IPブロックリストについて考えてみる RIPE NCC Webinar "IP Blocklisting Basic"
皆さんこんにちは。今回はRIPE NCCのウェビナー「IP Blocklisting Basic」に参加してみてのメモです。備忘録レベルですが。
RIPE NCCのウェビナー情報はこちら。無償のe-learningコースはこちら。どちらもコンテンツが充実しています。
イントロ
- インターネットはBGPで経路交換している、などの基本的な説明。
- Adobeconnectのシステムを利用して四択の質問が何度かありました。「インターネットリソースが悪用、誤った利用がされるのはどういったときでしょう?」A.人為的なミスによる経路広報、、などの選択肢が表示され、リアルタイムで投票結果が受講者、講師の両方から見えていて講師がコメントしていました。ウェビナーだと気を抜くと受け身になりがちなので、良い機能だと思いました。イントロ以外でも何度もこの形式での質問が挟まれていました。
- RIPE NCC配下には20,000以上のLIRがある。
IRRに登録するルートオブジェクトの話
- ルートオブジェクトはプレフィックスに情報を紐づけるもの。ASにプレフィックスを紐づけるものではないので注意。あくまでプレフィックス(RIRやLIRから配布されているIPリソース)が主体。
- RIPE Statの使い方が説明されていました。
Public Blocklist
- SPAMHAUSやspamcop.net、CBLなどのアイコンがスライドに出てきていました。
- IPがブロックリストに登録される理由が紹介されていました。スパム、ミスコンフィグ、ボットやマルウェアなどなど。
- 特にマルウェアに感染すると自分のIPがブロックリストに載りやすいので注意すべき。
- Open Mail Relayは悪用されやすいのでRFC5321で推奨されていない。
- 再配布(Transfer)されたIPリソースは過去に悪用されている可能性もゼロではないので注意しておくべき。RIPEの場合はRIPE Database上のデータをすべて削除して、6か月待ってLIRに再配布されるとのこと。
自分のIPがブロックリストに載ったときの対応
- Don't panic.
- ブロックリストに乗るような通信が発生していないか確認。
- 難しい場合があるがリストに載せた人に連絡をつける。
どこかしらのブロックリストを見て、それを元にコンフィグを書くようなことをした経験はないので、実際にどの程度使われているのか、どのブロックリストが信頼性が高いのかが気になってきました。
自分が管理しているIPがブロックされると解決するのは手間がかかると思うので、事前にIRRやROA、abuseされやすい通信が起こる環境でないか等できることをするのが大切ですね。
Adobeconnectの質問機能が秀逸で、ウェビナー全体の体験としてはとても良かったです。アメリカより英語が聞き取りやすいのも助かりました。。