rov-check

rov-check とは

rov-check は、お使いのネットワークが RPKI 経路オリジン認証 (ROV; Route Origin Validation) によって保護されているかどうかを、かんたんに確認するための設備です。現在も開発途上であり、今後機能拡充等を行う予定です。

rov-check は、日本ネットワークインフォメーションセンター (JPNIC) によって開発・提供され、これを用いた調査は総務省の請負事業 (令和 6 年度 ISP におけるネットワークセキュリティ技術の導入及び普及促進に関する調査) の一環として実施されます。この事業は JPNIC がエヌ・ティ・ティ・コミュニケーションズ、三菱総合研究所とともに取り組んでいるものです。

rov-check のご利用にあたっては、利用規約をご確認ください。

rov-check で判定する

下のボタンを押すと rov-check の判定を開始し、お使いのネットワークが ROV によって保護されているかどうか表示し、結果等をサーバに送信します。判定には最大 30 秒ほどかかります。

rov-check の使い方

rov-check は、上のボタンを押すことでも使用できますが、お手元の端末や BGP ルータを操作していただくことでも結果を判断できます。

Prefix 名	Prefix	IP アドレス・URL
Valid Prefix	202.1.212.0/24 2407:9900::/36	202.1.212.1 https://v4.valid.rov-check.nic.ad.jp/ 2407:9900::1 https://v6.valid.rov-check.nic.ad.jp/
Invalid Prefix	202.1.213.0/24 2407:9900:1000::/36	202.1.213.1 https://v4.invalid.rov-check.nic.ad.jp/ 2407:9900:1000::1 https://v6.invalid.rov-check.nic.ad.jp/
NotFound Prefix	202.1.214.0/24 2407:9900:2000::/36	202.1.214.1 https://v4.notfound.rov-check.nic.ad.jp/ 2407:9900:2000::1 https://v6.notfound.rov-check.nic.ad.jp/

Prefix 名

Prefix

IP アドレス・URL

Valid Prefix

202.1.212.0/24

2407:9900::/36

202.1.212.1
https://v4.valid.rov-check.nic.ad.jp/

2407:9900::1
https://v6.valid.rov-check.nic.ad.jp/

Invalid Prefix

202.1.213.0/24

2407:9900:1000::/36

202.1.213.1
https://v4.invalid.rov-check.nic.ad.jp/

2407:9900:1000::1
https://v6.invalid.rov-check.nic.ad.jp/

NotFound Prefix

202.1.214.0/24

2407:9900:2000::/36

202.1.214.1
https://v4.notfound.rov-check.nic.ad.jp/

2407:9900:2000::1
https://v6.notfound.rov-check.nic.ad.jp/

使い方 1 - Web HTTPS

お手元の端末で Web ブラウザや cURL コマンドを使って、上記の表の「URL」に対して GET リクエストを送信します (例: curl https://v4.valid.rov-check.nic.ad.jp/)。 Invalid Prefix からのみ応答がない場合、お手元のネットワークは RPKI ROV によって不正経路から保護されています (*1)。 3 つの Prefix 全てから応答がある場合、お手元のネットワークは RPKI ROV によって不正経路から保護されていません (*2)。その他の結果になった場合は判定エラーです。

使い方 2 - ICMP

お手元の端末より上記の表の「IP アドレス」に対して、ICMP Echo Request を送信します (例: ping 202.1.212.1)。 Invalid Prefix からのみ応答がない場合、お手元のネットワークは RPKI ROV によって不正経路から保護されています (*1)。 3 つの Prefix 全てから応答がある場合、お手元のネットワークは RPKI ROV によって不正経路から保護されていません (*2)。その他の結果になった場合は判定エラーです。

使い方 3 - 経路表 (AS 運用者向け)

お手元の BGP ルータの FIB で、上記の表の「Prefix」をご確認ください (例: show ip bgp 202.1.212.0/24)。 Invalid Prefix のみ経路表にない場合、お手元のネットワークは RPKI ROV によって不正経路から保護されています (*1)。 3 つの Prefix すべてが経路表にある場合、お手元のネットワークは RPKI ROV によって不正経路から保護されていません (*2)。その他の結果になった場合は判定エラーです。

(*1): peer/transit での ROV 実施状況、経路フィルタなどにより結果が変わることがあります。このチェックは JPNIC の AS からの到達性を元に判定を行っているため、保護されています、という判定結果だったとしても、特定の transit 経路や peer からの経路について ROV が行われていない場合には、保護されていないことになります。

(*2): peer/transit での ROV 実施状況、経路フィルタなどにより結果が変わることがあります。このチェックは JPNIC の AS からの到達性を元に判定が行われているため、保護されていません、という結果だったとしても、特定の transit 経路や peer からの経路について ROV が行われている場合には、保護されていることになります。

用語説明

BGP / RPKI / ROA / ROV については、それぞれのリンク先をご覧ください。

不正経路

rov-check では、RPKI 上の ROA に記載された Prefix と Origin AS の組み合わせを正しい経路情報と捉え、BGP で広告されているこれとは異なる組み合わせの経路情報を「不正経路」とよんでいます。

この定義では、悪意を持って他者の経路を乗っ取る際に使用する経路情報に限らず、作業ミスなどで本来の意図とは異なる ROA が作成されている場合にも、BGP で広告されている経路が「不正経路」となります。

技術説明

JPNIC では rov-check の運用に際し、AS131971 を使用しています。 AS131971 では、BGP ルータより上記「rov-check の使い方」の表にある Prefix を含む複数の経路を広告しています。 Valid Prefix に対しては Origin AS を AS131971 に指定した ROA を作成しています。そのため、ROV を行うと Valid 判定となります。 Invalid Prefix に対しては Origin AS を AS2515 に指定した ROA を作成しています。そのため、ROV を行うと Invalid 判定となります。 NotFound Prefix に対しては ROA を作成していません。そのため、ROV を行うと NotFound 判定となります。

AS131971 では近接 peer に対し、本調査研究の趣旨及び意図的に不正経路を広告する旨を通知し、事前に調整を行った上で経路広告を依頼しています。

AS131971 の接続状況は以下の外部サイト等をご覧ください。

PeeringDB

bgp.tools

Hurricane Electric BGP Toolkit

お問い合わせ先

rov-check に関するお問い合わせ・ご意見・コメント等はメール pj.da.cin@ofni-hcra (JPNIC R&D 担当) までお寄せください。