Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]
|
|
- ゆりか ふじた
- 5 years ago
- Views:
Transcription
1 JAIPA セキュリティ部会 DNSSEC 勉強会 DNSSEC 技術と運用 株式会社ブロードバンドタワー事業開発グループ大本貴
2 DNSSEC その前に 2
3 DNS(Domain Name System) について簡潔な用語定義 Zone ゾーン 名前解決を行うデータの集まり RR リソースレコード ゾーンファイルに登録されたデータ資源 Query クエリ owner( ホスト名やIP address) を keyにして RRを索くということ Authority 権威 コンテンツ ( 名前空間 ) について管理 Delegation 権限委譲 コンテンツ ( 名前空間 ) の一部の管理を下位ゾーンに委譲すること Recursive query 再帰検索 ( 後ほど説明 ) 3
4 DNS サーバ色々 authoritative server 権威サーバ ( コンテンツサーバ ) ゾーン管理している root servers.jp ゾーン担当 example.jp ゾーン担当 recursive server リクエストに応じて再帰問い合わせを行うリゾルバサーバ ( キャッシュサーバも兼務する ) stub resolver リカーシブサーバに再帰問い合わせを行うリゾルバプログラム 基本的にはリカーシブサーバから得た回答内容を表示するだけ Stub からの要求に応じて答えを求めて問い合わせを行う dig コマンドや nslookup 4
5 DNSSEC(DNS Security Extensions) の技術概要 5
6 そもそもなんで DNSSEC が必要? 毒入れアタック ( ポイゾニング ) 問い合わせ情報に対して第三者が偽装パケットにより偽のレコードをユーザに送りつける 結果 ウィルス仕込み済み web サイトへ誘導 メールを正しい相手に送信できない ( しかもエンドユーザは気が付きにくい ) 個人情報搾取 インターネットの基盤である DNS の信頼性が揺らいでいる 何を信じればよいのか 6
7 何が主たる原因か? クエリの送受信をUDPでやりとりしているから UDPでこぼれたらTCP fallbackで対応 そもそも最初からTCPで良いのでは? ルートゾーンなどで膨大なリクエストを短時間で処理するためには UDP で処理を軽くしていく必要がある 7
8 DNS の名前解決の流れ ってどこ? Recursive Server ってどこ? ユーザ root servers は向こうだってさ おいらもメモっとくわ は知らんが.jp なら知ってる.jp の権威 DNS サーバはあそこ に置いてあるデータが欲しいんだけど.jp の権威 DNS サーバ は知らんが example.jp なら知ってる example.jp の権威 DNS サーバはそっち example.jp の権威 DNS サーバ かい? は向こうだよ 10 このデータね はいどうぞ 8
9 キャッシュポイゾニングの概要 って どこ? は だよ パケット偽装して は と送信 3 って どこ? 4 は だってさ おいらもメモっとくわ カモがきた 改ざん済みデータを送ってやろう 今日もアクセスはないなー 9
10 カミンスキーアタックの概要 そんなサーバ知らんがな 1 dokudoku.example.jp ってどこ? dokudoku.example.jp って どこ? Recursive Server って どこ? は か おいらメモっとくわ パケット偽装して dokudoku.example.jp は知らんが dokudoku のことは が知っている は と送信 カモがきた 改ざん済みデータを送ってやろう 最近アクセスないなー 10
11 DNSSEC 簡単にするとこんなイメージ? DNSSEC なし 頼んでいたタラバガニが届いた ~ 自分が要求したものだし 送られてきたものは正しいと信じよう ( でも実はアブラタラバかも ) DNSSEC あり 送付元からの署名がついてきているな 頼んだものだけど本物かどうか確認するか RRSIG DNSKEY RRSIG 検証の結果 整合 んじゃ このカニは本物のタラバガニと信じよう 11
12 DNSSEC 誰に負担があるの? ドメイン名登録者 ( 独自ドメイン取得している したい人 ) DNSSEC 化への判断 ( 自分の管理しているドメインの信頼性 上位ゾーンが対応していないなら DLV 使うか ) DNS サーバ管理者 (ISP ホスティング事業者 etc. ) 権威 DNS サーバ 管理しているゾーンの DNSSEC 対応 鍵の定期的なロールオーバなどが業務に追加 リゾルバサーバ ( キャッシュ DNS サーバ ) キャッシュサーバへトラストアンカーの導入 レジストラ 鍵を上位ゾーンへ登録する仲介処理 レジストリ 下位ゾーンからの登録申請に対して DS 登録処理 DS 申請を受け付けるシステムの構築 ユーザサポート担当者 障害時の切り分けのためのノウハウ習得 12
13 DNSSEC 導入するとどうなるの? 勝ち得るもの DNS の信頼性を高めることができる 真正性を担保できる 試練 めんどくさい ロールオーバーとか鍵の管理とか再署名とか 信頼の連鎖を形成するための第三者との連携 管理コストの増加 作業自体の単純増加 チェックするポイントの増加 ハイスペックなハードの必要性 ( 特にキャッシュサーバの ) 署名の検証処理が加わることで必要スペックも増加 SERVFAIL によるトラブルへの懸念 設定ミスなどで 検証に失敗する状況になると 該当ドメインの名前解決しない 障害に繋がる 顧客へのサポートに分岐が発生 (ISP など ) 問題が DNSSEC か DNS なのかの切り分けが生じる Windows の nslookup では dig のように SERVFAIL 判定を判断できない Windows 用の dig プログラム導入してもらうことに? 13
14 DNSSEC に対応できる環境にするには? DNSSEC 対応 DNS サーバ BIND のバージョン 9.3 以降 ( 権威サーバ キャッシュサーバ ) ただし 最近だと p1 に DNSSEC にバグがあるので使わないように DNSSEC だけではなく DNS のバグもあるので p2 以降推奨 9.7 からは Smart Signing という DNSSEC 用の仕組みが機能追加 NSD 3.x( 権威サーバ ) Unbound 1.x( キャッシュサーバ ) Windows2008server はまだ実装不十分 (NSEC3 未実装 ) この資料内の例では BIND9.7.x を設定事例として紹介します EDNS0 対応と TCP fallback への対応 キャッシュサーバが対応してても qmail は 512byte 問題が存在 Christopher K. Davis 氏が作成した patch1.03 (oversize DNS packets patch) を導入することが必須 IPv6 で既に問題が顕在化しているので対応済みかも 14
15 DNSSEC のために新規に定義されたレコード DNSKEY DNSSEC の公開鍵情報レコード ZSK(Zone Signing Key) RR(Resource Records)Set を署名する鍵 KSK(Key Signing Key) TYPE が DNSKEY の RRSet を署名する鍵 RRSIG(Resource Record Signature) ゾーンファイル内の各レコードの署名を表現するレコード (RRSIG 自身には署名しない ) DS(Delegation Signer) 子ゾーンの KSK を元に生成されたハッシュ 上位 DNS 権威サーバ ( 親 ) のゾーンに登録してもらい 親ゾーンの ZSK により署名してもらう NSEC & NSEC3& NSEC3PARAM( 後ほど説明 ) 15
16 DNSSEC の真正性担保の仕組み 信頼の連鎖 により レコードの信頼性を担保 root zone KSK 秘密鍵 KSK 公開鍵 トラストアンカーの KSK 公開鍵をコピー 検証 署名 署名 ZSK 公開鍵 署名 キャッシュサーバ 署名データ DS 申請 DNSKEY RR ZSK 秘密鍵 DS 承認 KSK 公開鍵 ZSK 公開鍵 署名 クエリ要求.jp 権威 DNS サーバ 署名 KSK 秘密鍵 ZSK 秘密鍵署名 DS 承認 署名 署名 DS 申請 KSK 公開鍵 ZSK 公開鍵 クエリ応答 example.jp 権威 DNS サーバ KSK 秘密鍵 ZSK 秘密鍵 署名 16
