DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

Transcription

1 DNSSEC ジャパン DNSSEC 技術検証 WG 活動報告 技術検証 WG Chair 豊野剛 2010/7/21 DNSSEC.jp Summer Forum

2 DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発 2010/7/21 DNSSEC.jp Summer Forum

3 技術検証 WG の活動 的 1. WG メンバが持つサービスやプロダクトにどのような影響が じるかを調査, および実験環境の中で確認する 2. WG メンバが持つサービスやプロダクトの DNSSEC 対応状況を確認し, 運 ノウハウを共有 蓄積する 3. 蓄積したノウハウは必要であれば積極的に BCP やガイドラインとして公開する 2010/7/21 DNSSEC.jp Summer Forum

4 DNSSEC ジャパン 技術検証 WG の位置づけ DNSSEC ジャパン 事務局 技術検証 WG 広報 WG 運用ワークショップ 運用技術 SWG Short term プロトコル理解 SWG Short term 2010/7/21 DNSSEC.jp Summer Forum

5 DNSSEC ジャパン 技術検証 WG の主な活動内容 技術検証 WG 調査 1 国際動向 関連情報調査 2レジストリ レジストラ I/F 調査 3ツールの比較調査 検証 4 シナリオシミュレーション 5 ネットワーク接続機器検証 6 導入における懸念点整理 レジストラ移転 NGN 2010/7/21 DNSSEC.jp Summer Forum

6 技術検証 WG の活動 メンバは親会の中から参加 主な活動はメーリングリスト 隔週程度の定例打ち合わせ 必要に応じて各調査 検証項 ごとに個別打ち合わせ 成果はメンバにフィードバック 対外的なアクションに関しては親会および広報 WG と連動 2010/7/21 DNSSEC.jp Summer Forum

7 DNSSEC に関わるプレイヤー root, TLDs, cctlds DNS Registries The Internet Domain Registrars Domain resellers XSPs DNS Caching servers Non Internet Security Appliance Home Routers/Adapters Users 2010/7/21 DNSSEC.jp Summer Forum

8 実際の運 現場 上層部 DNSSEC ってあるらしいけど, ウチはいつやるの? 別の上層部リスクがある? ちゃんと検証しろ! 営業方面安全なドメイン名とか言うお客様が 設備 予算 DNS ってタダでしょ? お金かかるの? 時期 稼働いつだれがいくらで? え, 継続? サポートセンタインターネットに繋がりませんというお客様が DNS の運 に関わる 々 2010/7/21 DNSSEC.jp Summer Forum

9 技術検証 WG の 的 ( 再 ) 上層部 DNSSEC ってあるらしいけど, ウチはいつやるの? 別の上層部リスクがある? ちゃんと検証しろ! サービスやプロダクトの調査 実験環境で確認 現場が困りそうなことは予め検討しておく. 営業方面安全なドメイン名とか言うお客様が 設備 予算 DNS ってタダでしょ? お金かかるの? 運 ノウハウを共有 現場でハマることがあったら皆で助け合う. BCPやガイドラインとして公開 分たちだけじゃどうしようもない. 皆にも気づいて助けてもらう. 時期 稼働いつだれがいくらで? え, 継続? DNS の運 に関わる 々 サポートセンタインターネットに繋がりませんというお客様が 2010/7/21 DNSSEC.jp Summer Forum

10 各調査 検証項 について 現在の活動状況 2010/7/21 DNSSEC.jp Summer Forum

11 1 国際動向 関連情報調査 調査の概要 主に国外の最新の DNSSEC 動向を調査し, 本語で短信として報告 特に失敗談などは貴重なノウハウ 活動状況 隔週開催の定例会内で報告中 今後, 要望があればレポート内容は広報 WGと連携して公開も検討します 2010/7/21 DNSSEC.jp Summer Forum

12 2 レジストリ レジストラ I/F 調査 調査の概要 国内で DNSSEC を利 できるようにするには レジストリ レジストラ リセラー等における DNSSEC のための鍵登録に対応する必要がある 活動状況 国内の対応状況を調査 レジストラにおける今後の対応のための情報源を収集, 整理 2010/7/21 DNSSEC.jp Summer Forum

