Microsoft PowerPoint - 動き出したDNSSEC.ppt

Similar documents
Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

DNSSECの基礎概要

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint - private-dnssec

DNSSEC運用技術SWG活動報告

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

スライド 1

ご挨拶

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

Microsoft PowerPoint - DNSSECとは.ppt

スマート署名(Smart signing) BIND 9.7での新機能

DNSSEC導入に関する世界的動向

PowerPoint プレゼンテーション

「DNSSECの現状と普及に向けた課題」

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

DNSSEC性能確認手順書v1.2

DNSのセキュリティとDNSに関する技術

Microsoft PowerPoint 版_Root_JPの状況.ppt

DNSSEC機能確認手順書v1.2

opetechwg-tools

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

JAIPA-DNSSEC

PowerPoint プレゼンテーション

DNSSECチュートリアル [ ]

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

IPアドレス・ドメイン名資源管理の基礎知識

スライド 1

のコピー

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

Root KSK更新に対応する方法

DNSの負荷分散とキャッシュの有効性に関する予備的検討

058 LGWAN-No155.indd

DNSとメール

DNSハンズオンDNS運用のいろは

LGWAN-1.indd

セキュアなDNS運用のために

Microsoft PowerPoint - bind ppt

DNSSEC技術実験報告書

DNS誕生日攻撃再び

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

Windows2008Serverの キャッシュDNSサーバと.biz

OpenDNSSECチュートリアル

ドメイン ネーム システムの概要

PowerPoint プレゼンテーション

RFC4641_and_I-D2.pdf

スライド 1

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

Knot DNS

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

登録フォーム/IIJ DNSサービス編

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

Zone Poisoning

Microsoft PowerPoint - BIND9新機能.ppt

Mobile Access簡易設定ガイド

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

2014/07/18 1

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第

ISP技術者SWG報告書 およびその後の検討状況

初心者のためのDNSの設定とよくあるトラブル事例

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

DNSサーバー設定について

JPドメイン名におけるDNSSECについて

Microsoft PowerPoint - RFC4035.ppt

R80.10_FireWall_Config_Guide_Rev1

Microsoft PowerPoint ppt

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

DNSSECチュートリアル ~実践編~

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

SILAND.JP テンプレート集

日本語ドメイン名運用ガイド

PowerPoint Presentation

情報システム運用・管理規程

HDE Controller X 1-5. DNS サーバー

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

クラウドDNS へのネームサーバー切替手順

DNSSECトラブルシューティング

<4D F736F F D B A F8AC7979D8ED2837D836A B5F E646F63>

DNSを「きちんと」設定しよう

Juniper Networks Corporate PowerPoint Template

DNSSECチュートリアル

DNSSEC最新動向

enog-ryuichi

BIND 9 BIND 9 IPv6 BIND 9 view lwres

スライド 1

PowerPoint プレゼンテーション

当社は 7-dj.com DNS アウトソーシングサービス に加入したく 7-dj.com インターネットサービス規約を承認の上 下記の通り申込みます 初期費用 月額費用は貴社の指定する課金方法にて支払います お申込者申込年月日年月日 フリガナ 法人名 フリガナ ご住所 フリガナ 連絡担当者氏名 (

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

システム設定編

資料 5-2 Government 公的個人認証サービスのスマートフォンでの利活用の実現に向けた実証 について iphone に於ける利用者証明書ダウンロードの検証 2016 年 10 月 25 日日本アイ ビー エム株式会社 2016 IBM Corporation

Transcription:

Hosting-PRO セッション W1 動きだした DNSSEC 株式会社ブロードバンドタワー事業開発グループエキスパート大本貴 1

自己紹介 2000 年インターネット総合研究所 (IRI) に入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に復帰 主に社内システムのサーバ運用 コンサルなど 2010 年春から DNSSEC.jp に参加 2010 年ブロードバンドタワーに転籍 DNSSEC.jpでは 海外の動向調査とかを主に いろいろtaxiJPNというのでつぶやいてます 2

本日の Agenda DNSのおさらい DNSSECの技術概要 権威 DNSサーバ リカーシブサーバ ( リゾルバ キャッシュサーバ ) 海外 国内事業者などのDNSSECへの対応動向 ホスティングとDNSSEC まとめ 3

