ご挨拶

Similar documents
Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

DNSSECの基礎概要

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint - DNSSECとは.ppt

スライド 1

DNSSEC運用技術SWG活動報告

スライド 1

opetechwg-tools

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

Microsoft PowerPoint 版_Root_JPの状況.ppt

DNSSEC導入に関する世界的動向

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

Microsoft PowerPoint - private-dnssec

DNSSEC性能確認手順書v1.2

セキュアなDNS運用のために

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

DNSSEC機能確認手順書v1.2

DNSのセキュリティとDNSに関する技術

スマート署名(Smart signing) BIND 9.7での新機能

DNSの負荷分散とキャッシュの有効性に関する予備的検討

キャッシュポイズニング攻撃対策

DNSハンズオンDNS運用のいろは

Microsoft PowerPoint - BIND9新機能.ppt

SOC Report

DNSとメール

学生実験

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

DNSSEC技術実験報告書

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

HDE Controller X 1-5. DNS サーバー

Microsoft PowerPoint - 動き出したDNSSEC.ppt

DNSSEC最新動向

Knot DNS

Microsoft PowerPoint - bind ppt

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

JPドメイン名におけるDNSSECについて

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

経路奉行・RPKIの最新動向

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

Root KSK更新に対応する方法

058 LGWAN-No155.indd

Windows2008Serverの キャッシュDNSサーバと.biz

DNSSECトラブルシューティング

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

初心者のためのDNSの設定とよくあるトラブル事例

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

Microsoft PowerPoint - janog15-irr.ppt

アルファメール 移行設定の手引き Outlook2016

opetechwg-HSM

PowerPoint プレゼンテーション

アルファメールプレミア 移行設定の手引き Outlook2016

REX-USB56 「FAX送信」編 第6.0版

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

Microsoft PowerPoint - RFC4035.ppt

メールデータ移行手順

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

使用する前に

Microsoft PowerPoint - soumu-kanesaka.pptx

REX-C56EX FAX送信 第5.0版

のコピー

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

権威DNSサーバ 脱自前運用のススメ

ESET NOD32 アンチウイルス 8 リリースノート

OpenDNSSECチュートリアル

16 e-tax e-tax e-tax e-tax GPKI e-tax e-tax URL

UCCX ソリューションの ECDSA 証明書について

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

KDDI ペーパーレスFAXサービス

金融工学ガイダンス

使用する前に

アルファメールプレミア 移行設定の手引き

PowerPoint プレゼンテーション

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

DNSSECチュートリアル ~実践編~

ISP技術者SWG報告書 およびその後の検討状況

メールソフト設定ガイド

PASSEXAM

DNSサーバー設定について

ez_mail-err-reflect-file.ppt

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

第5回 マインクラフト・プログラミング入門

初心者のためのDNSの設定とよくあるトラブル事例

Microsoft PowerPoint - OP25全ソフト設定_suruga0106.ppt

Transcription:

DNSSEC 入門 DNSSEC への対応 2013/05/29 日本インターネットエクスチェンジ株式会社 日本 DNS オペレーターズグループ 石田慶樹

Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 2

Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 3

DNSSEC 対応 DNSSEC 対応には 署名側 検証側の両方の対応が必要 4

DNSSEC 対応 署名側の対応 レジストリ レジストラ DNSホスティング 検証側 上位アプリ 企業 / 組織 ISP 権威 DNSサーバで キャッシュDNSサーの対応バでの対応それぞれのサーバでのDNSSEC 対応について紹介 5

Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 6

権威 DNS サーバの役割 2 種類の署名鍵の公開 KSK ZSK 署名 (RRSIG) の公開 問い合わせに対して署名を応答する 不在証明 存在しない ことを証明 下位ゾーンの委譲 (delegation) 下位ゾーンのKSK 相当 ( ハッシュ値 ) を自ら署名して公開 信頼の連鎖を形成 7

権威 DNS サーバの DNSSEC 対応 通常の権威 DNSサーバの運用 準備作業 DNSSEC に対応した最新のソフトウェア BIND9(9.7 系以降でISCのサポートのあるもの ) NSD(3.2 系の最新のもの ) 鍵の作成とゾーンの署名に ldns 等が必要 サーバの時刻同期 署名に有効期限が存在 512 バイト超の DNS 応答への対応 EDNS0, TCPフォールバックおよびIPフラグメントへの対応 サーバ自身のフィルタおよびミドルボックス 8