17 鍵生成 なんで鍵は二種類あるの? 鍵を ZSK と KSK を分けて管理することによって 鍵サイズや暗号強度を 役割に合わせたパラメータで運用できるメリットがある KSK は親ゾーンとの連携が必須になるため 鍵交換する頻度は少なくしたい 鍵の諸パラメータは ふつうどーする? 鍵の暗号化アルゴリズムは RFC4641 的には RSA/SHA-256 が推奨されている 鍵サイズは 1024bit 以上を推奨 (KSK ZSK) ( ルートゾーンの KSK では 2048bit が適用されている ) ZSK は KSK よりも暗号強度が弱くとも良いが更新頻度でカバーしていく 17
18 鍵生成の実際 ZSK. dnssec-keygen -a RSASHA256 -b 1024 ゾーン名 KSK. dnssec-keygen -a RSASHA256 -b f ksk ゾーン名 # cat Kohmo.to key ; This is a key-signing key, keyid 60799, for ohmo.to. ; Created: (Mon Sep 13 23:18: ) ; Publish: (Mon Sep 13 23:18: ) ; Activate: (Mon Sep 13 23:18: ) ohmo.to. IN DNSKEY AwEAAdLEIOzWiWrHtOEdc60BH4v4Qh6O8JHCO6cNwi5LsF nltjasc4av CFV5YG131CIHPAfM1hGnBe4qRnjGj+uA7hIDPD/CsKOd9zaFk8LFYiLb #cat Kohmo.to key ; This is a zone-signing key, keyid 48543, for ohmo.to. ; Created: (Mon Sep 13 23:18: ) ; Publish: (Mon Sep 13 23:18: ) ; Activate: (Mon Sep 13 23:18: ) ohmo.to. IN DNSKEY AwEAAcPn4Oj7xRAYMRZ2IkFQmRi5S9wNy7lNkDxMijyB2f d3anzw5i1g l3ysg3fhbpgcvbmj3pmkpciyvi/l74xt2mlf5jaeqktydvp2hujwisel. #cat Kohmo.to private Private-key-format: v1.3 Algorithm: 8 (RSASHA256) Modulus: w+fg6pvfebgxfnyiqvczglll3a3luu2qpeykpihz93do3pdmluaxdiwbcucgmak 実際の処理は後半に 18
19 上位ゾーンへの DS レコード登録 KSK を上位ゾーンに署名してもらうことで信頼の連鎖を形成させる root 申請を承認 DS 登録 example3 DS 登録申請 jp example to example2 ohmo org net example subdom 19
20 署名と 信頼の連鎖 構築の実際 DS ゾーン申請前提 named.confに署名したいゾーンが設定されていること KSKの鍵生成とZSKの鍵を生成済み 署名してみる dnssec-signzone S example3.jp. ( 対象ゾーン名 ) 処理が正常終了すると dsset-example3.jp( 対象ゾーン名 ) という DSSet ファイルと 署名済みゾーンファイル example3.jp.signed( 対象ゾーン名 +.signed) が生成される DSSet ファイル内に記載された 2 行のうち いずれかを上位ゾーンに登録申請する example3.jp. IN DS D736F20FB259279A4A5FFCEB45536C5CAD33EC78 example3.jp. IN DS EBC75A18FAEDA255DCD BFCDCF95D6BD6E367EB469EA7BA83A 713CF50F 1=SHA1 2=SHA256 20
21 署名の運用 ( 有効期限 ) 署名には有効期限が設けられている 有効期限が切れると署名が有効ではない 名前の検証に失敗する SERVFAIL の反応 名前解決できない メールは届けられない web も見れない かといって有効期限を長くしすぎていると期間内に鍵がクラックされる可能性も 有効期限が決められているからサーバ内の時計がずれていると KSK の有効期限は長く 鍵の暗号強度を高く ZSK の有効期限は短く 暗号強度は多少緩め というのが推奨されている RFC4641 的には KSK は 13 ヶ月に 1 度のタイミングでの交換を提案している ZSK は 1 ヶ月に 1 度程度を目安 (dnssec-signzone はオプションなしだと 30 日で設定される ) 21
22 鍵のロールオーバー new ロールオーバ手法としては下記の手法がある ZSK Double signatures ( 二重署名方式 ) Pre-publication ( 事前公開方式 ) KSK Double signatures ( 二重署名方式 ) Double-DS ( 二重 DS 方式 ) Double-RRSet ( 二重 RRSet 方式 ) 22
23 ZSK / Double signatures ( 二重署名方式 ) 既存 ZSK(A) と新規 ZSK(B) 両方でゾーン署名 新規 ZSK(B) のみで署名 既存 ZSK(A) 削除 既存 ZSK (A) 署名二重期間 署名二重期間 新規 ZSK (B) バリデータに伝播しているキャッシュ 新規 ZSK(B) 作成 新規 ZSK(C) 新規 ZSK(C) 作成 (A) のみ伝播 (A) と (B) が伝播 (B) のみ伝播 (B) と (C) が伝播 時間軸 active rolled 既存と次期 DNSKEY と両方で署名し 伝播を待つ 充分に伝播が行き渡っているならば DNSKEY をいつ切り替えても問題が出ないように考慮した方式 23
24 ZSK / Pre-publication( 事前公開方式 ) 署名鍵を ZSK(B) に変更 新規 ZSK(C) を公開 有効期限終了 既存 ZSK(A) 削除 既存 ZSK (A) 新規 ZSK (B) 新規 ZSK(B) をゾーンに含んだ形で (A) で署名し運用 新規 ZSK(C) 公開開始 新規 ZSK(C) 署名を新規 ZSK(C) に変更 バリデータに伝播しているキャッシュ (A) と (B) が伝播 (B) のみが伝播 (B) と (C) が伝播 (C) のみが伝播 時間軸 published active rolled 事前公開することで次期 DNSKEY をキャッシュに撒いておける これにより署名を切り替えても問題ないよう考慮した方式 24
25 KSK / Double signatures( 二重署名方式 ) 親ゾーン 既存 DS (A) 新規 DS (B) 上位ゾーンに DS(B) へ置き換えを依頼 登録作業 新規 DS(B) を署名 DS(B) のキャッシュへの伝播を確認 DS(B) を登録したら DS(A) 削除してもらう 子ゾーン 既存 KSK (A) 新規 KSK (B) バリデータに伝播しているキャッシュ 時間軸 published active rolled DS(A)KSK(A) KSK(B) が伝播 KSK(A) と (B) 両方で ZSK に署名 KSK(A) と DS(B)KSK(B) が伝播 DS(B)KSK(B) が伝播 署名を KSK(B) のみにし (A) は削除もしくは rolled とする 子ゾーン側鍵を二重にしておくことで親ゾーンは処理を一度で済ませられる 25
26 KSK / Double-DS( 二重 DS 方式 ) 親ゾーン 上位ゾーンが DS(B) を公開 新規 KSK(B) で署名し交換 KSK(B) がキャッシュに行き渡ったら既存 DS(A) 削除してもらう 既存 DS (A) 新規 DS (B) 登録作業 子ゾーン 既存 KSK (A) 新規 KSK (B) バリデータに伝播しているキャッシュ 時間軸 DS(A) と KSK(A) が伝播 published active rolled DS(A)KSK(A) DS(B)KSK(B) が伝播 新規 KSK の DS(B) を上位ゾーンに申請 DS(A) と DS(B)KSK(B) が伝播 DS(B) と KSK(B) が伝播 署名を新規 KSK に交換し削除もしくは rolled とする 事前公開することで次期 DNSKEY をキャッシュに撒いておく 26