13 ドメイン名登録 I/F における鍵登録への対応状況 レジストリレジストラリセラ申請者 DNSSESC の鍵登録に対応している範囲 (a) レジストリ ~ レジストラ I/F ( データベース登録 ) (b) レジストラ ~ リセラ I/F ( 登録申請 ) (c) リセラ ~ 申請者 I/F ( 登録申請 ) 最初に DNSSEC への対応が必要.org,.info,.com,.net 等対応済み ( 資料については後述 ) レジストラによって I/F が異なる プログラムインターフェースであったり Web インタフェースであったりする 国内で鍵登録に対応しているレジストリはない リセラによって I/F が異なる 基本的に Web I/F である 国内では対応しているリセラはない 日本国内で鍵登録 I/F に対応しているレジストラがない (2010 年 7 月現在 ) そこで レジストラ向けの情報を収集すると共に リセラーに鍵登録 I/F に関する要望をヒアリングした 2010/7/21 DNSSEC.jp Summer Forum

14 レジストリによる レジストラ向けの情報 PIR(.ORG) DNSSEC の解説記事の他にブロードバンドルーターへの影響や,ISP における DNSSEC 対応のためのチェックリストなどを公開 レジストラ向けの鍵登録 I/F については WebEx やデータシートを提供 VeriSign(.COM,.NET など ) name services/index.html レジストラに関する情報を公開している 鍵登録 I/F に関する情報はレジストラのメンバーページにて提供 Affilias(.INFO,.MOBI,.ASIA,.AERO, cctlds) 鍵登録 I/F についてのマニュアルはレジストラメンバサイト内で提供 DNSSEC overview (DNSSEC の概要 ) や Securing a Domain SSL vs DNSSEC ( ドメインのセキュリティに対する SSL と DNSSEC の違い ) といった記事も 2010/7/21 DNSSEC.jp Summer Forum

15 リセラへの鍵登録 I/F に関するヒアリン グ 複数のリセラーに共通した要望事項 顧客向け Web では DS の登録を受け付けられることが望ましい DNS サーバは顧客が管理していることがあるため リダイレクトできるようことが望ましい ドメイン名の設置当初はリダイレクトサービス ( 転送サービス ) が必要. 鍵の有効期限切れを知らせてくれることが望ましい ドメイン名の移転と同時に DNSSEC もできるようにすることが望ましい 2010/7/21 DNSSEC.jp Summer Forum

16 3 ツールの 較調査 調査の概要 DNSSEC の導 にあたっては 鍵や署名の管理 更新と ったこれまでにない運 が必要 による運 には限界があり ツールのサポートが必要となる DNSSEC の導 運 に有 なプロダクトの情報を, オープンソースやベンダー製品を問わず調査 公開 活動状況 ツールの分類整理中. 実証検証しているものも有り. 結果は整理後, 公開予定. 2010/7/21 DNSSEC.jp Summer Forum

17 分類項 DNSSEC 対応 DNS サーバ DNSSEC に対応した DNS サーバ製品を分類 開発ツール / ライブラリ DNSSEC 導 のために開発者が開発を うために必要なツール / ライブラリを分類 運 サポートツール DNSSEC の鍵の 成 管理や運 の 動化を う運 サポートツールを分類 動作検証 活 ツール DNSSEC の動作検証や実際に DNSSEC を活 するためのツールセットを分類 /7/21 DNSSEC.jp Summer Forum 2010

18 調査対象分類 DNSSEC 対応 DNS サーバ ISC BIND NLnetLabs NSD NLnetLabs Unbound Infoblox Nominum ANS & ANSP Secure64 DNS Server F5 DNS SECURITY SOLUTIONS DNSSHIM 開発ツール / ライブラリ libbind ldns libepp nicbr Net::DNS::SEC Net::DNS::ZoneFile::Fast DNSRuby DNSJava DNSPython 運用サポートツール 動作検証 活用ツール OpenDNSSEC + SoftHSM DNS Check DNSSEC Zone Key Tool DLV Test DNSSEC Smartcard Utility Sec Spider DNSSEC Key Management Tool DNSSEC Reply Size Test Vanteges DNSSEC Tools AutoTrust DNSSEC Toolkit Drill Extension for Firefox /7/21 DNSSEC.jp Summer Forum 2010 pydig

19 例 ) OpenDNSSEC + SoftHSM DNSSEC 運 の全課程を 動化することを 的として作られた運 援ツール 鍵の管理 ゾーンの再署名 鍵のロールオーバーをスケジューリングして 動実 PKCS#11 に準拠した HSM の利 を前提とし 代替となる SoftHSM も併せて提供 ゾーン管理者 HSM 鍵の生成と管理 ゾーン情報 ( 未署名 ) ( ファイル or ゾーン転送 ) Auditor ゾーン情報の完全性確認 ポリシに基づくスケジューリング Enforcer OpenDNSSEC Signer ゾーン情報 ( 署名済 ) 更新通知 ゾーンへの署名と DNS への通知 DNS /7/21 DNSSEC.jp Summer Forum 2010