権威 DNS サーバの DNSSEC 対応 DNSSEC 対応に伴って新たに発生する事項 1 RR への署名 / 署名の更新 2 署名鍵の定期的な更新 ( ロールオーバー ) 3 下位ゾーンの DS レコードの追加と署名 自ゾーンの DS レコードを上位ゾーン ( の管理者 ) に通知 レジストラを介してレジストリへ通知 9

1 RR への署名 / 署名の更新 ゾーン内の各レコードに対する RRSIG の生成 不在証明の生成 ゾーンを編集したら必ず署名 ゾーンを編集しなくても定期的に署名 署名には有効期間 ( 有効時限 ) が存在 放置したまま有効期間が過ぎると署名が無効になり名前が引けなくなる 10

2 鍵の更新 ( ロールオーバー ) 同じ鍵を長期間使い続けることは危険 DNSSEC に限らず SSL/TLS/SSH 等でも同様 リスクの程度は暗号アルゴリズム 鍵長 期間に依存 リスクを低減させるため鍵を更新 定期的な更新 イベントドリブンでの更新 DNSSEC では定期的な更新を推奨 11

2 鍵の更新 ( ロールオーバー ) DNS ではキャッシュが分散して存在 鍵に関する情報 署名に関する情報も分散 TTL が過ぎていない間はどこかのキャッシュ DNS サーバ上で保持されている可能性 鍵の更新時にキャッシュされている更新前の情報との整合性まで気をつけることが必要 鍵の更新は段階を踏んで実行 権威 DNS サーバの DNSSEC 対応で面倒かつ最もトラブルを引き起こしやすい作業 12

2 鍵の更新 ( ロールオーバー ) 運用上の必要性から鍵を 3 つの状態で管理 Published 鍵がゾーン上で公開されているが 署名 検証には使われていない Active 公開され 署名 検証に使われる Inactive 署名 検証には使われないが ゾーン上で公開されている 13

2 鍵の更新 ( ロールオーバー ) KSK と ZSK の両方で更新が必要 更新頻度は KSK と ZSK で別 KSK については上位ゾーンの DS の更新も必要 ベストプラクティス的な手法が存在 ZSK については事前公開法 KSK については二重署名法 キャッシュされている情報でも不整合が発生しないための運用上の手法 14

2 鍵の更新 ( ロールオーバー ) ZSK: 事前公開法 新しい鍵を署名に先駆けて公開する手法 署名は常に一つの鍵でのみ 鍵の公開と署名のタイミングが別 手順 1. 新鍵を公開 ( 公開のみで署名には使わない ) 2. DNSKEY の TTL 以上の時間後まで待つ ( 新旧の鍵がキャッシュサーバで見えるようになる ) 3. 署名に使う鍵を新鍵に切替 ( 旧鍵はゾーンには残す ) 4. RRSIG の TTL 以上の時間後まで待つ ( 旧鍵による署名がキャッシュサーバから消滅 ) 5. 旧鍵を削除 15

2 鍵の更新 ( ロールオーバー ) ZSK: 事前公開法 キャッシュに新旧の DNSKEY が存在 キャッシュに新旧の署名が存在 ZSK( 旧 ) Active Inactive ZSK( 新 ) Published 図 Active ZSK( 新 ) による署名を作成 ZSK( 旧 ) による署名を削除 ZSK( 新 ) を公開 DNSKEY の TTL RRSIG の TTL ZSK( 旧 ) を削除 t 16

2 鍵の更新 ( ロールオーバー ) KSK: 二重署名法 レコードを新旧 2 つの鍵で別々に署名 KSK は ZSK を署名するものであるため対象は少ない 上位ゾーンとの DS レコードのやり取りを最小 ( ロールオーバー毎に 1 回 ) にするための手順 手順 1. 新鍵を公開し新旧両方の鍵で署名 2. DNSKEY の TTL 以上の時間後まで待つ ( 新旧の鍵がキャッシュサーバで見えるようになる ) 3. 上位ゾーンに登録する DS を新鍵のものに変更 4. 上位ゾーンの TTL 以上の時間後まで待つ ( 旧鍵の DS がキャッシュサーバから消滅 ) 5. 旧鍵と旧鍵による署名を削除 17

2 鍵の更新 ( ロールオーバー ) KSK: 二重署名法 キャッシュに新旧の DNSKEY が存在 キャッシュに新旧の DS が存在 KSK( 旧 ) Active Inactive KSK( 新 ) Active KSK( 新 ) を公開 KSK( 新 ) による DNSKEY の署名を公開 DNSKEY の TTL 上位ゾーンの DS を KSK( 旧 ) の DS から KSK( 新 ) の DS に変更 上位ゾーンの DS の TTL KSK( 旧 ) を削除 KSK( 旧 ) による DNSKEY の署名を削除 18 t

3 下位ゾーンの DS レコードの登録 下位ゾーンから渡される DS レコードの管理 作業として DS レコードの更新 ( 追加 / 削除 ) が発生 KSK の更新ごとに作業が発生 レジストリ レジストラ間は何らかの I/F を介して通知 (EPP や Web UI 等 ) 19

権威 DNS サーバの運用 手順とパラメータの決定 ゾーンに署名するためにはパラーメータと手順を事前に定めることが必要 手順 ゾーンの更新 ゾーンの署名 ZSK の更新 KSK の更新 20

決定するパラメータ パラメータの決定 暗号アルゴリズムと鍵長 RSASHA256が一般的 KSK 2048bit, ZSK 1024bit 楕円曲線暗号も利用可能 (ECDSA, GOST) 不在証明 署名が短くなるというメリット 対応していないパッケージ等も存在 様々な要因から直近の普及は見込薄 計算量が少ないがゾーンの情報をすべて辿れるNSEC 計算量が多いがゾーン情報は辿られないNSEC3 21

パラメータの決定 ( 続き ) 決定するパラメータ 鍵の更新間隔 KSKは1 年程度 ZSKは1, 2か月程度が標準的 署名有効期間 ゾーン内レコードの最長 TTLより長くする SOA expireより長くする 2 週間から2カ月程度が標準的 22

権威 DNS サーバの運用 レジストラの対応状況の確認 すべてのレジストラが対応している状況ではない DS 取次を提供するレジストラであることが必須 DNSSEC 対応による定常的な運用負荷は増加 鍵の管理 ( 鍵の生成と更新 ) 署名の管理 ( ゾーンの署名と更新 ) DS の登録 ( 上位ゾーンとの定期的なやり取り ) 23

権威 DNS サーバの運用 権威 DNS サーバの構成の見直し サーバ負荷の上昇に伴うシステム数の見直し ソフトウェアの変更やアプライアンスの導入 Hidden Masterの導入 HSMの導入 24

権威 DNS サーバの運用 Hidden Master 構成への変更 DNS 問合せ 外部に非公開のサーバをマスターサーバ マスターではゾーン管理と鍵と署名の管理のみ スレーブにゾーン転送 問合せへの応答はスレーブのみ マスターサーバでの変更を確認後に公開 Master Slave ゾーン転送 example.jp. IN NS master.example.jp. IN NS slave.example.jp. DNS 問合せ Slave Slave ゾーン転送 Hidden Master example.jp. IN NS slave1.example.jp. IN NS slave2.example.jp. 25

権威 DNS サーバの運用 HSM( ハードウェア セキュリティ モジュール ) の導入 ハードウェアによる鍵の管理 HSM を利用した DNSSEC の運用に関する考察 http://dnssec.jp/?page_id=792 コストとの見合い http://dnssec.jp/?page_id=792 より 26

権威 DNSサーバの運用 運用負荷を低減するために 手順書の作成 構成の変更 ( ハード ソフト アプライアンス ) ツールの導入による自動化 アウトソーシングの検討 27

権威 DNS サーバの運用 qmail からメイルが送信できなくなる問題 qmail が行う ANY の問い合わせに 512 バイト以上の応答が返ってくるドメインにメイルが送信不能 qmail の不具合 非公式パッチで対応可能 http://www.ckdhr.com/ckd/qmail-103.patch DNSSEC で署名すると応答パケットサイズが 512 バイトを超える DNSSEC 以外でも 512 バイト超だと同様の不具合が発生 1 週間後のバウンスメールにより不達が判明 送信側は設定変更なしのため受信側の問題と認識 受信側 ( 署名を行った側 ) では気づけず この qmail の不具合により DNSSEC 対応に二の足を踏むドメインも存在 28

Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 29

キャッシュ DNS サーバの役割 通常のキャッシュDNSの機能 DNSSECの署名の検証 RRsetの正当性を検証 30

キャッシュ DNS サーバの役割 6. 署名検証 キャッシュ DNSサーバ 1. 再帰問合せ スタブリゾルバ 2. 反復検索 (do bit) 4.DS/DNSKEY 問合せ トラストアンカー 7. 結果 3. 検索結果 5. 結果 権威 DNS サーバ 権威 DNS サーバ 権威 DNS サーバ 31

キャッシュ DNS サーバの役割 検証結果による応答 DS が登録されていない 署名されていない :ad bit なしで RRset を応答 (Indeterminate) 署名されている :ad bit なしで RRset を応答 (Insecure) DS が登録されている 検証に成功 :ad bit 付きで RRset を応答 (Secure) 検証に失敗 :SERVFAIL を応答 (Bogus) 32

キャッシュ DNS サーバの DNSSEC 対応 通常のキャッシュDNSサーバの運用に追加 準備作業 DNSSEC に対応した最新のソフトウェア BIND9(9.7 系以降でISCのサポートのあるもの ) Unboud(1.4 系の最新のもの ) サーバの時刻同期 署名に有効期限が存在 512 バイト超の DNS 応答への対応 EDNS0, TCPフォールバックおよびIPフラグメントへの対応 サーバ自身のフィルタおよびミドルボックス 33

キャッシュ DNS サーバの DNSSEC 対応 設定の追加 BINDは設定追加とトラストアンカーの設定 Unboundはトラストアンカーの設定 Rootゾーンのトラストアンカー(TA) の追加 何らかの方法で. の DNSKEY(KSK) を取得 DNSで取得 Webから取得 取得した DNSKEY が正しいかの確認 ハッシュ値の確認 34

キャッシュ DNS サーバの DNSSEC 対応 トラストアンカーの自動更新の設定 5 年毎にトラストアンカーの更新が必要 RFC5011 に自動更新が規定 次の更新が最初の更新 ( 導入されて 5 年経っていない ) 35

キャッシュ DNS サーバの DNSSEC 対応 設定の確認 検証出来ていることを確認 サーバ上で dig を利用して確認 配下のスタブリゾルバ ( 端末 ) で確認 検証用の Web サーバへの接続 日常的な運用業務 権威 DNS サーバのように定期的に作業が発生するわけではない トラブル対応による運用負荷は少なくない 36

キャッシュ DNS サーバの運用 定期的に発生する作業は不要 監視と対応は不可欠 権威 DNSサーバ側での不具合に対応 監視とトラブルシューティングの負荷が増大 トラブル解決のための方針と手順が必要 37

キャッシュ DNS サーバの運用 監視とトラブルシューティング ドメインの検証失敗の監視 検証失敗はポイズニングではなく権威 DNS 側の署名失敗がほとんど 権威 DNS の署名失敗によりキャッシュ DNS 側で署名検証に失敗 検証失敗は SERVFAIL となるためユーザが接続不能 DNSSEC 対応キャッシュ DNS でのみ名前解決が失敗 影響の大きいゾーン ( ルートに近いゾーン ) で生じるとインパクトが巨大 38

キャッシュ DNS サーバの運用 監視とトラブルシューティング ( 続き ) 監視を行いトラブル時に対応 対応策 1 相手が復旧するまで待つ ユーザへの告知 場合によっては何らかの方法での先方への通知 2 検証を一時的に中断 影響が大きい場合 ソフトウェアにより検証そのものの中断か該当するゾーンのみの中断かのいずれかにより対応 39

まとめ DNSSEC 対応は署名側と検証側の両輪が揃ってはじめて実現 署名側の権威 DNS サーバは定常的に作業が必要 検証側のキャッシュ DNS サーバは監視とトラブル時の対応手順の準備が必要 40

DNSSEC ジャパン成果物 技術検証 WG タイトル DNSSEC の仕組みと現状 DNSSEC の仕組みと現状について簡略にまとめました (pdf 形式, 340kB, 12p) DNSSEC 導入に当たって DNSSEC 導入 / 対応とは? 検討しておくべき項目を事業者毎にまとめました (pdf 形式, 399kB, 19p) DNSSEC を利用するリゾルバーのためのトラストアンカーの設定方法について第 2 版 DNSSEC を利用する DNS キャッシュサーバ ( またはリゾルバー ) のために 現段階でよいと考えられる トラストアンカーのデータを入手し確認する方法を説明しています 第 2 版では ルートゾーンの最新情報 KSK の更新等について 9. 日常的な運用のために を追加しました (pdf 形式, 160kB, 5p) レジストリの鍵登録インターフェースに関する調査報告技術検証 WG において行った レジストリの鍵登録インターフェースの調査についてまとめました (pdf 形式, 358kB, 4p) レジストラ移転ガイドライン技術検証 WG において行った DNSSEC 導入後のレジストラ移転 DNS プロバイダ移転方法の検討の報告資料です 移転時の注意事項 移転パターンの紹介 DNSSEC ジャパン推奨の移転方法と推奨の理由等をまとめました (pdf 形式, 433kB, 25p) キャッシュ DNS サーバ DNSSEC 導入ガイドラインキャッシュ DNS サーバへの DNSSEC 導入についてのガイドラインをまとめました (pdf 形式, 180kB, 8p) 公開日 2010/11/24 2010/11/24 2011/2/7 2010/11/24 2010/11/24 2011/3/9 41

DNSSEC ジャパン成果物 技術検証 WG( 続き ) タイトル DNS サーバ DNSSEC 導入 Load Balancer 機能チェックリスト DNS サーバへの DNSSEC 導入に伴い DNS サーバ上位の NW 機器においても考慮しなければならない確認事項をとりまとめました (pdf 形式, 193kB, 7p) DNSSEC ツール調査報告 DNSSEC に対応するツールやサービス ライブラリの調査を行いました その結果をとりまとめたものです (pdf 形式, 172kB, 10p) DNSSEC における鍵管理 DNSSEC における鍵管理の基本的なライフサイクルを説明し ガイドラインを提供しています (pdf 形式, 287kB, 9p) DNS サーバ DNSSEC 導入鍵管理チェックリスト DNS サーバへの DNSSEC 導入に伴う 鍵の作成と管理において考慮しなければならない確認事項を取りまとめました (pdf 形式, 172kB, 6p) DNSSEC gtld レジストラ移転実験報告レジストラ移転ガイドラインに沿った形で実際に行ったレジストラ移転実験の報告を取りまとめました (pdf 形式, 163kB, 10p) 公開日 2011/3/9 2011/4/1 2011/4/18 2011/4/18 2012/7/12 42

DNSSEC ジャパン成果物 運用技術 WG タイトル リリース 5 以前の RedHat Enterprise Linux およびその互換 OS をセカンダリサーバとして用いるゾーンへの DNSSEC の導入にあたっての注意喚起リリース 5 以前の RedHat Enterprise Linux およびその互換 OS をセカンダリサーバとして用いているゾーンで DNSSEC を有効にしたときに観測された問題点の提示と注意喚起 ( 印刷用 pdf 形式, 152kB, 5p) DNSSEC ゾーン検証ツール調査報告署名後のゾーンを正しく検証できるかどうかを公開前に事前テストすることの必要性と それを行うためのツールの紹介 ( 印刷用 pdf 形式, 198kB, 6p) HSM を利用した DNSSEC の運用に関する考察権威 DNS サーバーへの DNSSEC 導入において HSM の導入意義や利用方法の情報と HSM 導入要否の判断の材料を提供 ( 印刷用 pdf 形式, 1.2MB, 14p) ISP 等の DNSSEC 対応における DPS 作成 公開の検討 ISP 等がその DNS サービスにおいて DNSSEC 対応を行う際の DPS 公開についてのメリットと課題 ( 印刷用 pdf 形式, 150kB, 4p) 失敗事例研究まとめ DNSSEC 先行導入組織における失敗事例を調査および考察することで 将来 DNSSEC を導入する組織に対しての知見とすべく 失敗事例情報をまとめた ( 印刷用 pdf 形式, 720kB, 4p) DNSSEC 運用失敗事例の研究総括 DNSSEC 先行導入組織における失敗事例から得られた知見の総括 ( 印刷用 pdf 形式, 243kB, 5p) 公開日 2011/10/5 2012/4/16 2012/4/17 2012/4/24 2012/7/12 2012/7/12 43

謝辞 本資料を作成するにあたり 其田学氏 ( 三洋 ITソリューションズ ) 舩戸正和氏 ( 日本レジストリサービス ) 山口崇徳氏 ( インターネットイニシアティブ ) の 3 氏にご協力いただきました 44

Agenda DNSSEC 対応 権威 DNSのDNSSEC 対応 キャッシュDNSのDNSSEC 対応 45

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック