국내 인터넷주소 관리 동향 2016. 6. 23. 한국인터넷진흥원 인터넷주소센터(KRNIC)
Contents 인터넷주소자원 관리 현황 Ⅰ RPKI Ⅱ Q&A Ⅲ
Ⅰ 인터넷주소자원 관리 현황
1. 글로벌 인터넷주소관리
인터넷상 단말기(PC, 스마트폰 등)간 통신을 위해 숫자 형태로 만들어진 2. 국내 IP주소 관리 Internet Protocol addresses? 인터넷상 단말기(PC, 스마트폰 등)간 통신을 위해 숫자 형태로 만들어진 단말기의 주소로 IPv4와 IPv6가 있음 IPv4 : 211.192.38.1 형태로 현재 인터넷 기기에 사용되고 있는 주소 체계 (약 43억개) IPv6 : IPv4를 확장하여 거의 무한한 개수의 주소 체계 (약 43억x43억x43억x43억개) 구 분 IPv4주소 IPv6주소 주소형식(예) 211.192.38.1 2001:dc2:0:40:135:72df:9e74:d8a3 총 주소개수 약 43억개 (232개) 약 43억×43억×43억×43억개 (2128개) 국내 보유현황 112,328,192개 5,246개 (/32단위=43억×43억×43억) 보유 순위 전세계 6위 전세계 9위 개발시기 1980년 1996년 국내 최초 할당일 1986년 7월(서울대) 1999년10월(전산원)
2. 국내 IP주소 관리 우리나라는 ‘인터넷주소자원에 관한 법률’에 따라 IP주소가 필요한 국내 ISP가 KISA에 IP주소를 신청하면, KISA는 APNIC으로부터 IP주소를 확보하여 국내 ISP에게 할당
3. 국내 IPv6 전환확산 현황 글로벌 차원의 IPv4주소 고갈 선언 ! IPv6 전환 없이는 서비스 확대, 클라우드 서비스 및 사물통신 등 신규 수요 대응이 어려울 것으로 전망 < 추진경과 > - (제도) ‘조세특례제한법 시행규칙’ 개정(IPv6 장비 도입시 세제감면, ‘14.3), ‘국가정보화기본법’ 개정(정부·공공기관 IPv6 도입 노력 의무화, ‘15.12), IPTV 기술기준 개정(IPTV에 IPv6 적용, ‘15.10) 등 제도적 기반 - (상용화) 민·관 협력사업을 통한 IPv6 도입(대형ISP 백본, IPTV, 웹호스팅, CDN, 무선LTE, 중소 ISP) 및 ‘IPv6 상용서비스 지원 협의회’를 통한 IPv6 상용화 유도(ISP : SKT, KT, CP : 카카오, 네이버) - (기술지원) IPv6 연동망(6NGIX+6KANet) 운영(연동기관 89개, ‘15년)‧테스트베드 제공, IPv6 컨설팅 및 전문인력 양성 교육 등 IPv6 종합지원센터 운영(‘14.5~)
3. 국내 IPv6 전환확산 현황 2019년까지 Content-Platform-Network-Device의 구성요소별로 언제든지 IPv6를 도입할 수 있는 ‶IPv6 All Ready″환경 구축 - (주소) 우리나라 IPv6주소는 총 5,247개(/32, 43억X43억X43억개)로 전 세계 10위 보유국 독자 라우팅이 가능한 AS번호(1,005개) 기관별 평균 5개 보유 - (네트워크) 네트워크 장비(라우터‧스위치) 기준으로 IPv6 준비도는 백본망 95.3%, 가입자망 78.6%로 잔여 장비 대체 수요가 약 5~23% 남음 ※ 실제 IPv6 트래픽을 처리하고 있는 장비의 비율인 사용도는 백본‧연동망은 30%대 수준, 가입자망은 전무(全無)하여 IPv6 실사용률은 미미 - (서비스) ‘14년 SKT-다음 간 국내 최초 IPv6 상용화 이후 국내 주요 ISP, CP들이 지속적으로 IPv6 상용서비스 제공 중 ※ (무선LTE) SKT, KT, (유선) C&M, 현대HCN, CJ헬로비전, (모바일웹) 카카오, 네이버, (CDN) KINX
4. 인터넷주소자원 국내외 정책 동향 최종할당 정책 (’11. 5월) 재활용풀 정책 (’14. 5월) - IPv4 주소 고갈에 따른 APNIC의 최종할당 정책 시행에 따라, KISA는 기관 당 최대 1,024개의 IPv4 주소를 1회에 한해 할당 - APNIC의 최종 IPv4 할당풀 (103/8) 대역은 4~5년 내 고갈될 것으로 예상 재활용풀 정책 (’14. 5월) - IANA에 반납된 IP주소 대역(recovered pool)에 대해, 재활용풀 소진 시까지 기관 당 최대 1,024개의 IPv4 주소를 추가로 할당하였으나, - 재활용풀 고갈에 따라, 재활용풀 할당이 ‘16. 6월 종료됨
4. 인터넷주소자원 국내외 정책 동향 4-byte AS번호 할당 이슈 - APNIC에서는 2-byte AS번호 고갈을 예상하고 있으며, 4-byte AS 사용을 권장 * NIR 대상 블록 단위의 2-byte AS번호 배정 방식은 유지가 어려울 것으로 전망 - 다만, KISA는 보유 중인 2-byte AS번호 여분이 있어 아직 4-byte AS번호를 할당하고 있지 않은 상황으로, 추후 환경변화에 따라 4-byte AS번호 할당 예정 WHOIS IP주소 재할당정보 현행화 추진 (하반기) - KISA에서 ISP로 할당한 IP주소들의 재할당정보의 정확도 개선 추진 * 네트워크 장애, 인터넷 침해사고 등에 대한 신속한 대응을 위한 기초자료 활용 - 지속적인 재할당정보 현행화를 위한 시스템 개선 등 추진 RPKI 시범서비스 실시 예정 (하반기)
II RPKI (Resource Public Key Infrastructure)
Targeted Traffic Misdirection 1. BGP Hijacking 주요 사고 발생 사례 2008년 2월 >>> 파키스탄의 자국 내 유투브(YouTube) 접속 차단 시도로 글로벌 규모의 YouTube 서비스 접속 불능 발생 2010년 4월 >>> ‘China Telecom’의 BGP 설정 오류에 의한 글로벌 서비스 장애 유발 2014년 3월 >>> ‘British Telecom Latin America’의 BGP 설정 오류로 Google DNS 서비스에 대한 Hijacking 발생 (브라질, 베네수엘라) 2014년 4월 >>> ‘Indosat(인도네시아)’의 BGP 설정 오류로 약 2시간 동안 320,000개 이상의 잘못된 라우팅 정보가 전파 2014년 8월 >>> 캐나다에서 BGP Hijacking으로 비트코인 8만 달러 갈취 2016년 4월 >>> ‘innofiled AG(스위스)’에서 잘못된 라우팅 정보를 전파하여, 구글, 아마존, 트위터 등 576개 AS, 3431개 Prefix에 영향 Targeted Traffic Misdirection Misconfiguration Malicious
1. BGP Hijacking [사례1] 파키스탄의 YouTube 접속차단 시도 (1/2) ↑ AS36561(YouTube) announces - 208.65.152.0/22 ↓208.65.153.0/24는 장애발생 전에는 announce 된 적이 없었음 36561 17557 ※ 출처 : http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study
1. BGP Hijacking [사례1] 파키스탄의 YouTube 접속차단 시도 (2/2) 36561 17557 ↑AS17557(Pakistan Telecom) 208.65.153.0/24 announce. 2분만에 전세계 RIS peer들이 라우팅 정보를 업데이트 했고, YouTube traffic이 파키스탄으로 redirect 되기 시작함 (Sunday, 24 February 2008, 18:49 (UTC) ) ↓20:07(UTC)부터 AS36561(YouTube)는 208.65.153.0/24 announcing. 거짓정보인 AS17557(Pakistan Telecom)은 철회되고, RIS peer들은 YouTube's AS36561에 대해 단일경로를 확보 ※ 출처 : http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study
1. BGP Hijacking [사례2] BGP Hijacking을 통한 비트코인 갈취 (1/2) ↑악의적(잘못된)인 라우팅 정보가 전파되는 과정 AS3가 AS4와 "peered"되었기 때문에 악의적인 정보가 브로드캐스팅됨. AS3의 경로 정보가 AS2의 정보보다 구체적이기 때문에 BGP 경로 선택 시 AS2보다 AS3에 더 우선순위를 줌 ※ 출처 : http://www.secureworks.com/cyber-threat-intelligence/threats/bgp-hijacking-for-cryptocurrency-profit/
1. BGP Hijacking [사례2] BGP Hijacking을 통한 비트코인 갈취 (2/2) ※ 출처 : http://www.secureworks.com/cyber-threat-intelligence/threats/bgp-hijacking-for-cryptocurrency-profit/
RPKI Resource Public Key Infrastructure 2. RPKI ? IP Addresses & AS Numbers Digital Certificate 인터넷주소(IP주소, AS번호) 및 보유기관 정보에 대해 공개키 기반 구조(PKI)를 통해 전자서명 인증서를 발급하고 BGP 라우팅 정보의 무결성을 보장하는 기술
2. RPKI ? BGP 보안취약점 vs RPKI BGP 보안취약점 R P K I IP주소 Prefix, AS번호 인증 AS번호의 소유권 인증으로 BGP announce 정보의 인증 방법 정의 BGP speaker 정보 검증 - 라우팅 정보 교환 시, BGP 라우팅 광고의 시작점 (Announce Origin) 검증 변조된 BGP 라우팅 정보 탐지 및 차단 - 라우팅 경로의 시작점과 RPKI 인증 정보(ROA)를 비교하여, 변조된 정보를 탐지, 차단 AS 간의 통신에 사용되는 메시지에 대한 무결성, 상호 인증 등의 메커니즘 부재 인터넷에 announce하는 IP network와 AS번호의 소유권 증명 방법 미정의 AS에 의해 전달되는 경로 정보(AS- path)의 신뢰성 확인 방법 불투명
2. RPKI ? Route Origin Validation AS1988 AS2016 AS1994 AS2015 현재는 잘못된 Routing 정보를 Announcing해도 감지할 수 없음 AS1988 AS2016 1.18.118.0/23 AS1994 AS2015 1.18.118.0/24 Send a packet to 1.18.118.1
2. RPKI ? Route Origin Validation AS2015 ROA 1.18.118.0/24 AS2015 RPKI의 ROA 정보를 통해 정상 경로를 판단하고, 잘못된 경로는 차단할 수 있음 AS1988 ROA AS2016 1.18.118.0/23 1.18.118.0/24 AS2015 1.18.118.0/23 AS2016 RPKI router AS1994 차단 AS2015 1.18.118.0/24 Send a packet to 1.18.118.1
ROA(Route Origin Authorization) 2. RPKI ? ROA(Route Origin Authorization) AS1988 차단 ROA(Route Origin Authorization) ROA vs BGP table AS2015 1.18.118.0/24 1.18.118.0/23 1.18.118.0/24 AS2015 invalid 1.18.118.0/23 AS2016 valid IP Prefix/Length AS 번호 서명코드 소유기관명 kr-Bank 2016 RPKI router RPKI Cache (ROA 정보제공 서버) 인터넷주소(IP주소/AS번호) 소유기관이 해당 IP주소 Prefix에 대한 BGP 라우팅 권한이 있는 AS를 보유하고 있음을 사전에 RPKI인증체계를 통해서 인증받아 RPKI Cache 서버로 데이터 제공 ※ 차단 BGP 라우팅 정보에서 invalid 정보를 차단하기 위해서는 라우터의 RPKI 기능이나 BGP 옵션을 이용해 차단 기능을 사전에 적용해야 함 AS1994 AS2016 Send a packet to 1.18.118.1
2. RPKI ? RPKI 인증체계 …… Issuer : APNIC Subject : KRNIC APNIC AFRINIC RIPE NCC ARIN LACNIC APNIC KRNIC ISP-inet User net ROA-Route Origination Authorization (digital signature by User net) AS2016의 1.18.118.0/23 BGP Announcing 정보를 등록/인증 AS2016 Issuer : APNIC Subject : KRNIC IPaddr : 1.0.0.0/8 Issuer : KRNIC Subject : Inet-ISP IPaddr : 1.18.0.0/16 Issuer : ISP-inet Subject : User net IPaddr : 1.18.112.0/20 Issuer : User net Subject : kr-Bank IPaddr : 1.18.118.0/23 RIRs NIRs LIRs IP 할당 리소스 인증 ROA 인증 ……
3. RPKI 구성 RPKI 시스템 구성 요소 RPKI 캐시 서버 : 인증된 IP Prefix와 AS 번호, 소유자 정보를 RIR, NIR 등으로부터 ROA(Route Origination Authorization)로 제공 받음 RPKI 적용 라우터 : RPKI 캐시 서버로부터 RTR(RPKI to Router) 프로토콜을 이용하여 인증된 BGP 정보를 제공받음
3. RPKI 구성 RIR별 ROA 발급 현황
3. RPKI 구성 RPKI 지원 라우터 Cisco Juniper Alcatel Lucent Quagga XR 4.2.1 (2016. 4. 기준) Cisco XR 4.2.1 CRS-x, ASR9000, c12K XR 5.1.1 NCS6000, XRv XE 3.5 c7200, c7600, ASR1K, CSR1Kv, ASR9k, ME3600, ME3800) Juniper JunOS has support since version 12.2 Alcatel Lucent SR-OS has support since version 12.0 R4 Quagga Quagga has support through BGP-SRX
4. RPKI Start KISA RPKI 시범 시스템
RPKI 국내 시범서비스 운영 예정 (‘16년 하반기) 및 참여기관 모집 중 !! 4. RPKI Start ISPs KISA RPKI CA 관리 - KISA가 관리하는 IP주소 및 AS번호에 대한 인증 관리 ROA 등록 및 관리 - BGP announce 정보 확인 후 ROA 발급 - 비정상 ROA 발견 시 조치 안내 RPKI Open Cache 서버 운영 - RIR, NIR 등에서 발급된 ROA 정보를 RPKI 적용 기관 라우터에 제공 시스템 준비 - 라우터의 RPKI 지원 여부 확인 - RPKI 기능 활성화 - 라우터 ↔ KISA RPKI Cache 서버 연결 ROA 정보 등록 (→ KISA) - BGP announce 정보 (ASN+IP prefixes) 등록 BGP 정보 검증 및 차단 실시 - 운영기관 사정에 따라 검증, 검증&차단 등 운영정책 결정 RPKI 국내 시범서비스 운영 예정 (‘16년 하반기) 및 참여기관 모집 중 !!
III Q & A
Internet On, Security In! 문의사항 : shkang@kisa.or.kr 02-405-5492 감사합니다