국내 인터넷주소 관리 동향 2016. 6. 23. 한국인터넷진흥원 인터넷주소센터(KRNIC)

Slides:



Advertisements
Similar presentations
IoT 환경에서의 네트워크 보안. 2 I.IoT(Internet of Things) 란 ? II.IoT 에서의 접근제어 III. 해결 과제 Agenda.
Advertisements

온누리교회 일대일 사역팀. CONTENTS 1. 예수님의 공생애 사역 2. 죄의 기원과 죄의 결과 3. 죄 문제의 해결 I. 예수님의 부활은 그리스도의 죽음과 함께 기독교 II. 인간은 하나님 앞에 모두 죄인이다. III. 따라서 나도 죄인이라는 사실을 깨달아야 한다.
이현오 고수희 김수연 이승재 정규순.
Linux Advanced Routing & Traffic Control HOWTO (1) 성 백 동
2009 개정 교육과정에 따른 예술(음악/미술)교과 교육과정 개정의 주요 내용
K-GLOBAL 스마트·모바일 스타기업 육성 사업 /
플랜티넷[075130] 자녀가 있는 가정이라면… 높은 영업이익률… 독점의 매력...
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
목 차 I 방위산업의 정의 II 방위산업의 특성 III 방위산업의 현황.
6월 민주 항쟁 경안초등학교 5학년2반 26번최현지.
Web 2.0.
내용 교육행정정보시스템의 공인인증서 적용 전자서명과 공개키기반구조 공인전자서명 인증서 발급절차 FAQ와 Tips.
To communicate among internet devices (ex.PC, Smartphone), each device has its own numerical addresses, called IPv4 and IPv6 To communicate among.
접수번호 : 글로벌 운영기반 지원사업 사업계획서 - 프로젝트명 (플랫폼서비스) 명: 업 체 명 :
조준희 (Cho, Junhee) TCP/IP 조준희 (Cho, Junhee)
TCP/IP 통신망 특론 3장 인터넷프로토콜( IP ).
2 장 인터넷의 구성 및 접속.
주요 업무 현황
Cryptography and Network Security
VoIP 이종규, 박혜선.
Mobile IPV 양현태 김영진.
Contents 민사소송의 이해 1. 소송전에 알아야 할 사항 2. 민사소송이란? 3. 민사소송의 개관
4.19 혁명, 5.18 민주화 운동, 박정희 정권, 6월 민주 항쟁에 대하여
제 6장 라우팅과 라우팅 프로토콜.
IPv 노경태 한종우 김지원 장종곤.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
Korea Internet Neutral exchange 목차 Section 1 Section 2 Section 3 회사소개
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
위성 DMB 사업 소개 및 향후 전망 TU Media Corp..
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
전자상거래 보안입문.
Switching 기술 II(L4, L5, L7).
IPv6 도입과 동향.
Internet Group Management Protocol (IGMP)
공개키 기반구조 (Public Key Infrastructure)
제 10장 인증서 공개 키를 이용한 디지털 서명.
Samsung Securities SECURITIES.
인터넷 이용현황 임 효 택 동서대학교 인터넷공학부 안녕하세요. 인터넷공학부 임효택입니다.
10. About TCP / IP SPARCS 08 우성필.
라우팅 기술 (RIP, OSPF) 컴퓨터공학과 강지훈 윤인선 이고운
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Routing Protocol - Router의 주 목적 중 하나는 Routing
침입탐지시스템과 정보보안 안
IPTV 정책 관련 의견 -혁신 & 공정경쟁 한국인터넷기업협회.
IoT and Security Threat
발표, 토론 그리고 학술제 교육 : 황재원.
2011년 하반기 VIP투자자문 인재채용 안내
올바른 이메일 사용법
IP(Internet Protocol)
해양생태계 이상현상 대응관리 남이현.
An Example for Use of Public Key -인증서요청과발급
IPv 이 동 주 HONGIK UNIVERSITY.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
Chapter 5. 인터넷으로의 연결 라우터 이야기
똑소리 나는 계약 담당자 되기.
기업회생 절차.
2. 윤리학의 원리와 적용 가. 상대주의와 절대주의.
<정보 보안> 담당 교수: 박용대
이번 시간에는... 지난 시간까지 제 1장을 통해 모바일의 정의와 개념, 시작과 발전, 기술과 서비스 및 그 전략을 살펴봄으로써 모바일 산업에 대한 전반적인 이해를 쌓았습니다. 이번시간 부터는 제 2장 모바일 기술을 통해, 무선 인터넷을 위한 컨텐츠 제작 기술, 네트워크.
Internet 유선 랜카드 A 회사 네트워크 장비 (인터넷 공유 기능 활성화)
Chapter 3. Public Key Infrastructure
Internet 인공지능연구실
교육기부 진로체험기관 인증제와 지역 센터 운영 방안 한국직업능력개발원 김승보.
제9주 예산 수립과 집행.
A Clean Slate 4D Approach to Network Control and Management
인터넷주소 한글화의 의의 디경협 박찬호 2002년 9월 13일 이 판 정.
포이에마장애인보호작업장 시설소개서.
보안업무 담당자 교육
IPv 이 동 주.
1-1) 하나투어 매니저 기획전 배너 삽입 ◀ SKT 데이터 로밍 쿠폰 배너 삽입 여행사를 위한 ,
Presentation transcript:

국내 인터넷주소 관리 동향 2016. 6. 23. 한국인터넷진흥원 인터넷주소센터(KRNIC)

Contents 인터넷주소자원 관리 현황 Ⅰ RPKI Ⅱ Q&A Ⅲ

Ⅰ 인터넷주소자원 관리 현황

1. 글로벌 인터넷주소관리

인터넷상 단말기(PC, 스마트폰 등)간 통신을 위해 숫자 형태로 만들어진 2. 국내 IP주소 관리 Internet Protocol addresses? 인터넷상 단말기(PC, 스마트폰 등)간 통신을 위해 숫자 형태로 만들어진 단말기의 주소로 IPv4와 IPv6가 있음 IPv4 : 211.192.38.1 형태로 현재 인터넷 기기에 사용되고 있는 주소 체계 (약 43억개) IPv6 : IPv4를 확장하여 거의 무한한 개수의 주소 체계 (약 43억x43억x43억x43억개) 구 분 IPv4주소 IPv6주소 주소형식(예) 211.192.38.1 2001:dc2:0:40:135:72df:9e74:d8a3 총 주소개수 약 43억개 (232개) 약 43억×43억×43억×43억개 (2128개) 국내 보유현황 112,328,192개 5,246개 (/32단위=43억×43억×43억) 보유 순위 전세계 6위 전세계 9위 개발시기 1980년 1996년 국내 최초 할당일 1986년 7월(서울대) 1999년10월(전산원)

2. 국내 IP주소 관리 우리나라는 ‘인터넷주소자원에 관한 법률’에 따라 IP주소가 필요한 국내 ISP가 KISA에 IP주소를 신청하면, KISA는 APNIC으로부터 IP주소를 확보하여 국내 ISP에게 할당

3. 국내 IPv6 전환확산 현황 글로벌 차원의 IPv4주소 고갈 선언 ! IPv6 전환 없이는 서비스 확대, 클라우드 서비스 및 사물통신 등 신규 수요 대응이 어려울 것으로 전망 < 추진경과 > - (제도) ‘조세특례제한법 시행규칙’ 개정(IPv6 장비 도입시 세제감면, ‘14.3), ‘국가정보화기본법’ 개정(정부·공공기관 IPv6 도입 노력 의무화, ‘15.12), IPTV 기술기준 개정(IPTV에 IPv6 적용, ‘15.10) 등 제도적 기반 - (상용화) 민·관 협력사업을 통한 IPv6 도입(대형ISP 백본, IPTV, 웹호스팅, CDN, 무선LTE, 중소 ISP) 및 ‘IPv6 상용서비스 지원 협의회’를 통한 IPv6 상용화 유도(ISP : SKT, KT, CP : 카카오, 네이버) - (기술지원) IPv6 연동망(6NGIX+6KANet) 운영(연동기관 89개, ‘15년)‧테스트베드 제공, IPv6 컨설팅 및 전문인력 양성 교육 등 IPv6 종합지원센터 운영(‘14.5~)

3. 국내 IPv6 전환확산 현황 2019년까지 Content-Platform-Network-Device의 구성요소별로 언제든지 IPv6를 도입할 수 있는 ‶IPv6 All Ready″환경 구축 - (주소) 우리나라 IPv6주소는 총 5,247개(/32, 43억X43억X43억개)로 전 세계 10위 보유국 독자 라우팅이 가능한 AS번호(1,005개) 기관별 평균 5개 보유 - (네트워크) 네트워크 장비(라우터‧스위치) 기준으로 IPv6 준비도는 백본망 95.3%, 가입자망 78.6%로 잔여 장비 대체 수요가 약 5~23% 남음 ※ 실제 IPv6 트래픽을 처리하고 있는 장비의 비율인 사용도는 백본‧연동망은 30%대 수준, 가입자망은 전무(全無)하여 IPv6 실사용률은 미미 - (서비스) ‘14년 SKT-다음 간 국내 최초 IPv6 상용화 이후 국내 주요 ISP, CP들이 지속적으로 IPv6 상용서비스 제공 중 ※ (무선LTE) SKT, KT, (유선) C&M, 현대HCN, CJ헬로비전, (모바일웹) 카카오, 네이버, (CDN) KINX

4. 인터넷주소자원 국내외 정책 동향 최종할당 정책 (’11. 5월) 재활용풀 정책 (’14. 5월) - IPv4 주소 고갈에 따른 APNIC의 최종할당 정책 시행에 따라, KISA는 기관 당 최대 1,024개의 IPv4 주소를 1회에 한해 할당 - APNIC의 최종 IPv4 할당풀 (103/8) 대역은 4~5년 내 고갈될 것으로 예상 재활용풀 정책 (’14. 5월) - IANA에 반납된 IP주소 대역(recovered pool)에 대해, 재활용풀 소진 시까지 기관 당 최대 1,024개의 IPv4 주소를 추가로 할당하였으나, - 재활용풀 고갈에 따라, 재활용풀 할당이 ‘16. 6월 종료됨

4. 인터넷주소자원 국내외 정책 동향 4-byte AS번호 할당 이슈 - APNIC에서는 2-byte AS번호 고갈을 예상하고 있으며, 4-byte AS 사용을 권장 * NIR 대상 블록 단위의 2-byte AS번호 배정 방식은 유지가 어려울 것으로 전망 - 다만, KISA는 보유 중인 2-byte AS번호 여분이 있어 아직 4-byte AS번호를 할당하고 있지 않은 상황으로, 추후 환경변화에 따라 4-byte AS번호 할당 예정 WHOIS IP주소 재할당정보 현행화 추진 (하반기) - KISA에서 ISP로 할당한 IP주소들의 재할당정보의 정확도 개선 추진 * 네트워크 장애, 인터넷 침해사고 등에 대한 신속한 대응을 위한 기초자료 활용 - 지속적인 재할당정보 현행화를 위한 시스템 개선 등 추진 RPKI 시범서비스 실시 예정 (하반기)

II RPKI (Resource Public Key Infrastructure)

Targeted Traffic Misdirection 1. BGP Hijacking 주요 사고 발생 사례 2008년 2월 >>> 파키스탄의 자국 내 유투브(YouTube) 접속 차단 시도로 글로벌 규모의 YouTube 서비스 접속 불능 발생 2010년 4월 >>> ‘China Telecom’의 BGP 설정 오류에 의한 글로벌 서비스 장애 유발 2014년 3월 >>> ‘British Telecom Latin America’의 BGP 설정 오류로 Google DNS 서비스에 대한 Hijacking 발생 (브라질, 베네수엘라) 2014년 4월 >>> ‘Indosat(인도네시아)’의 BGP 설정 오류로 약 2시간 동안 320,000개 이상의 잘못된 라우팅 정보가 전파 2014년 8월 >>> 캐나다에서 BGP Hijacking으로 비트코인 8만 달러 갈취 2016년 4월 >>> ‘innofiled AG(스위스)’에서 잘못된 라우팅 정보를 전파하여, 구글, 아마존, 트위터 등 576개 AS, 3431개 Prefix에 영향 Targeted Traffic Misdirection Misconfiguration Malicious

1. BGP Hijacking [사례1] 파키스탄의 YouTube 접속차단 시도 (1/2) ↑ AS36561(YouTube) announces - 208.65.152.0/22 ↓208.65.153.0/24는 장애발생 전에는 announce 된 적이 없었음 36561 17557 ※ 출처 : http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

1. BGP Hijacking [사례1] 파키스탄의 YouTube 접속차단 시도 (2/2) 36561 17557 ↑AS17557(Pakistan Telecom) 208.65.153.0/24 announce. 2분만에 전세계 RIS peer들이 라우팅 정보를 업데이트 했고, YouTube traffic이 파키스탄으로 redirect 되기 시작함 (Sunday, 24 February 2008, 18:49 (UTC) ) ↓20:07(UTC)부터 AS36561(YouTube)는 208.65.153.0/24 announcing. 거짓정보인 AS17557(Pakistan Telecom)은 철회되고, RIS peer들은 YouTube's AS36561에 대해 단일경로를 확보 ※ 출처 : http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

1. BGP Hijacking [사례2] BGP Hijacking을 통한 비트코인 갈취 (1/2) ↑악의적(잘못된)인 라우팅 정보가 전파되는 과정 AS3가 AS4와 "peered"되었기 때문에 악의적인 정보가 브로드캐스팅됨. AS3의 경로 정보가 AS2의 정보보다 구체적이기 때문에 BGP 경로 선택 시 AS2보다 AS3에 더 우선순위를 줌 ※ 출처 : http://www.secureworks.com/cyber-threat-intelligence/threats/bgp-hijacking-for-cryptocurrency-profit/

1. BGP Hijacking [사례2] BGP Hijacking을 통한 비트코인 갈취 (2/2) ※ 출처 : http://www.secureworks.com/cyber-threat-intelligence/threats/bgp-hijacking-for-cryptocurrency-profit/

RPKI Resource Public Key Infrastructure 2. RPKI ? IP Addresses & AS Numbers Digital Certificate 인터넷주소(IP주소, AS번호) 및 보유기관 정보에 대해 공개키 기반 구조(PKI)를 통해 전자서명 인증서를 발급하고 BGP 라우팅 정보의 무결성을 보장하는 기술

2. RPKI ? BGP 보안취약점 vs RPKI BGP 보안취약점 R P K I IP주소 Prefix, AS번호 인증 AS번호의 소유권 인증으로 BGP announce 정보의 인증 방법 정의 BGP speaker 정보 검증 - 라우팅 정보 교환 시, BGP 라우팅 광고의 시작점 (Announce Origin) 검증 변조된 BGP 라우팅 정보 탐지 및 차단 - 라우팅 경로의 시작점과 RPKI 인증 정보(ROA)를 비교하여, 변조된 정보를 탐지, 차단 AS 간의 통신에 사용되는 메시지에 대한 무결성, 상호 인증 등의 메커니즘 부재 인터넷에 announce하는 IP network와 AS번호의 소유권 증명 방법 미정의 AS에 의해 전달되는 경로 정보(AS- path)의 신뢰성 확인 방법 불투명

2. RPKI ? Route Origin Validation AS1988 AS2016 AS1994 AS2015 현재는 잘못된 Routing 정보를 Announcing해도 감지할 수 없음 AS1988 AS2016 1.18.118.0/23 AS1994 AS2015 1.18.118.0/24 Send a packet to 1.18.118.1

2. RPKI ? Route Origin Validation AS2015 ROA 1.18.118.0/24 AS2015 RPKI의 ROA 정보를 통해 정상 경로를 판단하고, 잘못된 경로는 차단할 수 있음 AS1988 ROA AS2016 1.18.118.0/23 1.18.118.0/24 AS2015 1.18.118.0/23 AS2016 RPKI router AS1994 차단 AS2015 1.18.118.0/24 Send a packet to 1.18.118.1

ROA(Route Origin Authorization) 2. RPKI ? ROA(Route Origin Authorization) AS1988 차단 ROA(Route Origin Authorization) ROA vs BGP table AS2015 1.18.118.0/24 1.18.118.0/23 1.18.118.0/24 AS2015 invalid 1.18.118.0/23 AS2016 valid IP Prefix/Length AS 번호 서명코드 소유기관명 kr-Bank 2016 RPKI router RPKI Cache (ROA 정보제공 서버) 인터넷주소(IP주소/AS번호) 소유기관이 해당 IP주소 Prefix에 대한 BGP 라우팅 권한이 있는 AS를 보유하고 있음을 사전에 RPKI인증체계를 통해서 인증받아 RPKI Cache 서버로 데이터 제공 ※ 차단 BGP 라우팅 정보에서 invalid 정보를 차단하기 위해서는 라우터의 RPKI 기능이나 BGP 옵션을 이용해 차단 기능을 사전에 적용해야 함 AS1994 AS2016 Send a packet to 1.18.118.1

2. RPKI ? RPKI 인증체계 …… Issuer : APNIC Subject : KRNIC APNIC AFRINIC RIPE NCC ARIN LACNIC APNIC KRNIC ISP-inet User net ROA-Route Origination Authorization (digital signature by User net) AS2016의 1.18.118.0/23 BGP Announcing 정보를 등록/인증 AS2016 Issuer : APNIC Subject : KRNIC IPaddr : 1.0.0.0/8 Issuer : KRNIC Subject : Inet-ISP IPaddr : 1.18.0.0/16 Issuer : ISP-inet Subject : User net IPaddr : 1.18.112.0/20 Issuer : User net Subject : kr-Bank IPaddr : 1.18.118.0/23 RIRs NIRs LIRs IP 할당 리소스 인증 ROA 인증 ……

3. RPKI 구성 RPKI 시스템 구성 요소 RPKI 캐시 서버 : 인증된 IP Prefix와 AS 번호, 소유자 정보를 RIR, NIR 등으로부터 ROA(Route Origination Authorization)로 제공 받음 RPKI 적용 라우터 : RPKI 캐시 서버로부터 RTR(RPKI to Router) 프로토콜을 이용하여 인증된 BGP 정보를 제공받음

3. RPKI 구성 RIR별 ROA 발급 현황

3. RPKI 구성 RPKI 지원 라우터 Cisco Juniper Alcatel Lucent Quagga XR 4.2.1 (2016. 4. 기준) Cisco XR 4.2.1 CRS-x, ASR9000, c12K XR 5.1.1 NCS6000, XRv XE 3.5 c7200, c7600, ASR1K, CSR1Kv, ASR9k, ME3600, ME3800) Juniper JunOS has support since version 12.2 Alcatel Lucent SR-OS has support since version 12.0 R4 Quagga Quagga has support through BGP-SRX

4. RPKI Start KISA RPKI 시범 시스템

RPKI 국내 시범서비스 운영 예정 (‘16년 하반기) 및 참여기관 모집 중 !! 4. RPKI Start ISPs KISA RPKI CA 관리 - KISA가 관리하는 IP주소 및 AS번호에 대한 인증 관리 ROA 등록 및 관리 - BGP announce 정보 확인 후 ROA 발급 - 비정상 ROA 발견 시 조치 안내 RPKI Open Cache 서버 운영 - RIR, NIR 등에서 발급된 ROA 정보를 RPKI 적용 기관 라우터에 제공 시스템 준비 - 라우터의 RPKI 지원 여부 확인 - RPKI 기능 활성화 - 라우터 ↔ KISA RPKI Cache 서버 연결 ROA 정보 등록 (→ KISA) - BGP announce 정보 (ASN+IP prefixes) 등록 BGP 정보 검증 및 차단 실시 - 운영기관 사정에 따라 검증, 검증&차단 등 운영정책 결정 RPKI 국내 시범서비스 운영 예정 (‘16년 하반기) 및 참여기관 모집 중 !!

III Q & A

Internet On, Security In! 문의사항 : shkang@kisa.or.kr 02-405-5492 감사합니다