20 4 シナリオシミュレーション 検証の概要 DNSSEC 導 検討事例を具体的な実 順により検討し, 新たな課題や検討漏れがないかを参加メンバで再確認 共有 導 事例としては以下の2つを想定 ネームサーバ運 者 ( レジストラ リセラ ) キャッシュサーバ運 者 (ISP) 活動状況 ネームサーバ運 の移 モデルについては検討済 参加メンバの 1 社を実例に, 専 部会を開いて皆で議論 2010/7/21 DNSSEC.jp Summer Forum

21 移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) ユーザクエリ ドメイン登録 Internet ユーザ登録 UI (Web など ) 登録作業 global 負荷分散装置群 NAT 認証 DB RR 管理 DB DNS ネームサーバ群 2010/7/21 DNSSEC.jp Summer Forum

22 移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) ユーザクエリ ドメイン登録 新規 ( 鍵の生成 ) Internet 負荷分散装置の性能 出入 変更 ( 移転 ) ユーザ登録 UI (Web 削除など () 鍵の削除 ) 再登録 再移転 ( 鍵...) DNSSEC 鍵登録登録作業 I/F global 負荷分散装置群 NAT ネームサーバの性能 認証 DB RR 管理 DB 鍵管理 DB DNS ネームサーバ群 鍵生成 zone 署名 2010/7/21 DNSSEC.jp Summer Forum

23 移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) Rate Limit ユーザクエリ ドメイン登録 UI 制限 Internet FireWall 装置群 ユーザ登録 UI (Web など ) 鍵管理 DB 登録作業登録システムglobal 負荷分散装置群 NAT 認証 DB RR 管理 DB 鍵生成サーバ DNS ネームサーバ群 Zone copy reload 鍵署名 成 更新管理サーバへ Zone 投 reload 指 2010/7/21 DNSSEC.jp Summer Forum

24 モデル検討により判明したことなど 思ったより機能変更が多い 鍵 成 鍵管理 zone 署名 実機への zone 情報反映 持っている TLD の数だけ鍵登録システムの変更が必要 UI を考えないと危険 DNSSEC 署名 署名解除とか 削除 再登録とか 設定も改めて 直しが必要か 負荷分散装置の設定 Amp 攻撃 DDoS 攻撃等に対しての Rate Limit TCP port53 Filtering 2010/7/21 DNSSEC.jp Summer Forum

25 5 ネットワーク接続機器検証 検証の概要 DNSSEC 導 に当たって, オペレータは各種 NW 装置を含めた総合的な疎通性を評価する必要がある チェックポイントは何か, の項 作りも重要 活動状況 NW 装置の有無による DNSSEC 疎通確認, 性能評価 端末装置の有無による DNSSEC 疎通確認, 性能評価 ( 検討中 ) 2010/7/21 DNSSEC.jp Summer Forum

26 NW 装置のチェックポイント ( 例 ) 想定装置 負荷分散装置 目的 (1)NW 装置の構成が有り / 無しで DNSSEC の通信に影響を測定する (2)NW 装置の構成が有り / 無しで キャッシュサーバ側の性能影響を測定する 負荷分散装置のチェックポイント 1 大きな UDP パケットを通せるか 2UDP Fragment 3TCP フォールバック 4NAT ではなく Global の Reachability 5UDP のセッション数 DNSSEC.jp Summer Forum

27 一次試験環境 権威サーバ インターネット Router SW L2SW, 負荷分散装置,Router を経由した実証的な環境で負荷試験を想定 負荷分散装置 SW キャッシュサーバ DNSSEC.jp Summer Forum

28 その他の DNSSEC 中継装置と チェックポイントなど 想定される装置とチェックポイントはまだ洗い出しが必要 想定される中継装置など ブロードバンドルータ VoIP アダプタ ターミナルボックス 無線機器 FireWall 装置 ( 宅内, エンタープライズ,NW) 負荷分散装置 想定されるチェックポイントなど EDNS0 対応および UDP パケットサイズの取り扱い UDP Fragment TCP Fallback,TCP port 53 Filtering UDP State の扱い ( 特に負荷分散装置,NAT 装置など ) DNS キャッシュ機能,DNS Proxy 機能 2010/7/21 DNSSEC.jp Summer Forum

29 6 導 における懸念点整理 検証の概要 DNSSEC 導 に伴い問題が発 しそうな事象に関しては,BCP やガイドラインを公開し啓蒙活動に努める 導 における懸念点に関する BCP の作成 活動状況 (6 1) レジストラ移転 順検証 RFC4841bis は本当に動くのか? (6 2) NGN 対応検討 DNSSEC + NGN 対応で XSP のするべきことは? 2010/7/21 DNSSEC.jp Summer Forum

30 6 導 における懸念点整理 (6 1) レジストラ移転 順検証 運 する上で考えておかなければならないこと 対応 針をあらかじめ決めておく必要がある ( お客様希望の有無も ) 移転 の場合, 移転元レジストラへ鍵交換の要求を うか 移転出の場合, 鍵の交換に応じるかどうか レジストラ同志の連絡先 DB? 新旧のレジストラ同 で DNSKEY と RRSIG の交換が必要 相 レジストラが協 的か, 協 的か NS と同様に DS も引き継ぐ?( 上位 NS に設定 ) 鍵の授受? レジストリへの要求事項もあるかもしれない? ドメイン移転時にも NS 設定と同様 DS も引き継がれる仕様にする その場合移転後のレジストラが設定されている DS を取得できる 2010/7/21 DNSSEC.jp Summer Forum

31 DNSSEC 移転の考えられる流れ確認 (RFC4641bis ベース ) 通常の流れ ( 移転元が協力的な場合 ) 移転元レジストラ移転先レジストラレジストリ 新しい権威 DNS サーバと新しい鍵を設定する 対象ドメイン名の公開鍵 (DNSKEY レコード ) その公開鍵に対する署名情報 (RRSIG) の提供を受ける 交換 対象ドメイン名の公開鍵 (DNSKEY レコード ) その公開鍵に対する署名情報 (RRSIG) の提供を受ける DNSKEY レコードと RRSIG を権威 DNS サーバで公開 DNSKEY レコードと RSIG を権威 DNS サーバで公開 対象ドメインに DNS サーバを NS レコードに追加する ( 移転元レジストラの鍵で署名する ) 報告 新しい DNS サーバと DS 情報をレジストリに登録 Whois サーバ 報告 対象ドメイン情報を削除 移転元の DNSKEY と RRSIG を削除 30

32 ドメイン移転パターン Transfer IN 1. ドメインを移転 NS も変更 ( 移転先の NS を使う ) 2. ドメインを移転 NS は自前で持っている 3. NS を元レジストラのままドメインを移転 4. 移転元レジストラが非協力的な場合 (DNSKEY と RRSIG の交換に応じてくれない等 ) 31

33 ドメイン移転パターン Transfer OUT 1. ドメインを移転 NS も変更 2. ドメインを移転 NS は自前で持っている 3. ドメインを移転するも NS だけ残していく 4. DNSKEY と RRSIG の交換に非協力的 ( レジストラ側 ) 32

34 相手が協力的だった場合通常のパターン 1( 例 :JP ドメイン ) transfer IN 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 管理ツールにドメイン登録 (NS の登録はまだ ) DNSKEY を登録 移転承認通知 移転完了の通知 DNSKEY と RRSIG を交換申請受理 DNSKEY と RRSIG を交換申請 DNSKEY と RRSIG を交換権威 DNS で公開 DNSKEY と RRSIG を交換権威 DNS で公開 移転先 DNS ホストを NS レコードに登録 DNS/DS をレジストリに登録 Whois 登録 ドメイン情報を削除 移転元の DNSKEY と RRSIG を削除 DNS(DNSSEC) 対応完了通知 33

35 相手が協力的だった場合 NS を自前でもつ場合パターン 2&3( 例 :JP ドメイン ) 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 管理ツールにドメイン登録 (NS の登録はまだ ) DNSKEY を登録 移転承認通知 移転完了の通知 DS レコードを渡す DS レコードをもらう DNS と DS 登録 Whois 登録 ユーザ通知 34

36 相手が非協力的だった場合パターン 4( 例 :JP ドメイン ) 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 移転承認通知 管理ツールにドメイン登録 移転完了の通知 DNSKEY と RRSIG を交換申請拒否 DNSKEY と RRSIG を交換申請 DNS/DS をレジストリに登録 Whois 登録 DNS(DNSSEC) 登録完了通知 旧 DNS 情報の cache が消えるまで不通期間が発生 35

37 Transfer IN 後の考えられるパターン パターン別のフローでわかるように DNSSEC 対応はドメイン自体が移転してから ドメイン移転後考えられるパターン ドメイン移転完了 1LDNS を利用する 2 自前 NS を利用する 3 元レジストラ NS を利用する 4DNSSEC をやめて普通の LDNS を使う 5DNSSEC をやめて普通の自前 NS を使う 鍵登録を LD でやる 鍵登録をユーザがやる DS を変更する時までそのまま NS 変更 鍵登録 UI を提供 不正期間が発生する 署名交換 できる できない パターン 1 のフローへ 不通期間発生パターン 2 のワークフロー Transfer Out の場合は立場が逆になるだけのため省略 36

38 考えられる Check Point それぞれの選択や手段はサービスレベルや運用ポリシーなどに基づくことになる Transfer IN ドメイン移転時のゾーン情報 ( 有効期限など ) の確認 鍵登録を誰がやるのか? ( レジストラ間ですることができるのか ユーザがやるのか できないのか またはその手段 ) パターンによって不通期間が発生することを予め説明する ( 不正期間が発生すること約款等に盛り込むなど ) Transfer OUT 移転して出て行った後どの程度ドメイン情報を保持するのか ( 移転後猶予期間を設けて削除する または持たないなど ) 移転後ドメイン情報を削除したあと 不通期間が生じる場合 ( 猶予期間終了後は削除しますなど ) またはその可能性についての免責について約款に入れる 鍵交換に応じるのか ( 応じる場合どういった手段をとるのか ) 37

39 6 導 における懸念点整理 (6 2) NGN 対応検討 NTT NGN の ISP IPv4/IPv6 接続環境 2011/4 に開始が予定されている DNSSEC 導 後に技術的な問題が発 しないかを検討. もし問題が発 するのであれば, その解決 法について検討し,DNSSEC.jp 技術検証 WG メンバおよび関係者間で共有. 2010/7/21 DNSSEC.jp Summer Forum

40 まとめとご案内 2010/7/21 DNSSEC.jp Summer Forum

41 まとめ DNSSEC 技術検証 WG の紹介 各活動のご案内 困ったことは現在進 形で議論 今後は広報 WG と連携し, 積極的な資料公開も検討していきます 2010/7/21 DNSSEC.jp Summer Forum

42 技術検証 WG ご参加のご案内 技術検証 WG では, 緒に悩む同志メンバを募集しています 導 にあたり検討したいことがある これからの実験検証で共にやりたいこと, やってほしいこと, がある ご興味のある は DNSSEC ジャパン事務局までご連絡をお願いいたします 下部組織である技術検証 WG のみへの単独加 は出来ません 2010/7/21 DNSSEC.jp Summer Forum

43 技術検証環境について 技術検証 WG は DNSSEC に関連する技術検証の環境を JPRS と連携して準備します. 環境提供の 的 DNSSEC 導 の際に想定される技術的な課題を検証し, 実環境への導 をスムーズにすること 環境提供期間 2010 年 年 3 環境条件 環境へのアクセスは利 者に限定 2010/7/21 DNSSEC.jp Summer Forum

44 利 条件など 利 条件 1 技術検証 WG の活動に参加すること 既存の検証項 ( サブチーム ) に参加するか, 適切なサブチームがない場合は らサブチームを作って参加. 活動成果は原則的に参加者, または可能な範囲内で DNSSEC ジャパンとして公開予定. 付帯条件 1 JPRS の実験環境を利 する場合 JPRS が提供する実験環境を利 する場合は,JPRS が別途 意する実験参加申込書を提出して頂きます. 2010/7/21 DNSSEC.jp Summer Forum

45 今後のスケジュール ( 予定 ) 課題検討 WG メンバ追加募集 論理検証 (BCP ガイドライン作成 ) 検証準備 検証 1 ( ネットワーク機器 レジストラ移転 ) 分析 報告 中間報告 検証 2 (tool 較 / ネットワーク機器 ) 分析 報告報告書 root sign.jpsign.jpregist 最終報告 DNSSEC.jp assembly IW JANOG 2010/7/21 DNSSEC.jp Summer Forum

46 以上 2010/7/21 DNSSEC.jp Summer Forum