DNSSEC その前に 4

DNS(Domain Name System) について簡潔な用語定義 Zone ゾーン 名前解決の対象となるデータの集まり RR リソースレコード ゾーンファイルに登録されたデータ資源 Query クエリ owner( ホスト名やIP address) を keyにして RRを索くということ Authority 権威 コンテンツ ( 名前空間 ) について管理 Delegation 権限委譲 コンテンツ ( 名前空間 ) の一部の管理を下位サーバに委譲すること Recursive query 再帰検索 ( 後ほど説明 ) 5

DNS サーバ色々 authoritative server 権威 DNS サーバ ( コンテンツサーバ ) ゾーン管理している root servers.jp ゾーン担当 example.jp ゾーン担当 recursive server リクエストに応じて再帰問い合わせを行うリゾルバサーバ ( キャッシュサーバも兼務する ) stub resolver リカーシブサーバに再帰問い合わせを行うリゾルバライブラリ 基本的にはリカーシブサーバから得た回答内容を表示するだけ Stub からの要求に応じて答えを求めて問い合わせを行う dig コマンドや nslookup インターネットアプリケーション 6

DNSSEC(DNS Security Extensions) の技術概要 7

そもそもなんで DNSSEC が必要? 毒入れアタック ( ポイゾニング ) 問い合わせ情報に対して第三者が偽装パケットにより偽のレコードをユーザに送りつける 結果 ウィルス仕込み済み web サイトへ誘導 メールを正しい相手に送信できない ( しかもエンドユーザは気が付きにくい ) 個人情報搾取 インターネットの基盤である DNS の信頼性が揺らいでいる 何を信じればよいのか 8

フィッシング(phishing)サイトかどうか見抜けますか? フィッシングサイトかどうかの判断手法の一つはURLを見ること URLを見ると 正しくアクセス しているように表示されていたら? 9

何が主たる原因か? クエリの送受信をUDPでやりとりしているから UDPでサイズ超過したらTCP fallbackで対応 そもそも最初からTCPで良いのでは? ルートゾーンなどで膨大なリクエストを短時間で処理するためには UDP で処理を軽くしていく必要がある 10

DNS の名前解決の流れ www.example.jp ってどこ? Recursive Server www.example.jp ってどこ? ユーザ 1 2 8 3 4 6 9 root servers www.example.jp は向こうだってさ おいらもメモっとくわ www.example.jp は知らんが.jp なら知ってる.jp の権威 DNS サーバはあそこ 5 7 www.example.jp に置いてある web コンテンツが欲しいんだけど.jp の権威 DNS サーバ www.example.jp は知らんが example.jp なら知ってる example.jp の権威 DNS サーバはそっち example.jp の権威 DNS サーバ www.example.jp かい? www.example.jp は向こうだよ www.example.jp 10 このコンテンツね はいどうぞ 11

キャッシュポイゾニングの概要 www.example.jp は 172.16.0.1 だよ www.example.jp って どこ? 2 3 パケット偽装して www.example.jp は 192.168.0.1 と送信 3 www.example.jp って どこ? 4 www.example.jp は 192.168.0.1 だってさ おいらもメモっとくわ カモがきた 改ざん済みデータを送ってやろう 1 5 6 今日もアクセスはないなー 12

カミンスキーアタックの概要 そんなサーバ知らんがな 1 dokudoku.example.jp ってどこ? dokudoku.example.jp って どこ? Recursive Server www.example.jp って どこ? 4 5 2 6 3 www.example.jp は 192.168.0.1 か おいらメモっとくわ 1 3 7 3 パケット偽装して dokudoku.example.jp は知らんが dokudoku のことは www.example.jp が知っている www.example.jp は 192.168.0.1 と送信 カモがきた 改ざん済みデータを送ってやろう 8 ログイン ID パスワード入力 最近アクセスないなー 13

DNSSEC 簡単にするとこんなイメージ? DNSSEC なし 頼んでいた ipad が届いた ~ 自分が要求したものだし 送られてきたものは正しいと信じよう ( でも実は iped かも ) DNSSEC あり 送付元からの署名がついてきているな 頼んだものだけど本物かどうか確認するか RRSIG DNSKEY RRSIG 検証の結果 整合 んじゃ この ipad は本物の ipad と信じよう 14

