivacom ISP(AS8866, 部分的に安全)
    • RoyaleHosting BV Cloud(AS212477, 部分的に安全)
    • Equinix Metal Cloud(AS54825, ピアのみ部分的に安全)
    • Janet ISP(AS786, 部分的に安全)
    • DFN Deutsches Forschungsnetz ISP(AS680, 部分的に安全)
    • Google cloud(AS15169, 部分的に安全)
    • DigitalOcean cloud(AS14061, ピアのみ部分的に安全)
    • ...(他、複数)

  • RPKI未対応・フィルタリング未実施(unsafe)プロバイダー

    • PJSC RosTelecom transit(AS12389)
    • TransTelecom transit(AS20485)
    • SingTel transit(AS7473)
    • Algar Telecom transit(AS16735)
    • Globenet transit(AS52320)
    • Telefonica Vivo transit(AS10429)
    • Internexa transit(AS262589)
    • Angola Cables transit(AS37468)
    • China Telecom transit(AS4809)
    • Oi ISP(AS7738)
    • KT (Fixed Line) ISP(AS4766)
    • Vivo GVT ISP(AS18881)
    • Embratel transit(AS4230)
    • Telekom Hungary ISP(AS5483, 署名済みだがunsafe)
    • Eletronet transit(AS267613)
    • Windstream Communications ISP(AS7029)
    • TIM Brasil ISP(AS26615)
    • MOB Telecom transit(AS28598)
    • Optus transit(AS7474)
    • Seabras transit(AS13786)
    • SK Broadband ISP(AS9318)
    • TPG ISP(AS7545)
    • Durand transit(AS22356)
    • Optimum ISP(AS6128)
    • ...(他、多数)

RPKI署名・フィルタリング状況の意味

  • signed + filtering safe
    • RPKIによる ルート署名と不正経路のフィルタリング を実施
    • セキュリティ面で 最も信頼性が高い 回線事業者
  • partially signed / partially safe
    • 一部のみRPKI署名やフィルタリングが 有効
    • ピアリング経路や一部トラフィックで 安全性が限定的
  • unsafe
    • RPKI未対応またはフィルタリング 未実施
    • BGPハイジャックなどのリスク が高いネットワーク

利用上の注意点

  • このリストは 2024年6月時点 の情報に基づく
  • ネットワークのセキュリティポリシーや実装状況は 随時変更の可能性
  • 重要な通信やサービス展開時は 最新状況の確認が必要

推奨事項

  • signed + filtering safe なプロバイダーを 優先選択
  • 部分的に安全 な場合は、 ピアリング経路やサービス範囲 を要確認
  • unsafe な事業者利用時は、 追加のセキュリティ対策 を検討

このリストは、 ISPやトランジット選定・セキュリティ強化 の参考資料。 インターネット経路の 信頼性評価やリスク管理 に活用可能。

Hackerたちの意見

この機能に関しては、結構いいカバレッジがあるみたいだね。アメリカの大手ISPもやってるし、モバイルのもそうだし… どれくらいの主要ISPが導入すれば「安全」って言えるのかな?それって地域によるのかな?サイトには危険なものが4つしか載ってないけど、そんなに大きな問題じゃない気がする。でも、どこかではすごく大きいかもしれないね。

主要ISPだけじゃなくて、もっと欲しいよね。4つ以上はリストに載ってるし(その4つもめっちゃ大きいけど)、"Show all"をクリックしてみて。危険なオペレーターは254もいるよ。

イギリスのSkyを使ってるんだけど、RPKIがないから安全じゃないってマークされてる。リストには載ってないから、結構抜けてるのがあると思う。国やプロバイダーの種類(クラウドやISPなど)でフィルターできる表があったらいいな。編集:表を広げるための「Show all」ボタンがあるよ。

「Show all」をクリックしてみて。ブリティッシュ・テレコム(イギリスのコア電話)、NTTドコモ(日本)、ボーダフォン・エスパーニャ(ボーダフォンがグローバルにやってないことを示してる)、スターリンク(古い技術の問題じゃないことを示してる)、ロジャース(アメリカのISP)などの主要ISPが危険ってリストに載ってる。31っていう数字は、ちょっと誤解を招くポジティブな印象だと思う。

T-Mobile USAで失敗した。フルリストを見ると、T-Mobileが合格と不合格の両方にリストされてるみたい。

どれくらいの主要ISPが実装すれば「安全」になると思う?それは、主要なトランジットISPが全て実装すれば「十分」だし、主要な住宅ISPが全て実装すれば助かるよね。非RPKIルートがトランジットISPを通じて伝播できないなら、それはあまり役に立たないことになる。

GoogleとDigital Oceanはここで大きなプレイヤーだけど、なんで部分的なカバレッジしかないんだろう?TIMは不安定ってリストに載ってるけど、私のテストは成功したよ。> あなたのISP(Telecom Italia S.p.a., AS3269)はBGPを安全に実装しています。無効なプレフィックスを正しくドロップします。

BGPが安全だってテストされるのは、使わなくなってSCIONを使うようになったときだと思う。https://en.wikipedia.org/wiki/SCION_(Internet_architecture)

なんでこれがまだ起こってないの?

SCIONはネットワークオペレーターコミュニティの中では一般的に詐欺商品扱いされてる。利益を追求する単一のベンダーがソフトウェアを提供してるし、ルーターのハードウェアASICの転送が彼らのやりたいことをサポートしてないのが現実。さらに、ブロックチェーンや暗号通貨を絡めた胡散臭いPRや「グリーンウォッシング」もあって、スイスがそのおもちゃを持ってるのは確かだけど、誰も真剣に受け止めてない。

表ではISPが危険ってマークされてるのに、テストを実行すると安全だって言われる。(同じASN)

表の最後の更新は2月3日だった。おそらくその間にRPKIが実装されたんだろうね。

RPKIはBGPを安全にするわけじゃなくて、ちょっと安全にするだけ。BGPハイジャックはまだ起こる可能性がある。RPKIは特定のプレフィックスの所有情報を守るだけで、そのプレフィックスへの経路は守らないから。RPKIの下では、攻撃者が被害者のASへの経路にいると主張して、被害者のトラフィックを自分のところに送らせることができる。これを解決するためにBGPSecが提案されたけど、実際には導入が難しいと広く見なされてる。

現在のこの問題への対策はASPA[0]だと思う。まだまだ道のりは長いけど、大手が関わってるから期待できるかも。 [0]: https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-asp...

そして被害者のトラフィックを自分のところに送らせる これって「明らかに悪い」って感じだけど、ルーティングの複雑さはあまり詳しくないから、これが悪い理由をもう少し詳しく教えてもらえる?(具体的にどんな悪いことを可能にするのか、みたいな)

BGPのセキュリティ問題を解決する方法として、新しい暗号的ハンマー「Proof-Carrying Data」を使うのがいいかも。メッセージには正しく生成されたことを証明する暗号的証明が付いてくる。これで基本的にBGPをそのまま運用できるけど、各ASが正しく実行したことを証明するんだ。証明の検証はネットワークの大きさやルーティングメッセージのホップ数に関係なく一定の時間でできるから、実現可能性が高い。BGPではレイテンシがそれほど重要じゃないし、BGP自体がかなりシンプルなプロトコルだから、これらの証明を計算するのは現実的だと思う。https://rot256.dev/post/bgp-pcd/ Proof-carrying dataはこの10年でかなり進化した。追記:RPKIはまだ必要だけど、BGPSecは必要ないよ。

RPKIはプレフィックスの所有権を検証可能にするけど、パスはまだほとんど信頼ベースだよね。検証が簡単な部分は確保できたけど、最も重要な部分がちゃんと守られてるわけじゃない気がする。

RPKIは十分だと思うよ。TLSがあるから、完璧である必要はないし。

「安全」というプラトン的理想は不可能だよね。どんな暗号解決策も、結局は誤りを犯す人間の経営者やレジストリとのハンドシェイク契約に依存してるし、今のところそれに代わるものは知られてない。RPKIは「安全」か、非RPKIに対して?うん、明らかにそうだよね。「安全」を「これ以上の改善は必要ない」と解釈するのは合理的?絶対に違う。これはインターネットだし、いつかRPKI以上のものをカバーするためにドメインが再利用されることを期待するのが普通だよ。短絡的なリーダーが「RPKIは安全」と言って、投資を先に進めるのを止める理由にするかもしれないけど、その結果はどうあれ確実に起こることだよ。

Verizonはちゃんとやってるみたいだね。 > あなたのISP(Verizon、AS701)はBGPを安全に実装してる。無効なプレフィックスを正しくドロップしてるよ。

RPKIはもうROAだけじゃないし、BGPハイジャックは最初や最後のホップだけじゃなくて他の場所でも起こりうるよね。このサイト、ROA無効のプレフィックスだけじゃなくて、ASPA無効のプレフィックスもテストするように更新されてないのはなんで?

RPKIはBGPを安全にするけど、完全に安全にはならないよね。いくつかのハイジャックを防ぐのには役立つけど、攻撃者はまだルーティングパスをいじれるから。信頼に基づくシステムを修正するんじゃなくて、パッチを当ててる感じがする。

今、Free SAS ISPがサインした不安全なものを取得してるけど、テストすると成功が出る。あなたのISP(Free SAS, AS12322)はBGPを安全に実装してる。無効なプレフィックスを正しくドロップしてるよ。ツイートする → 詳細取得 https://valid.rpki.isbgpsafeyet.com で正しく有効なプレフィックスを受け入れた。 https://invalid.rpki.isbgpsafeyet.com で正しく無効なプレフィックスを拒否した。

BGPSecを考慮してないね、RPKIだけ。 [1]: https://en.wikipedia.org/wiki/BGPsec