27 KSK / Double RRSet ( 二重 RRSet 方式 ) 親ゾーン 既存 DS (A) 新規 DS (B) 子ゾーン 既存 KSK (A) 登録作業 上位ゾーンが DS(B) を署名 既存 DS(A) 削除してもらう 新規 KSK (B) バリデータに伝播しているキャッシュ 時間軸 DS(A) と KSK(A) が伝播 published active rolled DS(B) と KSK(B) が伝播 新規 KSK の DS(B) を上位ゾーンに申請 KSK(A) を削除 作業タイミングを親子で合わせることで作業工数を減らして交換できる 27
28 鍵のロールオーバーポリシー 危殆化して初めて交換するのか定期的に交換するのかの考え方が二種類ある 特に KSK の場合は親ゾーン管理者との連携作業になるのでロールオーバーのポリシーは良く考えなくてはならない 危殆化して初めての場合 定期的作業の頻度軽減 作業フローを手が忘れてしまう 定期的に交換する場合 人的作業コストの発生 KSK の場合 親ゾーン管理者と都度やりとりする必要が出てくる ( 親ゾーン管理者の作業タイミングの調整や待ち時間等も発生 ) 定期的に行うので作業をルーチン化できる 28
29 トラストアンカー [Secure Entry Point(SEP)] の設定 バリデート ( 検証を行う ) サーバに トラストアンカーとなっている KSK をコピーしてきて設定する KSK は DNSSEC に対応しているゾーンは公開している # dig ドメイン名 DNSKEY 対象 DNS 権威サーバで表示される ( 実際は dig. DNSKEY 推奨 ) ohmo.to IN DNSKEY AwEAAcOSWzyHSLylvhuKGHn38BMYhK9E6l1yzIerWB+Kt2goS1GasMFq yjkyswpaorwcszhi3n871kaqgodubingruekqmcxisljli/hm+.. ohmo.to IN DNSKEY AwEAAb+lrnM0/xl1WnxFCpg4uAOmyhjNvUT+Dx2564w8RK0gmRQmMkuC 3UndYy5K71XZHbZizA5MwKbwx89h6Z/4IERo0LFkBYEVOin5oxxX.. named.conf に以下を設定すると トラストアンカーが署名している下位ゾーンについては検証を行う # trusted-keys { }; でトラストアンカーの KSK を登録 (bind9.7 から RFC5011 に準拠した managed-keys ステートメントが実装された ) managed-keys{. initial-key hoge1234hoge5678..hogehoge ; }; options{ dnssec-enable yes; dnssec-validation yes; } # bind9.5 以降ではdefaultでyesなので必要ない # バリデータとして動作させるか 29
30 トラストアンカーの注意点 1. Validator( バリデータ ) は誰がやるの? リゾルバ ( キャッシュ ) サーバ 仕様としてはエンドのクライアント側でもバリデータとして設定可能 ただし 現段階ではエンド側で対応できるのはこれからというところ 2. トラストアンカーとなる KSK をコピーしてくる手法の信頼性 前頁で紹介した方法だと KSK のキャッシュがすでに汚染していたら 取得した KSK から DS レコードを生成し (dnssec-dsfromkey) 一方で HTTPS で取得した WEB 上の DS レコードを PGP 鍵を利用して真正性を検証 2 つを突き合わせてみる 3. 親ドメインと子ドメイン間の DNSSEC 対応非対応の選択 署名する単位はゾーン単位だから必要なら別ゾーンに小分けする必要がある ( 権威サーバ ) 下位ドメインで先に DNSSEC に対応したいドメインがあればゾーンを分ければよい 4. トラストアンカー設定上での注意点 BIND では trusted-keys に DS を設定するのは DNSKEY じゃないとだめ unbound では DS でも DNSKEY でも両方 OK 30
31 NSEC & NSEC3 NSEC ってなに? 登録していないホスト名についての不在証明レコード 検証した際に そのホスト名のレコードは存在しない ということを証明する zonewalk による露出の危険性 (NSEC) NSEC の場合 zonewalk をすることで登録しているホスト名が意図せずに露出してしまう そのゾーンで管理しているホスト名を問い合わせた際に アルファベット順に次に登録されているレコードが表示される ohmori.example.jp の次の登録レコードは ohmoto.example.jp と表示 それって ohmo(ri~to の ) 間には登録ホストがない事の証明でもある zonewalk 対策となる NSEC3 が登場 NSEC3 では FQDN を一方向にハッシュ化して ハッシュ値をてがかりに不在証明 ただし NSEC に較べても キャッシュサーバの処理に結構な負荷がかかる Janog26 の報告参照 31
32 DLV(DNSSEC Lookaside Validation)( 参考 ) 通常のドメインツリーとは別にDNSSEC 専用の問い合わせ先を用意し root zoneや上位 TLDが対応していなくとも署名の検証を可能とする仕組み DNSSEC 対応 Root servers DNSSEC 未対応.to 権威 DNS サーバ 上位サーバが対応していない DS 登録 ohmo.to の権威 DNS サーバ DLV サーバ DLV サーバに登録してないレコードは通常通り問い合わせ RootZone が DNSSEC 対応したのでほぼ役目は終息 リカーシブサーバ 署名検証 DLV サーバの SEP 鍵を登録している 32
33 OpenDNSSEC( 参考 ) 覚えることも多くて運用するにもかなりの慣れが必要そう 海外のレポートでも DNSSEC に対しての知識がまだエンジニアに浸透していない ( 対応できるエンジニアが少ない ) のが悩みの一つとされている ということで OpenDNSSEC というツールがあります (2010 年 9 月現在 ver1.12 が公開中 ) 鍵更新とゾーン署名の自動化や ゾーンの完全性チェック ソフトウェア HSM も含んだツール 33
34 各 TLD 年 現在と来年春以降のステータス変化 Paul Wouters 氏資料 より 34
35 各 TLD の対応状況 2010 年現在 Paul Wouters 氏の web 公開資料 より 35
36 各 TLD 対応 2011 年初 ( 現在告知分からの想定 ) 詳しいステータスは JPNIC の是枝さんがまとめた資料が参考になります 36
37 技術概要編まとめ 今現在も危険性は潜在しており 国内外問わず 日々 DNSSEC 対応が進んでいる 本格的な DNSSEC 運用に向けて 負荷を軽減するために色んな機能が開発されてきているので敷居は少しずつ低くなってきている DNSSEC の導入には負担や課題も多いが インターネットの基盤を維持するため 導入は進めるべき 37
Microsoft PowerPoint - 動き出したDNSSEC.ppt
Hosting-PRO セッション W1 動きだした DNSSEC 株式会社ブロードバンドタワー事業開発グループエキスパート大本貴 1 自己紹介 2000 年インターネット総合研究所 (IRI) に入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に復帰 主に社内システムのサーバ運用 コンサルなど 2010 年春から DNSSEC.jp
More informationDNSSECの基礎概要
DNSSEC の基礎概要 2012 年 11 月 21 日 Internet Week 2012 DNSSEC チュートリアル株式会社日本レジストリサービス (JPRS) 舩戸正和 Copyright 2012 株式会社日本レジストリサービス 1 本チュートリアルの内容 DNSSECの導入状況 DNSキャッシュへの毒入れと対策 DNSSECのしくみ 鍵と信頼の連鎖 DNSSECのリソースレコード(RR)
More informationMicrosoft PowerPoint - private-dnssec
JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1 いますぐ DNSSEC で遊びたい 使ってる TLD
More information(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3
別紙 2 DNS における電子鍵の更改について 平成 29 年 7 月 14 日 総務省総合通信基盤局データ通信課 1. 目的 DNS( ドメインネーム システム ) は www.soumu.go.jp などのホスト名 ( 人が理解しやすいようにつけたの名前 ) を インターネット上の住所である に変換するために利用される 検索 の仕組み この検索結果が第三者の成りすましにより改ざんされないよう 電子を付加した
More informationDNSSEC運用技術SWG活動報告
DNSSEC 2010 サマーフォーラム DNSSEC 運用技術 SWG 活動報告 -DNSSEC 運用の困りどころ - 2010 年 07 月 21 日 NRI セキュアテクノロジーズ株式会社 MSS 事業本部エンタープライズセキュリティサービス部 中島智広 105-7113 東京都港区東新橋 1-5-2 汐留シティセンター 目次 1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC
More informationDNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン
DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン アジェンダ 1. DNSとは 2. DNSの動作 3. DNSSECとは 4. DNSSECの動作 5. DNSSECの現状 6. 参考 URL 7. DNSSEC 関連 RFC 2 DNS とは DNS(Domain Name System) とは ホスト ( ドメイン ) 名を IP アドレスに IP アドレスをホスト
More informationスライド 1
ed25519 のすすめ Kazunori Fujiwara, JPRS fujiwara@jprs.co.jp 2018/6/27 まとめと URL など ED25519 は 3072 ビット RSA と同程度の暗号強度であるにもかかわらず 公開鍵 署名サイズが非常に小さいため DNSSEC のパケットサイズ問題を改善できる ( フラグメントなし運用しやすい ) ED25519 の実装が進んできているので
More informationあなたのDNS運用は 来るべきDNSSEC時代に耐えられますか
あなたの DNS 運用は 来るべき DNSSEC 時代に 耐えられますか 民田雅人 株式会社日本レジストリサービス 2009-07-09 JANOG 24@ 東京 2009-07-09 Copyright 2009 株式会社日本レジストリサービス 1 はじめに 本セッションの構成 DNSSEC 豆知識 DNSSEC 化による DNS データの変化 ディスカッション
More informationご挨拶
DNSSEC 入門 DNSSEC への対応 2013/05/29 日本インターネットエクスチェンジ株式会社 日本 DNS オペレーターズグループ 石田慶樹 Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 2 Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 3 DNSSEC 対応 DNSSEC
More informationスマート署名(Smart signing) BIND 9.7での新機能
BIND 9.7 の新機能を利用した 権威 DNS サーバの運用 スマート署名 全自動ゾーン署名 1 DNSSEC for Humans BIND 9.7 から導入された DNSSEC の設定をより簡単に行う一連の機能 スマート署名 全自動ゾーン署名 RFC 5011 への対応 Dynamic Update 設定の簡素化 DLV の自動設定 2 スマート署名 3 スマート署名の利用例 (example.jp
More informationMicrosoft PowerPoint - DNSSECとは.ppt
DNS のセキュリティ向上 DNSSEC 1 本日の内容 DNSSECとは? 導入の背景 DNSSECの仕組み DNSSECへの対応 DNSSECの導入状況 まとめ 2 DNSSEC とは? 3 DNSSEC ~DNS のセキュリティ拡張 ~ Domain Name SystemS Security SEC Extensions 4 example.jp を見たい! DNSSEC で何が変わる!?
More information「DNSSECの現状と普及に向けた課題」
DNSSEC の現状と 普及に向けた課題 日本インターネットエクスチェンジ株式会社 DNSOPS.JP 代表幹事 DNSSEC ジャパン会長石田慶樹 内容 DNSSEC の基礎 DNSSEC の現状 DNSSEC の普及に向けた課題 はじめに 今回の講演内容は 各所の資料を参考にしつつ自分の理解に基づき 独自にまとめた部分も多くあります 参考にした資料は URL を示しておりますので 内容の正確性については原資料をご確認ください
More informationDNSSEC性能確認手順書v1.2
DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである
More informationDNSのセキュリティとDNSに関する技術
はじめに 説明にあたり 使用 OS は CentOS5.4, 使用 DNS ソフトウェアは BIND9.6 を前提としています 目次 DNS のセキュリティ DNSのセキュリティの基本 1 基本構成その1 2 基本構成その2 3 ヒドゥンプライマリDNS 4 ゾーン転送を制限する 5 問い合わせを許可するユーザを制限する 6 再起問い合わせを禁止する 7 DNS に関するする技術 日本語ドメイン名
More informationDNSSEC導入に関する世界的動向
DNSSEC 導入に関する世界的動向 2010 年 11 月 25 日 DNS DAY, Internet Week 2010 佐藤新太 株式会社日本レジストリサービス 内容 2010 年に急速に展開が進んだ DNSSEC に関し ルート gtld cctld における DNSSEC の導入状況を紹介する 目次 DNSSEC 対応が必要な関係者 ルート TLD
More information学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室
学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室 DNS Domain Name System インターネット上の名前解決を実現 正引き www.ee.t.u-tokyo.ac.jp 157.82.13.244 逆引き 名前空間 インターネットで唯一ドメイン = 名前空間内の範囲 www.ee.t.u-tokyo.ac.jp の場合. (root) com jp ac keio
More information学生実験
1 学生実験 5 日目 DNS IP ネットワークアーキテクチャ 江崎研究室 DNS Domain Name System 2 インターネット上の名前解決を実現 正引き www.ee.t.u-tokyo.ac.jp 157.82.13.244 逆引き 3 名前空間 インターネットで唯一ドメイン = 名前空間内の範囲 www.ee.t.u-tokyo.ac.jp の場合. (root) com jp
More informationopetechwg-tools
DNSSEC ゾーン検証ツール調査報告 平成 24 年年 4 月 DNSSEC ジャパン運 用技術 WG 目次 1. はじめに... 1 1.1. 背景... 1 1.2. 注意事項... 2 2. ゾーン検証ツールの紹介... 2 2.1. BIND... 2 2.1.1. named- checkzone... 2 2.1.2. dnssec- signzone... 3 2.2. OpenDNSSEC...
More informationDNSSEC機能確認手順書v1.2
DNSSEC 機能確認手順書 Ver. 1.2 株式会社日本レジストリサービス http:// 日本レジストリサービス.jp/ http://jprs.co.jp/ 2010/01/25 Ver. 1.0( 初版 ) 2010/01/26 Ver. 1.1 2010/07/21 Ver. 1.2 Copyright 2010 Japan Registry Services Co., Ltd. JPRS-S-540-201007-0001
More informatione164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)
1.2.0.0.1.8.e164.arpa DNSSEC Version 1.0 2006 3 7 JPRS JPRS 1.2.0.0.1.8.e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root) BIND DNS 1. DNSSEC DNSSEC DNS DNS DNS - 1 - DNS DNS
More informationMicrosoft PowerPoint JPRS-DNSSEC-Act-03.pptx
Root KSK rollover outreach activities in Japan and findings ICANN57 DNSSEC Workshop 7 Nov 2016 Yoshiro YONEYA 1 Current status in Japan Awareness of DNSSEC itself is not low
More informationPowerPoint プレゼンテーション
株式会社ブロードバンドタワー 大本貴 ( 題字は http://to-a.ru にて作成 ) 自己紹介 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010 年ブロードバンドタワーに転籍
More informationMicrosoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]
DNSSEC の現状 (DNS DAY2011) 株式会社ブロードバンドタワー大本貴 Who am I? 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンに参加 2010 年ブロードバンドタワーに転籍
More informationMicrosoft PowerPoint 版_Root_JPの状況.ppt
DNSSEC 2013 スプリングフォーラム Root / の状況 2013 年 5 月 29 日 ( 水 ) 株式会社日本レジストリサービス坂口智哉 1 本日の流れ I. Root の状況 1. DSレコードの登録状況 2. Rootにおける主なトピックス II. の状況 1. DSレコードの登録状況 2. DSレコードの問い合わせ数 3. DNSSECとDNS Reflector Attacks
More informationJAIPA-DNSSEC
# yum -y install gcc openssl-devel $ wget http://ftp.isc.org/isc/bind9/9.7.2-p2/ bind-9.7.2-p2.tar.gz $ tar zxf bind-9.7.2-p2.tar.gz $ cd bind-9.7.2-p2/ $./configure --with-openssl --disableopenssl-version-check
More information資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )
資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 ) 資料 3-1 総基デ第 4 9 号 平成 29 年 7 月 14 日 内閣官房内閣サイバーセキュリティセンター副センター長殿内閣官房情報通信技術 (IT)
More informationPowerPoint プレゼンテーション
F5 Networks DNSSEC への取り組み - crypto chips 搭載の強み - vol1.0 F5 Networks って LB の会社でしょ? サーバロードバランサだけでなく DNS WAF Firewall SSL-VPN 等の Module/ 製品があります DNS としてトラフィックをコントロールする Module GTM :Global Traffic Manager 一般的に
More informationのコピー
DNSSEC Masakazu Asama @ NISOC 1 What? DNS SECurity extensions. DNS Resource Record(RR), RR. (Validator) RR. RR. 2 Why? Thread Analysis of the Domain Name System(RFC3833): Packet Interception ID Guessing
More informationDNSSECチュートリアル [ ]
DNSSEC チュートリアル 2011 年 7 月株式会社日本レジストリサービス Copyright 2011 株式会社日本レジストリサービス 1 目次 DNS キャッシュへの毒入れと DNSSEC DNSSEC のしくみ DNSSEC 導入に向けて DNSSEC の鍵と信頼の連鎖 DNSSEC のリソースレコード (RR) 鍵更新と再署名 BIND キャッシュサーバーでの DNSSEC の設定 鍵生成と署名作業
More informationDNSの負荷分散とキャッシュの有効性に関する予備的検討
DNSの負荷分散とキャッシュの有効性に関する予備的検討 東京電機大学服部敦藤本衡 発表の流れ 研究背景 目的 DNS キャッシュとロードバランス DNS query データ計測 キャッシュミス率のシミュレーション まとめと今後の課題 2 研究背景 Web ページの表示時間 UX に大きな影響がある ネットワーク環境の向上 2000 年以前は8 秒 現在では2 秒以内 名前解決に要する時間が相対的に大きくなる
More informationスライド 1
キャッシュ DNS の DNSSEC 対応 2012 年 11 月 21 日 三洋 IT ソリューションズ株式会社 SANNET BU 技術運用チーム 其田学 アジェンダ 2 DNSSEC に対応したキャッシュ DNS とは 検証の仕組み構築方法 構築前の確認事項 ROOT ゾーンのトラストアンカー キャッシュ DNS サーバの設定運用 監視 ログ項目 トラブルシューティング 3 DNSSEC に対応したキャッシュ
More informationMicrosoft PowerPoint - bind-97-20091124.ppt
JAPAN REGISTRY SERVICES DNSSECの 拡 張 と BIND 9.7の 新 機 能 小 規 模 なDNSSEC 遊 びその 後 藤 原 和 典 2009/11/24 dnsops.jp BoF Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 DNSSECを 拡
More informationDNSとメール
Internet Week 2013 DNS DAY DNS とメール - 送信ドメイン認証の普及に伴う DNS の負荷影響 - Genki Yasutaka E-mail: genki.yasutaka@mail.rakuten.com 自己紹介 氏名 : 安髙元気 ( やすたかげんき ) 所属 : 楽天株式会社 最初は メールシステムの開発 運用に従事 DKIM 等の送信ドメイン認証技術を導入
More informationRoot KSK更新に対応する方法
Root KSK 更新に 対応する方法 東京大学 総合文化研究科 石原知洋 概要 Root KSK Rollover とは? 更新方法 自動更新 : RFC5011: Automated Updates of DNS Security (DNSSEC) Trust Anchors DNSSEC トラストアンカーの自動更新 Root KSK 更新とは? DNSSEC の ( というより世の中の ) 鍵は定期的な更新が必要
More information第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は
第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章はじめに Root DNS Server( 以下 Rootサーバと記す ) は 木構造の名前空間であるドメイン名の根であるRootに対応したサーバであり
More informationBIND9.9から9.11へ移行のポイント(権威DNSサーバー編)
BIND 9.9から9.11へ移行のポイント ( 権威 DNSサーバー編 ) 2018 年 6 月 27 日 DNS Summer Day 2018 ( 株 ) 日本レジストリサービス 本資料の内容 BIND 9.9.x をお使いの方に向けた 変更点の紹介 権威 DNSサーバー機能関連 ログ関連 その他 DNS Cookie (RFC 7873) の概要と運用へのインパクト Copyright 2018
More informationDNSSEC技術実験報告書
DNSSEC 技術実験報告書 機能 性能確認編 株式会社日本レジストリサービス http:// 日本レジストリサービス.jp/ http://jprs.co.jp/ 2010-09-06 Ver. 1.0-1 - JPRS-S-540-201009-0001 目次 DNSSEC 技術実験概要... 3 DNSSEC 技術実験環境... 4 仮想 DNSツリー... 4 実験方法... 4 機能確認結果...
More information目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )
ファイバー U サービス DNS サーバ設定ガイド 2016 年 1 月 13 日 Version 1.2 bit- drive 2016.1.13 Version1.2 ファイバー U サービス DNS サーバ設定ガイド 1 / 7 目次 1 本マニュアルについて... 3 2 設定手順 (BIND 9 利用 )... 3 2-1 設定例の環境... 3 2-2 設定例のファイル構成... 4 2-3
More information~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える
~IPv6 と DNS の正しい付き合い方 ~ IPv6 時代の DNS 設定を考える 2009.3.5 IPv6 Operations Forum @ Shinagawa ( 株 ) クララオンライン 白畑 真 1 自己紹介など 白畑真 ホスティング事業者にてネットワークとサーバ周りの雑用など DNS との関わり お客様のドメイン名をホスティング オーソリテイティブサーバとして動作しているサーバが多い
More informationRFC4641_and_I-D2.pdf
RFC 4641 SWG 1 Appendix A. Terminology Anchored key DNSKEY hard anchor (ed) Bogus RFC 4033 5 RRSet DNSKEY RRSet Bogus 2 Appendix A. Terminology Key Signing Key KSK Key Signing Key(KSK) zone apex key set
More informationセキュアなDNS運用のために
JPNIC 総会講演会資料 2014 年 12 月 5 日 セキュアな DNS 運用のために ~DNSSEC の現状と課題 ~ 株式会社日本レジストリサービス松浦孝康 Copyright 2014 株式会社日本レジストリサービス 1 はじめに 本講演の概要 よりセキュアな DNS 運用を実現するために DNSSEC の現状と課題と今後の展望について解説 目次 1. DNSSECの導入背景 2. DNSSECの導入状況
More informationOpenDNSSECチュートリアル
OpenDNSSEC チュートリアル @DNSOPS.JP BoF(2009.11.24) NRIセキュアテクノロジーズ株式会社エンタープライズセキュリティサービス部中島智広 (nakashima@nri-secure.co.jp) はじめに 概要 本発表は煩雑な DNSSEC 運用を楽にするためのソフトウェアである OpenDNSSEC の概要と導入方法をまとめたものです おことわり 内容には十分配慮していますが
More informationDNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005
DNS 2005 10 6 JPNIC JPCERT/CC Security Seminar 2005 DNS Pharming BIND djbdns 2 DNS DNS (Domain Name System)? IP www.example.jp IP 172.16.37.65 http://www.example.jp/ - http://172.16.37.65/
More information1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳
1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳 アジェンダ 基礎編 DNSSEC における権威 DNS の役割 署名の更新 鍵のロールオーバー パラメータの設計 実践編 サーバの構成検討 運用支援ツール 実際に DNSSEC 対応させるまでの流れ トラブルシューティング 2 基礎編 3 DNSSEC における権威サーバの役割 署名鍵 (DNSKEY)
More information1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2
5.3 ネットワークのトラブルシューティング Webページの閲覧だけができない あるいはメールの送受信だけができないというような 部分的なトラブルは 原因の特定や対処がしやすいトラブルといえます しかし すべてのアプリケーションが利用できない あるいはサービスが利用できないという症状の場合は 原因としてはさまざまな要素が考えられるため 原因を特定しづらくなります ネットワークのトラブルシューティング手法は
More informationIPアドレス・ドメイン名資源管理の基礎知識
今さら聞けない IP アドレスとドメイン名 ~ 見抜く力の基礎知識 ~ 一般社団法人日本ネットワークインフォメーションセンター角倉教義 Copyright 2017 Japan Network Information Center 目次 ドメイン名 IP アドレスの役割 ドメイン名 IP アドレスの管理 DNS とルーティング Copyright 2017 Japan Network Information
More informationKnot DNS
Knot DNS の紹介 Internet Week 2018 DNS DAY IIJ 山口崇徳 InternetWeek 2012 DNS DAY 2 DNS Summer Day 2016 3 Knot DNS とは CZ NIC による権威 DNS サーバ実装 https://www.knot-dns.cz/ キャッシュ機能なし 同じく CZ NIC による Knot Resolver をご利用くださいませ
More informationZone Poisoning
Dynamic DNS サーバの リソースレコードを改ざんする攻撃 - Zone Poisoning - 一般社団法人 JPCERTコーディネーションセンターインシデントレスポンスグループ田中信太郎谷知亮 自己紹介 田中信太郎 ( たなかしんたろう ) インシデントレスポンスグループ情報セキュリティアナリストブログを書きました インシデントレスポンスだより : インターネット上に公開されてしまったデータベースのダンプファイル
More informationMicrosoft PowerPoint - BIND9新機能.ppt
BIND9 の最新動向 株式会社日本レジストリサービス坂口智哉 1 目次 1. BIND9.9 の主な新機能と変更点 2. バージョンアップ時の応答内容の比較 3. ゾーン転送中のクエリ処理性能 Copyright 2012 株式会社日本レジストリサービス 2 注意事項 本資料の機能は 執筆時点の最新リリース (BIND9.9.1-P2) を前提としたものです 本資料に登場する性能評価は あくまで
More informationDNS誕生日攻撃再び
これでいいのか TTL 短い DNS TTL のリスクを考える 2007 年 1 月 26 日民田雅人株式会社日本レジストリサービス JANOG 19@ 沖縄県那覇市 DNS プロトコルのおさらい (1/2) 問合せと応答の単純な往復 この名前の IP アドレスは? IP アドレスは XXXX だよ トランスポートは主に UDP 条件によって TCP になることもある 問合せパケット 応答パケット
More informationDNSハンズオンDNS運用のいろは
DNS ハンズオン DNS 運 のいろは DNSSEC トラブルシュート編 株式会社インターネットイニシアティブ其 学 2016 Internet Initiative Japan Inc. 1 はじめに このセッションでは DNSSEC のトラブルシュートを います おもな登場 物は 3 です 1.権威 DNS サーバ ( さっきたてた権威 DNS サーバ ) 2. 組織のキャッシュ DNS サーバ
More information2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ
夏の DNS 祭り 2014 ハンズオン - Unbound 編 株式会社ハートビーツ滝澤隆史 2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ www.example.jp の IP アドレスを教えて? www.example.jp の IP アドレスは
More information058 LGWAN-No155.indd
LGWANに接続した地方公共団体 LGWAN- ASP サービス提供者及びLGWAN 運営主体との間では LGWANを経由した電子メールの送受信が行われています また LGWANと相互接続している政府共通ネットワークを経由することで LGWAN に接続している地方公共団体は 国の府省とも電子メールの送受信を行うことが可能となります LGWANを経由した電子メールは A 市とB 町 LGWAN 内に設置されたによって
More informationISP技術者SWG報告書 およびその後の検討状況
沖縄 ICT フォーラム 2011 児童ポルノブロッキングの 現状と課題 児童ポルノ対策作業部会副主査兼 ISP 技術者サブワーキンググループリーダー北村和広 1 ブロッキング導入検討の経緯 2009/2 安心協においては 2010/2 発足時より 児童ポルノ対策作業部会 ( 主査 : 森亮二弁護士 ) を設置し 検討を実施 2010/5/18 総務省 ICT 諸問題研究会 2010/7/27 犯罪対策閣僚会議児童ポルノ排除総合対策
More information30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~
30 分で学ぶ DNS の基礎の基礎 ~DNS をこれから勉強する人のために ~ 2014 年 9 月 27 日 SECCON 2014 長野大会 DNS Security Challenge 株式会社日本レジストリサービス (JPRS) 森下泰宏 (Yasuhiro Orange Morishita) @OrangeMorishita Copyright 2014 株式会社日本レジストリサービス
More information2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp
夏の DNS 祭り 2014 ハンズオン - dig 編 株式会社ハートビーツ滝澤隆史 2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています www.conoha.jp conoha.jp ns1.gmointernet.jp 3 権威ネームサーバへの問い合わせ @ 権威サーバ と +norec を付ける 例例 ) www.conoha.jp
More informationDNSサーバー設定について
JOMON インターネットサービス 固定 IP( 複数個 ) サービス DNS サーバーの設定方法 - 目次 はじめに...1 DNSサーバーのIPアドレス...4 Bindの設定...6 Windows DNSサーバーの設定...10 名前解決の確認...28 はじめに -1- はじめに 固定 IP サービスを利用しご自身で Web サーバーを運用するには インターネット接続をするネットワーク機器
More informationPowerPoint プレゼンテーション
DNS ホスティングサービスユーザーマニュアル Ver. 3.1 アルテリア ネットワークス株式会社 1 はじめに 1-1 はじめに この度は ARTERIA 光 /UCOM 光 オプションサービス DNS ホスティングサービス をお申し込み頂きましてありがとうございます サービスをご利用頂くにあたり 設定して頂く項目がいくつかございますので 本マニュアルをお読み頂きますようお願い致します 1-2
More informationJPドメイン名におけるDNSSECについて
JPドメイン 名 におけるDNSSECについて JP DPSの 作 成 を 切 り 口 に 森 健 太 郎 株 式 会 社 日 本 レジストリサービス 本 資 料 について 本 資 料 は 2011 年 7 月 12 日 に 開 催 されたJPNICセミナー 組 織 におけるDNSSECの 姿 ~ICANN 大 久 保 智 史 氏 を 迎 えて ~ の 講
More informationMicrosoft PowerPoint - RFC4035.ppt
DNSSEC.jp プロトコル理解 SWG RFC 4035 DNSSEC.jp 1 RFC 4035 の構成 1. Introduction 2. Zone Signing 3. Serving 4. Resolving 5. Authenticating DNS Responses 6. IANA Considerations 7. Security Considerations 8. Acknowledgements
More informationDNS浸透の都市伝説を斬る~ランチのおともにDNS~
DNS 浸透の都市伝説を斬る ~ ランチのおともに DNS~ 2011 年 11 月 30 日 Internet Week 2011 ランチセミナー株式会社日本レジストリサービス (JPRS) 森下泰宏 ( オレンジ ) 民田雅人 ( みんみん ) Copyright 2011 株式会社日本レジストリサービス 1 本日の内容 浸透問題とは何か サーバーの引っ越しと浸透問題 浸透問題が起こらない (
More informationLGWAN-1.indd
インターネットが普及した現在 電子メールは 利用者にとって最も身近なアプリケーションの一つですが LGWAN という地方公共団体等に閉じたネットワークにおいても 電子メールは重要かつ利用頻度の高いアプリケーションです 今月号では LGWAN でサービスする電子メールの仕組みと 電子メールの正常な送受信の基盤となる DNS( ドメイン ネーム サービス / サーバ / システム ) の適切な設定について説明します
More information−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_
ユーザーマニュアル Ver1.30 1 はじめに 1-1 はじめに この度は BROAD-GATE 02 ( 以下 GATE02) オプションサービス をお申し込み頂きましてありがとうございます サービスをご利用頂くにあたり 設定して頂く項目がいくつかございますので 本マニュアルをお読み頂きますようお願い致します 1-2 とは インターネットへの接続において ドメイン名と IP アドレスとの相互変換を行う仕組みを
More informationスライド 1
009 年 9 月 7 日第 9 回 JP ドメイン名諮問委員会資料 4 SEC の基本的仕組み 009 年 9 月 7 日 株式会社日本レジストリサービス 1 とは 電話の場合 はインターネットの電話帳 お店に電話をかける 株式会社 商店 サービス 電話帳 株式会社の電話番号 - 商店の電話番号 - - 0-14-XXXX 0-456-XXXX サービスの電話番号 0-5678-XXXX インターネットの場合ドメイン名
More informationDNSを「きちんと」設定しよう
DNS WIDE Project DNS DAY - Internet Week 2002 BIND DNS 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc DNS 4 2 (1) www.example.jp IP 10.100.200.1 10.20.30.40 ftp.example.jp
More informationDNSSECチュートリアル ~実践編~
Internet Week 2010 S10 DNSSECチュートリアル ~ 実 践 編 ~ 民 田 雅 人 株 式 会 社 日 本 レジストリサービス 2010-11-25 Copyright 2010 株 式 会 社 日 本 レジストリサービス 1 目 次 DNSキャッシュへの 毒 入 れ DNSSECのしくみ DNSSEC 導 入 に 向 けて DNSSECの
More informationMicrosoft PowerPoint - IW2011-D1_simamura [互換モード]
キャッシュ DNS サーバと フィルタリングの実例 2011/11/30 インターネットイニシアティブ島村充 simamura@iij.ad.jp 1 アジェンダ AAAAフィルタリング ブロッキング zone 上書き 式 RPZ 式 AAAA フィルタリング AAAA フィルタリング概要 2011/06/08 World IPv6 day 世界中の有志が 24 時間限定で Web サイトに AAAA
More information日本語ドメイン名運用ガイド
2001/08/28( ) 2003/09/04...2....2....2 DNS Web...3....3. ASCII...3...4....4....4 DNS...5....5....5....5.....5.. named.conf...6.....6.. DNS...7. RACE...8 Web...9....9....9....9.....9.. httpd.conf...10..
More informationDNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4
DNS minmin@jprs.co.jp DNS DAY Internet Week 2003 ( ) 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) www.example.jp IP IP 10.20.30.40 DNS 4 PC /etc/resolv.conf
More informationJPNICプライマリルート認証局の電子証明書の入手と確認の手順
1. JPNIC プライマリルート認証局の電子証明書の入手と確認の手順 概 要 一般社団法人日本ネットワークインフォメーションセンター ( 以下 当センター ) では インターネットのアドレス資源管理やネットワーク運用の安全性向上のため 認証局が運用しています 認証局とは SSL/TLS などで通信相手の認証などに使われる 電子証明書を発行する仕組みです 電子証明書は 偽造することや改変することが技術的に難しいものですが
More information初心者のためのDNSの設定とよくあるトラブル事例
初 心 者 のためのDNS 運 用 入 門 - トラブルとその 解 決 のポイント - 2013 年 7 月 19 日 DNS Summer Days 2013 株 式 会 社 日 本 レジストリサービス(JPRS) 水 野 貴 史 Copyright 2013 株 式 会 社 日 本 レジストリサービス 1 講 師 自 己 紹 介 氏 名 : 水 野 貴 史 (みずの たかふみ) 生 年 月 日
More informationDNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1
DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 1 DNSSEC ソフウェアアップデート 2 DNSSEC Roadmap 調査資料 Shinkuro Inc から発行された資料 権威サーバの運用者 キャッシュサーバの運用者 サービスプロバイダなど 様々な目線から DNSSEC の現状や展望などが記載されている 参考 URL:
More informationWindows2008Serverの キャッシュDNSサーバと.biz
Windows キャッシュ DNS サーバ と 社内情シスの私 株式会社ブロードバンドタワー 大本貴 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内情報システムのサーバ ネットワーク運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010
More informationいきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません
DNS Response Rate Limi0ng (DNS RRL) IIJ 山口崇徳 いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません DNS amplifica0on a?ack 先日 重複をお許しください が出ましたね h?p://jprs.jp/tech/no0ce/2013-04- 18- reflector- a?acks.html
More informationMicrosoft PowerPoint ppt
情報セキュリティ第 06 回 大久保誠也 静岡県立大学経営情報学部 はじめに はじめに いままでの復習 RS 暗号の特徴 一方向関数とハッシュ値 演習 : ハッシュ値 2/34 復習 : 盗聴 lice からデータが来た 前回までの復習 送信 lice 盗聴 送信 :> で送信した情報は 基本的に盗聴し放題! 3/34 覗き見してやろう Eve 重要な情報は送らない or 暗号化 4/34 復習 :
More informationrndc BIND
rndc ローカル上 またはリモート上にある BIND9 を制御するツール rndc の仕組仕組み 制御メッセージ rndc コマンド 読み込み /.conf( 相手のホスト名と共有鍵の指定 ) または /.key( 共有鍵の指定 ) rndc の共通鍵と一致していれば rndc からの命令を受け付ける named サービス # vi named.conf 1 共有鍵の設定 keys ステートメントで直接記入または
More information登録フォーム/IIJ DNSサービス編
登録フォーム IIJ DNSサービス編 DNSアウトソースサービス DNSセカンダリサービス ドメイン管理サービス 注意事項 IIJ サービス契約申込書 と併せてご提出ください ご記入漏れがあると サービスのご利用開始時期が遅れる場合があります 本書面を送付する前に 内容を改めてご確認ください 最初にご記入ください ご契約者名 ( 法人の場合は法人名をご記入ください ) ご記入者名 TEL - -
More informationJuniper Networks Corporate PowerPoint Template
Juniper SRX 日本語マニュアル 41. SSL Forward Proxy の CLI 設定 はじめに SRX340 における SSL Forward Proxy の CLI 設定ついて説明します 手順内容は SRX340 JUNOS 15.1X49-D140 にて確認を実施しております SSL Proxy 機能については SRX340 以上の機種にてサポートされています 2018 年 8
More informationMicrosoft PowerPoint attacktool.pptx
Wikipedia DNS_spoofingに書かれている攻撃手法の実装と注入にかかる時間の期待値 及び攻撃ツールの最適化について Kazunori Fujiwara, JPRS fujiwara@jprs.co.jp 2014/6/27 本日の目的と範囲 攻撃の原理をわかりやすく伝えることで理解を深め 対策を考えるうえでの参考とする 攻撃にかかる時間の期待値を示すことで 正しく運用していれば問題がないことを示す
More informationDNSSECトラブルシューティング
キャッシュ DNS サーバー DNSSEC トラブルシューティング 株式会社インターネットイニシアティブ 島村充 1 はじめにおことわり 私 島村は参照用 DNS サーバーの運用をしていますが IIJ の参照用 DNS サーバーでは DNSSEC Validation を有効にしていません 本発表は 個人的な趣味 検証を基に行われていることをご留意ください
More informationenog-ryuichi
君 のキャッシュDNSサーバが 出 すクエリ を 君 は 本 当 に 理理 解 しているか? あ でもそのうちそうなっちゃうかも? ~QNAME Minimisation の 話 ~ ENOG34@ 柏 崎 2015 年年 9 月4 日 DMM.comラボ 高 嶋 隆 一 おさらい. ドメイン 名 は 階 層 構 造 を 持 つ 酔 っ 払 い. JP.. ü 木 構 造 っぽい com org 酔
More information今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第
情報セキュリティ 第 10 回 :2007 年 6 月 22 日 ( 金 ) 今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第 14 回 :7 月 20
More informationDNSSECチュートリアル
DNSSECチュートリアル 民 田 雅 人 株 式 会 社 日 本 レジストリサービス Internet Week 2009 - H3 2009-11-24 Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 目 次 DNS 編 BIND 9の 設 定 DNSのIPv6 対 応 DNSのリスク 編 DNSキャッシュポイズニング 従 来 型 の 毒 入 れ 攻 撃 手 法 短
More informationopetechwg-HSM
2012 年 4 月 17 日 DNSSEC ジャパン運用技術 WG HSM を利用した DNSSEC の運用に関する考察 目次 1. はじめに... 2 1.1. 背景... 2 1.2. 目的... 2 1.3. 想定する読者... 2 1.4. 注意事項... 2 1.5. 謝辞... 3 2. HSM とは... 3 2.1. HSM の概要... 3 2.2. HSM が守るもの 守らないもの...
More informationMobile Access簡易設定ガイド
Mobile Access Software Blade 設定ガイド チェック ポイント ソフトウェア テクノロジーズ ( 株 ) アジェンダ 1 SSL VPN ポータルの設定 2 3 4 Web アプリケーションの追加 Check Point Mobile for iphone/android の設定 Check Point Mobile for iphone/android の利用 2 変更履歴
More informationBIND 9 BIND 9 IPv6 BIND 9 view lwres
DNS : BIND9 ( ) /KAME jinmei@{isl.rdc.toshiba.co.jp, kame.net} Copyright (C) 2001 Toshiba Corporation. BIND 9 BIND 9 IPv6 BIND 9 view lwres BIND 3 : 4, 8, 9 BIND 4 BIND 8 vs BIND 9 BIND 9 IPv6 DNSSEC BIND
More informationブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明
Internet Week 2014 DNS のセキュリティブロードバンドルータにおける問題 ( オープンリゾルバ ) の解説 対策の説明 2014 年 11 月 20 日 NECプラットフォームズ株式会社開発事業本部アクセスデバイス開発事業部 川島正伸 Internet Week 2014 T7 DNS のセキュリティ 目次 世間が注目!? 家庭用ルータが引き起こすネット障害 ブロードバンドルータにおけるDNSプロキシ機能とは?
More informationドメイン ネーム システムの概要
CHAPTER 13 ドメインネームシステム () は 増え続けるインターネットユーザに対応するために設計されました は コンピュータが互いに通信できるように www.cisco.com のような URL を 192.168.40.0 のような IP アドレス ( または拡張された IPv6 アドレス ) に変換します を使用することにより ワールドワイドウェブ (WWW) などのインターネットアプリケーションを簡単に使えるようになります
More informationMicrosoft PowerPoint - janog15-irr.ppt
JPIRR IRRの未来 JPNIC 川端宏生 NTT コミュニケーションズ JPNIC IRR 企画策定専門家チーム Chair 吉田友哉 発表内容 JPNIC IRR(JPIRR) の正式サービス化へ向けた検討報告 川端宏生 JPIRR IRR の未来 吉田友哉 2005/1/21 copyright (c) JPNIC
More information2014/07/18 1
2014/07/18 maz@iij.ad.jp 1 2014/07/18 maz@iij.ad.jp 2 2014/07/18 maz@iij.ad.jp 3 頑張れ IP anycast Matsuzaki maz Yoshinobu 2014/07/18 maz@iij.ad.jp 4 IP anycast 主にサーバ側で利用する技術 実は単なるunicast
More informationuntitled
DNS ETJP DNS-WG + N+I2005 DNS 2005/6/10 (JPRS) fujiwara@jprs.co.jp ENUM RFC3761 (.e164.arpa) +81-3-1234-5678 (E.164 ) +81312345678 (AUS) 8.7.6.5.4.3.2.1.3.1.8.e164.arpa ( ) URI (NAPTR RR) IN NAPTR 0 "u"
More informationDNSSEC最新動向
DNSSEC 最新動向と インターネット検閲の問題の話 NTT セキュアプラットフォーム研究所 佐藤一道 2012/9/1 1 DNSSEC 最新動向 失敗事例 ( 少し ) 普及状況 その他ツール お題目 論文紹介 The Collateral Damage of Internet Censorship by DNS Injection 2 DNSSEC 最新動向 3 Comcast DNS News
More information正誤表(FPT0417)
正誤表 よくわかるマスター CompTIA Security+ 問題集試験番号 :SY0-101 対応 FPT0417 改版時期 奥付日付 2004 年 11 月 23 日 2007 年 09 月 03 日 2008 年 08 月 11 日 版数第 1 版 修正箇所 P 30 問題 89 c. 信頼性 c. 冗長性 P 64 問題 89 c 5 行目 ユーザの信頼性を確保することができます そのため
More informationDNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発
DNSSEC ジャパン DNSSEC 技術検証 WG 活動報告 技術検証 WG Chair 豊野剛 toyono@mfeed.ad.jp 2010/7/21 DNSSEC.jp Summer Forum 2010 0 DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する
More information金融工学ガイダンス
盗聴 盗聴と不正利用 2013 年 10 月 15 日 後保範 ネットワークに接続されているデータは簡単に盗聴される ネットワークを流れるパケットは, 暗号化されていなければ, そのままの状態で流れている ネットワークの盗聴は, スニッファ (Sniffer) と呼ばれるネットワーク管理ツールを利用して行われる スニッファをクラッカーが悪用し, ネットワークを流れるパケットを盗聴する 1 2 Sniffer
More informationISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する
ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する 目次 はじめに前提条件要件使用するコンポーネント問題解決策 1. 古い秘密キーの特定 2. 古い秘密キーの削除 3. 古い MSCEP-RA 証明書の削除 4. SCEP の新しい証明書の生成 4.1. Exchange 登録証明書を生成する 4.2. CEP 暗号化証明書を生成する 5.
More information経路奉行・RPKIの最新動向
経路奉行 RPKI の最新動向 木村泰司 2015 年 11 月 18 日 ( 水 ) 発表者 名前 木村泰司 ( きむらたいじ ) 所属 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) CA / RPKI / DNSSEC / セキュリティ情報 : 調査 ( 執筆 ) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DPS/
More information企業ネットワークにおける 認証基盤の構築に関する研究
PKI Public Key Infrastructure PKI PKI PKI PKI PKI CA(Certificate Authority) CA CA CA root CA CA root CA PKI CRL Certificate Revocation List CRL CRL CRL PKI 1 CRL A 1 1 PKI PKI root CA CRL (1) PKI 2001
More informationスライド 1
今年もやります! ランチのおともに DNS Internet Week 2008 民田雅人 森下泰宏 株式会社日本レジストリサービス 1 本日のランチメニュー DNS の IPv4/IPv6 合わせ盛 DNS の IPv6 対応 1034 円 DNS の 512 バイト包み焼き 512 バイトの壁の由来と EDNS0 1035 円 DNS よろず相談 時価 2 DNS の IPv6 対応 3 DNS
More informationR80.10_FireWall_Config_Guide_Rev1
R80.10 ファイアウォール設定ガイド 1 はじめに 本ガイドでは基本的な FireWall ポリシーを作成することを目的とします 基本的な Security Management Security Gateway はすでにセットアップ済みであることを想定しています 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください [Protected] Distribution
More information