DNSSEC 誰に負担があるの? ドメイン名登録者 ( 独自ドメイン取得している したい人 ) DNSSEC 化への判断 ( 自分の管理しているドメインの信頼性 上位ゾーンが対応していないなら DLV 使うか ) DNS サーバ管理者 (ISP ホスティング事業者 etc. ) 権威 DNS サーバ 管理しているゾーンの DNSSEC 対応 鍵の定期的なロールオーバなどが業務に追加 リカーシブサーバ ( キャッシュ DNS サーバ ) リカーシブサーバへトラストアンカーの導入 レジストラ 鍵を上位ゾーンへ登録する仲介処理 ドメイン契約の移転処理 レジストリ 下位ゾーンからの登録申請に対して DS 登録処理 DS 申請を受け付けるシステムの構築 ユーザサポート担当者 障害時の切り分けのためのノウハウ習得 15

DNSSEC 導入するとどうなるの? 勝ち得るもの DNS の信頼性を高めることができる 真正性を担保できる 試練 めんどくさい ( 作業が増える ) 鍵のロールオーバーとか鍵の管理とか再署名とか 信頼の連鎖を形成するための第三者との連携 管理コストの増加 作業自体の単純増加 チェックするポイントの増加 ゾーンが多いと署名処理も時間がかかる ハイスペックなハードの必要性 ( 特にキャッシュサーバの ) 署名の検証処理が加わることで必要スペックも増加 SERVFAIL によるトラブルへの懸念 ( 運用リスク ) 設定ミスなどで 検証に失敗する状況になると 該当ドメインの名前解決しない 障害に繋がる ( 実際に.uk とか.fr とか ) 顧客へのサポートに分岐が発生 (ISP など ) 問題が DNSSEC か DNS なのかの切り分けが生じる Windows の nslookup では dig のように SERVFAIL 判定を判断できない Windows 用の dig プログラム導入してもらうことに? 16

DNSSEC に対応できる環境にするには? DNSSEC 対応 DNS サーバ BIND のバージョン 9.3 以降 ( 権威 DNS サーバ リカーシブサーバ ) DNSSEC だけではなく DNS のバグもあるので 9.7.3 以降推奨 9.7 からは Smart Signing という DNSSEC 用の仕組みが機能追加 NSD 2.x 以降 ( 権威 DNS サーバ ) Unbound 1.x 以降 ( リカーシブサーバ ) PowerDNS 3.0 以降対応表明 ( 権威 DNS サーバまだ pre 版のみ公開 ) Windows2008server はまだ実装不十分 (R2 で NSEC3 未実装 ) 2008 R2 sp1 は NSEC3 対応できるのかまだ未確認 この資料内の例では BIND9.7.x を設定事例として紹介します EDNS0 対応と TCP fallback への対応 キャッシュサーバが対応してても qmail( と netqmail ) は 512byte 問題が存在 qmail は Christopher K. Davis 氏が作成した patch1.03 (oversize DNS packets patch) を導入することが必須 http://www.ckdhr.com/ckd/qmail-103.patch IPv6 で既に問題が顕在化しているので対応済みかも netqmail は 1.06 に同梱されている netqmail-dns-packetsz.patch 17

DNSSEC のために新規に定義されたレコード DNSKEY DNSSEC の公開鍵情報レコード ZSK(Zone Signing Key) RR(Resource Records)Set を署名する鍵 KSK(Key Signing Key) TYPE が DNSKEY の RRSet を署名する鍵 RRSIG(Resource Record Signature) ゾーンファイル内の各レコードの署名を表現するレコード (RRSIG 自身には署名しない ) DS(Delegation Signer) 子ゾーンの KSK を元に生成されたハッシュ 上位 DNS 権威サーバ ( 親 ) のゾーンに登録してもらい 親ゾーンの ZSK により署名してもらう NSEC & NSEC3& NSEC3PARAM 不在証明レコード 後ほど説明 18

DNS ツリーと DNSSEC DS を上位ゾーンに署名してもらうことで信頼の連鎖を形成させる root DS を登録 申請を承認 jp to org com example3 DS 登録申請 example example2 ohmo example subdom 19

