RPKIとROA解説
BGPはネットワークの広告内容を無条件に信頼するため、経路ハイジャックが起きます。RPKI(リソース公開鍵基盤) は誰がどのアドレス空間を保有するかの暗号的証明を加え、ROA(経路起源認可) はそれを使って「どのASがどのprefixを起源にしてよいか」を表明します。
ROAの内容
ROAは3つを述べる署名済みオブジェクトです:
| 項目 | 例 | 意味 |
|---|---|---|
| 起源AS | AS3333 |
広告を許可されるAS |
| prefix | 193.0.0.0/21 |
アドレスブロック |
| 最大長 | /24 |
許可される最も詳細なサブprefix |
アドレス空間の保有者がRIRでROAを作成し、RIRのトラストアンカーまで署名されます。
経路起源検証(ROV)
ROVを導入したネットワークは、各BGP広告を公開ROAと照合してラベル付けします:
- Valid — この起源とprefix長をROAが認可。
- Invalid — ROAはあるが起源ASまたは長が不一致。経路は破棄。
- Unknown — prefixを覆うROAが無い。従来どおり受理。
Invalidを拒否するネットワークが増えるほど、ハイジャッカーの偽広告は単純に伝播しなくなります。主要IXPやトランジット事業者は既定でInvalidを破棄するようになっています。
確認する
起源AS+prefixの組は当サイトの RPKI/ROA検証 で検証し、IPの起源ASは ASN調査 で調べ、経路の流れは BGPルーティングの基礎 で読めます。
メモ: RPKI/ROAは経路の起源のみを守り、AS経路全体は守りません。経路全体の保護(BGPsec, ASPA)は別の、普及の進んでいない取り組みです。それでもROAの公開は、全prefix保有者が取るべき費用対効果の高い一手です。