インターネットの安全

当団体は誰もが安心して利用できる安全なインターネットの実現を理想としております。

そのためにインターネット上で発生する諸問題の解決に他の組織と協力して取り組むことはAS運用者の責任であると考えており、下記の取り組みを行っております。

1. アンチスプーフィング

送信元IPアドレスが詐称されたパケットの転送を防ぐため、エッジルータ(実験ネットワーク利用者やサーバを収容するルータ)でBCP38(RFC2827)/BCP84(RFC3704)に基づくイングレスフィルタリングを行っております。

  • マルチホーム接続:uRPF loose mode を設定
  • シングル接続: uRPF strict mode を設定

2. フィルタリング

トランジットやピアの接続部分では、JANOG Comment 1000/1006 で推奨されるものを中心としたフィルタリングをIn/Out双方向で行っております。

※ JANOG Comment : https://www.janog.gr.jp/doc/janog-comment/

実験ネットワーク利用者については、利用者に利用内容などをヒアリングの上、exact matchもしくはOrlongerでのPrefixおよびas-pathのフィルタリングを実施しており、変更の際には予め当団体にご連絡頂きフィルタリング設定を更新しております。

3. データベースへの情報登録

当団体が広報するIPアドレスは全て route object の登録を、関連するASについては as-set object (AS-HOMENOC) の登録をJPIRRとRADBに行っております。

PIアドレスを持ち込む実験ネットワーク利用者に対しては IRR への情報登録を接続の条件にすると共に、当団体でもフィルタリング設定更新時に適切に情報が登録されているかを確認しております。

また、RIR/NIRが提供するwhoisへの登録情報も常に最新の情報に更新しています。

4. RPKI

JPNICが発行するリソース証明書を利用し、JPNICの提供するRPKIシステムにROA登録を行っております。これにより、他の組織は当団体が割り振りを受けているIPアドレスが正規の割り振りを受けたものか確認することが可能です。

  • ROA登録内容
    • 2403:bd80::/32-48 (AS59105)
    • 103.48.31.0/24 (AS59105)
    • 103.202.216.0./23-24 (AS59105)
    • 103.247.181.0/24 (AS59105)

また、JPNICとインターネットマルチフィードが提供するROAキャッシュサーバを当団体のバックボーンルータで参照しております。RPKIによりinvalid判定された経路はLocal Preferenceを他の経路より低く設定し、非優先となるよう設定しております。