DNSSEC の真正性担保の仕組み ( 俯瞰 ) 信頼の連鎖 により レコードの信頼性を担保 root zone KSK 秘密鍵 KSK 公開鍵 トラストアンカーの KSK 公開鍵をコピー 検証 署名 署名 ZSK 公開鍵 署名 ゾーンデータ キャッシュサーバ 署名データ DS DS 申請 DNSKEY RR ZSK 秘密鍵 DS 承認 KSK 公開鍵 ZSK 公開鍵 署名 クエリ送信.jp 権威 DNS サーバ 署名 KSK 秘密鍵 ZSK 秘密鍵署名 ゾーンデータ DS DS 承認 署名 署名 DS 申請 KSK 公開鍵 ZSK 公開鍵 クエリに応答 example.jp 権威 DNS サーバ KSK 秘密鍵 ZSK 秘密鍵 署名 ゾーンデータ 20

DNSSEC の真正性担保の仕組み 信頼の連鎖 により レコードの信頼性を担保 root zone KSK 秘密鍵 KSK 公開鍵 トラストアンカーの KSK 公開鍵をコピー 検証 署名 署名 ZSK 公開鍵 署名 ゾーンデータ キャッシュサーバ 署名データ DS DS 申請 DNSKEY RR ZSK 秘密鍵 DS 承認 KSK 公開鍵 ZSK 公開鍵 署名 クエリ送信.jp 権威 DNS サーバ 署名 KSK 秘密鍵 ZSK 秘密鍵署名 ゾーンデータ DS DS 承認 署名 署名 DS 申請 KSK 公開鍵 ZSK 公開鍵 クエリに応答 example.jp 権威 DNS サーバ KSK 秘密鍵 ZSK 秘密鍵 署名 ゾーンデータ 21

Agenda DNSのおさらい DNSSECの技術概要 権威 DNSサーバ リカーシブサーバ ( リゾルバ キャッシュサーバ ) 海外 国内事業者などのDNSSECへの対応動向 ホスティングとDNSSEC まとめ 22

権威 DNS サーバの運用 DNSSEC 対応した権威 DNS サーバを運用するためにすること 鍵生成 ゾーンへの署名 上位ゾーンへの DS 登録申請 定常業務ゾーンの管理 ( これまでと同様 +RR 変更の都度署名処理 ) 鍵の管理 ( 保管方法の確立とロールオーバー ) ゾーン署名有効期限の把握 ( 再署名処理 ) 不定期業務契約移転ユーザの DNS ゾーンの授受と管理 ( 委託されている場合 ) (DNSSEC 対応で留意事項が増える ) 鍵の危殆化対応など 23

鍵生成 なんで鍵は二種類あるの? 鍵を ZSK と KSK を分けて管理することによって 鍵サイズや暗号強度を 役割に合わせたパラメータで運用できるメリットがある KSK は親ゾーンとの連携が必須になるため 鍵交換する頻度は少なくしたい 鍵の諸パラメータは ふつうどーする? 鍵の暗号化アルゴリズムは RFC4641 的には RSA/SHA-256 が推奨されている 鍵サイズは 1024bit 以上を推奨 (KSK ZSK) ( ルートゾーンの KSK では 2048bit が適用されている ) ZSK は KSK よりも暗号強度が弱くとも良いが更新頻度でカバーしていく 24

鍵生成の実際 ZSK. dnssec-keygen -a RSASHA256 -b 1024 ゾーン名 KSK. dnssec-keygen -a RSASHA256 -b 2048 -f ksk ゾーン名 # cat Kohmo.to.+008+60799.key ; This is a key-signing key, keyid 60799, for ohmo.to. ; Created: 20100913141843 (Mon Sep 13 23:18:43 2010) ; Publish: 20100913141843 (Mon Sep 13 23:18:43 2010) ; Activate: 20100913141843 (Mon Sep 13 23:18:43 2010) ohmo.to. IN DNSKEY 257 3 8 AwEAAdLEIOzWiWrHtOEdc60BH4v4Qh6O8JHCO6cNwi5LsF nltjasc4av CFV5YG131CIHPAfM1hGnBe4qRnjGj+uA7hIDPD/CsKOd9zaFk8LFYiLb #cat Kohmo.to.+008+48543.key ; This is a zone-signing key, keyid 48543, for ohmo.to. ; Created: 20100913141801 (Mon Sep 13 23:18:01 2010) ; Publish: 20100913141801 (Mon Sep 13 23:18:01 2010) ; Activate: 20100913141801 (Mon Sep 13 23:18:01 2010) ohmo.to. IN DNSKEY 256 3 8 AwEAAcPn4Oj7xRAYMRZ2IkFQmRi5S9wNy7lNkDxMijyB2f d3anzw5i1g l3ysg3fhbpgcvbmj3pmkpciyvi/l74xt2mlf5jaeqktydvp2hujwisel. #cat Kohmo.to.+008+48543.private Private-key-format: v1.3 Algorithm: 8 (RSASHA256) Modulus: w+fg6pvfebgxfnyiqvczglll3a3luu2qpeykpihz93do3pdmluaxdiwbcucgmak 25

上位ゾーンへの DS レコード登録 KSK を上位ゾーンに署名してもらうことで信頼の連鎖を形成させる root 申請を承認 DS 登録 jp to org net example3 DS 登録申請 example example2 ohmo example subdom 26

署名と 信頼の連鎖 構築の実際 DS ゾーン申請前提 named.confに署名したいゾーンが設定されていること KSKの鍵生成とZSKの鍵を生成済み 署名してみる dnssec-signzone S example3.jp. ( 対象ゾーン名 ) 処理が正常終了すると dsset-example3.jp.( 対象ゾーン名 ) という DSSet ファイルと 署名済みゾーンファイル example3.jp.signed( 対象ゾーン名 +.signed) が生成される DSSet ファイル内に記載された 2 行のうち いずれかを上位ゾーンに登録申請する example3.jp. IN DS 60799 8 1 D736F20FB259279A4A5FFCEB45536C5CAD33EC78 example3.jp. IN DS 60799 8 2 EBC75A18FAEDA255DCD9148418BFCDCF95D6BD6E367EB469EA7BA83A 713CF50F 1=SHA1 2=SHA256 27

署名の運用 ( 有効期限 ) 署名には有効期限が設けられている 有効期限が切れると署名が有効ではない 名前の検証に失敗する SERVFAIL の反応 名前解決できない メールは届けられない web も見れない かといって有効期限を長くしすぎていると期間内に鍵がクラックされる可能性も 有効期限が決められているからサーバ内の時計がずれていると (.kg が 2 月 22 日に UTC+6 時間で署名しちゃった ) KSK の有効期限は長く 鍵の暗号強度を高く ZSK の有効期限は短く 暗号強度は多少緩め というのが推奨されている RFC4641 的には KSK は 13 ヶ月に 1 度のタイミングでの交換を提案している ZSK は 1 ヶ月に 1 度程度を目安 (dnssec-signzone はオプションなしだと 30 日で設定される ) 28

鍵のロールオーバー new ロールオーバ手法としては下記の手法がある ZSK Double signatures ( 二重署名方式 ) Pre-publication ( 事前公開方式 ) KSK Double signatures ( 二重署名方式 ) Double-DS ( 二重 DS 方式 ) Double-RRSet ( 二重 RRSet 方式 ) 29

ZSK / Double signatures ( 二重署名方式 ) 既存 ZSK(A) と新規 ZSK(B) 両方でゾーン署名 新規 ZSK(B) のみで署名 既存 ZSK(A) 削除 既存 ZSK (A) 新規 ZSK (B) 署名二重期間 署名二重期間 バリデータに伝播しているキャッシュ 新規 ZSK(B) 作成 新規 ZSK(C) 新規 ZSK(C) 作成 (A) のみ伝播 (A) と (B) が伝播 (B) のみ伝播 (B) と (C) が伝播 時間軸 active rolled 既存と次期両方の DNSKEY で署名し バリデータへの伝播を待つ 充分に伝播が行き渡っているならば DNSKEY をいつ切り替えても問題が出ないように考慮した方式 30

ZSK / Pre-publication( 事前公開方式 ) 署名鍵を ZSK(B) に変更 新規 ZSK(C) を公開 有効期限終了 既存 ZSK(A) 削除 既存 ZSK (A) 新規 ZSK (B) 新規 ZSK(B) をゾーンに含んだ形で (A) で署名し運用 新規 ZSK(C) 公開開始 新規 ZSK(C) 署名を新規 ZSK(C) に変更 バリデータに伝播しているキャッシュ (A) と (B) が伝播 (B) のみが伝播 (B) と (C) が伝播 (C) のみが伝播 時間軸 published active rolled 事前公開することで次期 DNSKEY をキャッシュに撒いておける これにより署名を切り替えても問題ないよう考慮した方式 31

KSK / Double signatures( 二重署名方式 ) 親ゾーン 既存 DS (A) 新規 DS (B) 上位ゾーンに DS(B) へ置き換えを依頼 登録作業 新規 DS(B) を登録 署名 DS(B) のキャッシュへの伝播を確認 DS(B) を登録したら DS(A) 削除してもらう 子ゾーン 既存 KSK (A) 新規 KSK (B) バリデータに伝播しているキャッシュ DS(A)KSK(A) KSK(B) が伝播 KSK(A) と DS(B)KSK(B) が伝播 DS(B)KSK(B) が伝播 時間軸 published active rolled KSK(A) と (B) 両方で ZSK に署名 署名を KSK(B) のみにし (A) は削除もしくは rolled とする 子ゾーン側鍵を二重にしておくことで親ゾーンは処理を一度で済ませられる 32

KSK / Double-DS( 二重 DS 方式 ) 親ゾーン 上位ゾーンが DS(B) を公開 新規 KSK(B) で署名し交換 KSK(B) がキャッシュに行き渡ったら既存 DS(A) 削除してもらう 既存 DS (A) 新規 DS (B) 登録作業 子ゾーン 既存 KSK (A) 新規 KSK (B) バリデータに伝播しているキャッシュ DS(A) と KSK(A) が伝播 DS(A)KSK(A) DS(B)KSK(B) が伝播 DS(A) と DS(B)KSK(B) が伝播 DS(B) と KSK(B) が伝播 時間軸 published active rolled 新規 KSK の DS(B) を上位ゾーンに申請 署名を新規 KSK に交換し削除もしくは rolled とする 事前公開することで次期 DNSKEY をキャッシュに撒いておく 33

KSK / Double RRSet ( 二重 RRSet 方式 ) 親ゾーン 既存 DS (A) 新規 DS (B) 子ゾーン 既存 KSK (A) 登録作業 上位ゾーンが DS(B) を登録 署名 既存 DS(A) 削除してもらう 新規 KSK (B) バリデータに伝播しているキャッシュ 時間軸 DS(A) と KSK(A) が伝播 published active rolled DS(B) と KSK(B) が伝播 新規 KSK の DS(B) を上位ゾーンに申請 KSK(A) を削除 作業タイミングを親子で合わせることで作業工数を減らして交換できる 34

鍵のロールオーバーポリシー 危殆化して初めて交換するのか定期的に交換するのかの考え方が二種類ある 特に KSK の場合は親ゾーン管理者との連携作業になるのでロールオーバーのポリシーは良く考えなくてはならない 危殆化して初めての場合 定期的作業の頻度軽減 作業フローを手が忘れてしまう リスク増大とのトレードオフ 定期的に交換する場合 人的作業コストの増加 KSK の場合 親ゾーン管理者と都度やりとりする必要が出てくる ( 親ゾーン管理者の作業タイミングの調整や待ち時間等も発生 ) 定期的に行うので作業をルーチン化できる 35

Agenda DNSのおさらい DNSSECの技術概要 権威 DNSサーバ リカーシブサーバ ( リゾルバ キャッシュサーバ ) 海外 国内事業者などのDNSSECへの対応動向 ホスティングとDNSSEC まとめ 36

リカーシブサーバの運用 DNSSEC 対応したバリデーター ( 検証サーバ ) を運用するためにすること named.conf への managed-keys 設定 定常業務ユーザサポートでの切り分け作業 (DNSSEC に起因するかの切り分け ) dig オプションで +cd (check disable) など利用するなど 不定期業務 trusted-keys 設定なら root-server の鍵交換に応じて変更 37

トラストアンカー [Secure Entry Point(SEP)] の設定 バリデート ( 検証を行う ) サーバに トラストアンカーとなっている KSK の公開鍵をコピーしてきて設定する KSK 公開鍵は DNSSEC に対応しているゾーンは公開している # dig ドメイン名 DNSKEY +norec @ 対象 DNS 権威サーバで表示される ( 実際は dig. DNSKEY +norec @m.root-servers.net など ). 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL... 172800 IN DNSKEY 256 3 8 AwEAAb5gVAzK59YHDxf/DnswfO1RmbRZ6W16JfhFecfI+EUHRXPWlXDi 47t2FHaKyMMEROapL5SZ8HiCzl05lORZGGdN37WY7fkv55r.. named.conf に以下を設定すると トラストアンカーと対応するゾーン以下については検証を行う # trusted-keys { }; でトラストアンカーとなる KSK を登録 (bind9.7 から RFC5011 に準拠した managed-keys ステートメントが実装された 9.7.3 で bug 解消済み ) managed-keys{. initial-key 257 3 8 AwEAAagAIKlVZrpC6Ia7gEz.( 略 ) ; }; options{ dnssec-enable yes; dnssec-validation yes; } # bind9.5 以降ではdefaultでyesなので必要ない # バリデータとして動作させるか 38

トラストアンカーの注意点 1. Validator( バリデータ ) は誰がやるの? リゾルバ ( キャッシュ ) サーバ 仕様としてはエンドのクライアント側でもバリデータとして設定可能 ただし 現段階ではエンド側で対応できるのはこれからというところ 2. トラストアンカーとなる KSK をコピーしてくる手法の信頼性 前頁で紹介した方法だと KSK のキャッシュがすでに汚染していたら 取得した KSK から DS レコードを生成し (dnssec-dsfromkey) 一方で HTTPS で取得した WEB 上の DS レコードを PGP 鍵を利用して真正性を検証 2 つを突き合わせてみる https://data.iana.org/root-anchors/root-anchors.xml 詳しい手法は DNSSEC.jp の web サイトに記載されていますので要確認 http://dnssec.jp/wp-content/uploads/2011/02/20110124-techwgdnssec-trustanchor-install-howto-2.pdf 3. トラストアンカー設定上での注意点 BINDではtrusted-keysにDSを設定するのは DNSKEYじゃないとだめ unboundではdsでもdnskeyでも両方 OK 39

NSEC & NSEC3 NSEC ってなに? 登録していないホスト名についての不在証明レコード 検証した際に そのホスト名のレコードは存在しない ということを証明する zonewalk による露出の危険性 (NSEC) NSEC の場合 zonewalk をすることで登録しているホスト名が意図せずに露出してしまう そのゾーンで管理しているホスト名を問い合わせた際に アルファベット順に次に登録されているレコードが表示される ohmori.example.jp の次の登録レコードは ohmoto.example.jp と表示 それって ohmo(ri~to の ) 間には登録ホストがない事の証明でもある ( というか それが本来の目的なのですが ) zonewalk 対策となる NSEC3 が登場 NSEC3 では FQDN を一方向にハッシュ化して ハッシュ値をてがかりに不在証明 ただし NSEC に較べても キャッシュサーバの処理に結構な負荷がかかる Janog26 民田さん @JPRS の報告参照 http://www.janog.gr.jp/meeting/janog26/doc/post-dnssec-min.pdf NSEC3PARAM は NSEC3 のハッシュ化するにあたって利用するソルト値などを含むパラメータを格納しているレコード 40

DLV(DNSSEC Lookaside Validation)( 参考 ) 通常のドメインツリーとは別にDNSSEC 専用の問い合わせ先を用意し root zoneや上位 TLDが対応していなくとも署名の検証を可能とする仕組み DNSSEC 対応 Root servers DNSSEC 未対応.to 権威 DNS サーバ 上位サーバが対応していない DLV 登録 ohmo.to の権威 DNS サーバ DLV サーバ DLV サーバに登録してないレコードは通常通り問い合わせ RootZone が DNSSEC 対応したのでほぼ役目は終息 リカーシブサーバ 署名検証 DLV サーバの SEP 鍵を登録している 41

OpenDNSSEC その他ツール ( 参考 ) DNSSEC は覚えることも多くて運用するにもかなりの慣れが必要そう 海外のレポートでも DNSSEC に対しての知識がまだエンジニアに浸透していない ( 対応できるエンジニアが少ない ) のが悩みの一つとされている http://www.afilias.info/webfm_send/119 実際に.uk.fr といった TLD レベルでも DNSSEC に起因する障害が発生している ということで 代表的なツールとして OpenDNSSEC というツールが公開されています http://www.opendnssec.org/ (2010 年 2 月現在 ver1.20 が公開中 ) 鍵更新とゾーン署名の自動化や ゾーンの完全性チェック ソフトウェア HSM も含んだツール 他にも http://www.dnssec.net/software に DNSSEC に関連する便利なツールがまとめられています 42

Agenda DNSのおさらい DNSSECの技術概要 権威 DNSサーバ リカーシブサーバ ( リゾルバ キャッシュサーバ ) 海外 国内事業者などのDNSSECへの対応動向 ホスティングとDNSSEC まとめ 43

各 TLD の対応状況 @2007 年 現在と来年春以降のステータス変化 Paul Wouters 氏資料 http://www.xelerance.com/talks/sector/sector2007dnssec.pdf より 44

急速に広がった DNSSEC @2011 年 2 月 http://www.ohmo.to/dnssec/maps/ 45

各アナウンスからの 2011 年末の対応状況予想 46

海外の事業者の動き Comcast(US の CATV ISP) は 顧客向け recursive サーバ ( 複数台 ) で順次署名の検証を有効にしている模様 (5000 ドメイン管理 ) Akamai (CDN 事業者 ) DNS サービスで DNSSEC サポート 47

海外の事業者の動き Blue Cat Network DNSSEC 対応の Virtual アプライアンス発売 Go Daddy 300 円弱 / 月で DNSSEC 対応の ASP サービス 48

日本の事業者の対応状況 JPRS さんのドメイン名登録サービス一覧 http://jpshop.jp/list/gjp_list/gjp_pl1_01.html 49

Agenda DNSのおさらい DNSSECの技術概要 権威 DNSサーバ リカーシブサーバ ( リゾルバ キャッシュサーバ ) 海外 国内事業者などのDNSSECへの対応動向 ホスティングとDNSSEC まとめ 50

ホスティング事業のモデル レジストリ レジストラ ホスティング事業者 PIR Affilias 海外ドメインレジストラ.org メルボルン IT enom など リセラ ( ドメイン販売事業兼 DNS プロバイダ ) カスタマ.info.JP レジストラ指定事業者 cctld レジストリ JPRS ホスティング.jp 51

ホスティング事業と DNSSEC 対応の留意点 DS 登録できるのか レジストラの API が DNSSEC 対応しているか GoDaddy は対応 メルボルン IT はまだ とか 鍵の管理はどうするのか? 顧客のゾーンの秘密鍵の管理方法をどうするのか HSM(Hardware Secure Module) 使う? 検証 ( バリデート ) リカーシブサーバのサービス提供で DNSSEC 対応するのか セカンダリサービスの提供 プライマリは自前で構築 セカンダリは事業者のサーバを利用するケースもある セカンダリを DNSSEC 対応するのか カスタマのプライマリが対応すると知らないうちに大きなゾーンデータがセカンダリに飛んでくる 52

ドメイン事業者移転対応業務 不定期業務 移転元事業者 移転 移転先事業者 レジストラ レジストラ リセラ (DNS プロバイダ ) 移転 リセラ (DNS プロバイダ 顧客の契約満了 別事業者へ移転するケース 事業者間でDNSサービスの移管が発生 DNSSECが絡むことで現状よりも複雑になる 一時的にDS 登録を解除して引き渡す処理が入る パターンも複雑化 移転元 (DNSSEC 対応 未対応 )- 移転先 (DNSSEC 対応 未対応 ) の組み合わせ ) DNSSEC.jp では移転ガイドラインを公開しています http://dnssec.jp/wp-content/uploads/2010/11/20101122-techwgregistrar-transfer-guideline.pdf gtld のレジストラ変更作業のまとめについては 現在鋭意制作中 53

まとめ の前に 54

SCSE の精神とホスティングサービス SCSE って知ってますか? あるテーマパークの運営で徹底されている S(Safety 安全 ) C(Courtesy 礼儀 ) S(Show 演出 見栄え ) E(Efficiency 効率 ) の順で行動を優先する運営 行動指針 テーマパークとホスティングは違うけど 顧客にサービスを提供するという視点では同じじゃないかな? DNSの今の 効率 を優先させて 安全性に目をつぶるのか? 55

まとめ 今現在も危険性は潜在しており 国内外問わず 日々 DNSSEC 対応が進んでいる 本格的な DNSSEC 運用に向けて 負荷を軽減するために色々な機能が開発されてきているので運用への敷居は少しずつ低くなってきている DNSSEC の導入には負担や課題も多いが インターネットの基盤を維持するため まずは導入の検討をすべき 56

ご清聴ありがとうございました 57

オチ まぁ 僕個人のドメインは DNSSEC 未対応の.toドメインなんで DNSSECへの対応は まだDLVのみ taxi@ohmo.to orz 58

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック