Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

Similar documents
ご挨拶

Microsoft PowerPoint - DNSSECとは.ppt

DNSSEC導入に関する世界的動向

Microsoft PowerPoint 版_Root_JPの状況.ppt

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

「DNSSECの現状と普及に向けた課題」

セキュアなDNS運用のために

Windows2008Serverの キャッシュDNSサーバと.biz

DNSSECの基礎概要

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

DNSSEC運用技術SWG活動報告

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

IPアドレス・ドメイン名資源管理の基礎知識

DNSSEC最新動向

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

PowerPoint プレゼンテーション

大規模災害時における、DNSサービスの継続性確保のために

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

スライド 1

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

Microsoft PowerPoint - private-dnssec

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

DNSSEC性能確認手順書v1.2

ccNSO関連報告

DNSSEC機能確認手順書v1.2

Microsoft PowerPoint - soumu-kanesaka.pptx

PowerPoint プレゼンテーション

DNSの負荷分散とキャッシュの有効性に関する予備的検討

スライド 1

Microsoft PowerPoint - 動き出したDNSSEC.ppt

opetechwg-tools

経路奉行・RPKIの最新動向

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

Microsoft PowerPoint - 24_資料3_2008年度概況説明.ppt

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

DNSのセキュリティとDNSに関する技術

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

DNS関連動向Update ~ドメイン名関連~

untitled

ccNSO関連報告

HDE Controller X 1-5. DNS サーバー

PowerPoint プレゼンテーション

いまさら聞けない日本語ドメイン名

Microsoft PowerPoint - 25_4_諮問書説明.ppt

058 LGWAN-No155.indd

JPドメイン名におけるDNSSECについて

DNSSEC技術実験報告書

Root KSK更新に対応する方法

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

Copyright

enog-ryuichi

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

独立行政法人 鉄道建設 運輸施設整備支援機構 電子入札システム 初期設定マニュアル 2019 年 4 月

ネットワークユーティリティ説明書

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

DNSとメール

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

dnssecupdate_tld-ohmoto.ppt

DNSにおけるキャッシュ汚染攻撃

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

登録フォーム/IIJ DNSサービス編

新 gtld の大量追加 これまで.com,.net,.org,.biz,.info, 2013 年 ~.xyz,.berlin,.club,.guru,.photography,. ,.xn--3ds443g,.link,.today,.tips,.company,.solutions,.

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

BACREX-R クライアント利用者用ドキュメント

untitled

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

gtld 等ドメイン名の公開 開示対象情報一覧変更点 株式会社日本レジストリサービス (JPRS) gtld 等ドメイン名の公開 開示対象情報一覧 ( 修正履歴付き ) gtld 等ドメイン名の公開 開示対象情報一覧 ( 整形版 ) 備考 gtld 等ドメイン名の公開 開示対象情報一覧 株式会社日本

Microsoft Word - ReadMe_jpn.rtf

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

DNS: Domain Name

Microsoft PowerPoint - janog15-irr.ppt

SHODANを悪用した攻撃に備えて-制御システム編-

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

untitled

ccTLDの動向

RPKI in DNS DAY

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

キャッシュポイズニング攻撃対策

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

opetechwg-HSM

ルーティングの国際動向とRPKIの将来

会津若松市発注工事における現場代理人の常駐義務の取扱いについて

2

DNSハンズオンDNS運用のいろは

次世代gTLD RDSポリシー策定WG検討状況報告

入札情報サービスシステム(職員)

[給与]給与奉行LANPACK for WindowsNTのサーバーセットアップのエラー

Microsoft PowerPoint - BIND9新機能.ppt

ISP技術者SWG報告書 およびその後の検討状況

2

動作環境 WebSAM Storage VASA Provider 2.4 istorage M110 istorage M310 istorage M310F 対象ディスクア istorage M510 istorage M710 istorage M710F レイ ストレージ制御ソフトリビジョン

Transcription:

DNSSEC の現状 (DNS DAY2011) 株式会社ブロードバンドタワー大本貴

Who am I? 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンに参加 2010 年ブロードバンドタワーに転籍 2

本日お話しすること この一年のDNSSECの動向 update この一年のDNSSECジャパンの活動 運用技術 WGの紹介 ロゴWGの紹介 3

この一年 (2010/11~) の DNSSEC Topics root に.net の DS 登録 (2010/12) root に.jp の DS 登録 (2010/12) JPRS が.jp ドメイン名サービスに DNSSEC 導入 (2011/1) (2011/11 にはキーロールオーバーも実施 ) root に.com の DS 登録 (2011/3) (gtld での最大ドメイン数保持 ) root に.de の DS 登録 (2011/6) (cctld での最大ドメイン数保持 ) 2010/11 時点で 34TLD 2011/11 時点で 64TLD ( 上記と別に IDN-TLD で導入済み 10TLD 13TLD) 合計 77 TLD が DNSSEC 導入済みになった ( 全 310TLD 中 ) (2011/11/16 現在 ) DNSKEY 公開済みは加えて 4TLD(+2 IDN-TLD) で合計 83TLD/310TLD 4

2010/11/25 (Internetweek2010) http://www.ohmo.to/dnssec/maps/ 5

2011/11/17 現在 http://www.ohmo.to/dnssec/maps/ 6

この一年 (2010/11~) の DNSSEC Topics 公表されているドメイン数から見た DNSSEC 対応状況 参考 : 各 TLD のドメイン登録数 ( レジストリ web サイト等で公表されている数字に限る ) gtld 合計 134,344,830 ドメイン DNSSEC 導入済み gtld の管理ドメイン数 132,594,356 ドメイン (98.69%) 前年 (9%) cctld 合計 77,659,219 ドメイン DNSSEC 導入済み cctld の管理ドメイン数 49,446,395 ドメイン (63.67%) 前年 (27%) TLD レベルでは 上記の比率までは DNSSEC Ready になってきている状態 あとはレジストラの対応次第で 各ドメイン登録者が DNSSEC を導入するかどうか選択できるところまで進んできている 現在 このうち何 % が DNSSEC に対応しているかというと 7

DNSSEC ジャパン update 8

活動概要 2009/11/24 設立 活動 2 年目 DNSSECに関係するプレイヤーの相互扶助を目的 ISP IXP ホスティング ドメイン事業者 ベンダ 各種団体等 38 組織が参加 http://dnssec.jp 活動状況 2010 年 12 月 22 日 Security Day 2011 年 2 月 24 日 APRICOT-APAN2011 2011 年 3 月 3 日 Hosting-PRO2011 2011 年 4 月 20 日 DNSSEC 2011スプリングフォーラム 9

DNSSEC ジャパン組織構成 DNSSEC ジャパン 事務局 技術検証 WG 運用技術 WG ロゴ WG 広報 WG 運用ワークショップ 新設 (2011/5) 運用技術 SWG プロトコル理解 SWG 10

技術検証 WG の活動 期間 約 1 年 (2010/1/25~2011/4/11) 活動 定例会合 13 回 各検証項目 実証実験等にて不定期に打合せ 調査 国際動向 技術情報調査 関連ツールの比較調査など 検証 レジストラ移転検証 ネットワーク接続機器検証など 技術検証環境の提供 成果はメンバ内で取りまとめ 資料公開 DNSSEC ジャパンの web サイト (http://dnssec.jp/) にて資料公開中 2011/4/20 DNSSEC.jp Spring Forum 2011 11 11

技術検証 WG が公開している資料 (2010/11~) レジストリの鍵登録インターフェースに関する調査報告技術検証 WG において行った レジストリの鍵登録インターフェースの調査についてまとめた資料 レジストラ移転ガイドライン技術検証 WG において行った DNSSEC 導入後のレジストラ移転 DNS プロバイダ移転方法の検討の報告資料 キャッシュ DNS サーバ DNSSEC 導入ガイドラインキャッシュ DNS サーバへの DNSSEC 導入についてのガイドラインをまとめた資料 DNS サーバ DNSSEC 導入 Load Balancer 機能チェックリスト DNS サーバへの DNSSEC 導入に伴い DNS サーバ上位の NW 機器においても考慮しなければならない確認事項をとりまとめた資料 DNSSEC ツール調査報告 DNSSEC に対応するツールやサービス ライブラリの調査を行いました その結果をとりまとめた資料 DNSSEC における鍵管理 DNSSEC における鍵管理の基本的なライフサイクルを説明したガイドライン DNS サーバ DNSSEC 導入鍵管理チェックリスト DNS サーバへの DNSSEC 導入に伴う 鍵の作成と管理において考慮すべき確認事項を取りまとめた資料 12

運用技術 WG WG の活動目的.jp での DNSSEC 運用も開始し サービスへ導入した事業者も出てきている中で 先達が解決してきた様々な技術的知見を集約し DNSSEC の運用を行っていくのにあたり技術情報をまとめ 活用してもらいたい また 現在 DNSSEC へ足踏みしている技術的課題 政治的課題について調査し 導入への障壁を明らかにしたい 活動状況 これまでに 8 回の WG を開催 10 年 6 月 14 日より 3 週間に 1 度の開催 導入組織での失敗事例 HSM DPS についての勉強会 アンケートの実施 (DNSSEC 導入への障壁は何かをヒアリング ) メンバは親会から参加 成果はメンバ内で取りまとめ 資料公開をめざす 13

運用技術 WG の公開資料 リリース 5 以前の RedHat Enterprise Linux およびその互換 OS をセカンダリサーバとして用いるゾーンへの DNSSEC の導入にあたっての注意喚起 http://dnssec.jp/?page_id=570 DNSSEC の validation を有効にしているキャッシュサーバが 再帰的問い合わせの過程でセカンダリサーバから応答を得ると validation に失敗する 当該ゾーンが不在証明の方式として NSEC3 を採用しているとき DNSSEC の validation を有効にしているキャッシュサーバが 再帰的問い合わせの過程でセカンダリサーバから応答を得ると 不在証明に失敗する RHEL 系で yum install bind な人は是非ご一読を その他これまでの活動成果は現在取りまとめ中 年明けから年度末に向けて公開していく予定 14

ロゴ WG の紹介 DNSSEC Ready ロゴを製作中 自組織のサービスや製品が DNSSEC Ready だと表明する素材を提供 4 つのカテゴリーでチェックリストを作成 キャッシュ DNS サーバ 権威 DNS サーバ ドメイン登録 ( 登録者 登録事業者等 ) 製品 ( ネットワーク機器 DNS サーバ製品 鍵管理製品等 ) チェックリストを自己チェックして 適合していたら DNSSEC Ready ロゴマークを利用してください 15

DNSSEC Ready ロゴ 16

利用規定 ( 抜粋 ) DNSSEC Ready ロゴおよび DNSSEC Ready チェックリスト ( 以降 本ロゴおよび本チェックリストとする ) は 商用 非商用を問わず提供する製品やサービスがどの程度 DNSSEC に対応しているかを客観的に示すためのものである 本ロゴおよび本チェックリストは 特定のサービスあるいは製品が DNSSEC に対応していることを表明する手段として利用できる 本ロゴおよび本チェックリスト利用者は 本規定第 2 項で定めるカテゴリーにおいて対象のサービスあるいは製品に該当するチェックリストを自らチェックし 適合が確認できた場合に 適合するサービスあるいは製品を明示した上で本ロゴを利用できる ただし 本ロゴは DNSSEC ジャパンが何らかの認定を与えるものではない 17

チェックリスト ( 抜粋 ) キャッシュ DNS サーバチェックリスト (2011 年 11 月 4 日版 ) このチェックリストは キャッシュ DNS サーバが DNSSEC に関する問い合わせを正しく処理し クライアントに適切な応答を返すことができることを確認する 利用者が DNSSEC Ready ロゴマークを使用するためには このチェックリストの中で該当する各項目に適合することが求められる 他のカテゴリーのチェックリストを参照している部分については そのチェック結果を添付すること 機能の確認 ネットワーク機器 ( ルータ F/W IPS IDSなどのセキュリティ機器 負荷分散装置など ) を含むシステムとしての機能の確認製品チェックリストの汎用ネットワーク機器製品に対応していることキャッシュDNSサーバの機能の確認 EDNS0に対応していること TCP/UDPともSRCもしくはDSTのPort53 宛てのパケットを送受信できること 512バイトより大きいペイロードを持つパケットを送受信できること IPフラグメントパケットを送受信できること UDPフラグメントの再構成が正しく行われること権威 DNSサーバにDO(DNSSEC OK DNSSECの情報を要求する ) ビットをつけて問い合わせ可能なことクライアントからのDO CD(Checking Disabled DNSSEC 検証を行わない ) の要求を正しく解釈して取り扱えること署名検証成功時はAD(Authentic Data DNSSEC 検証の成功 ) ビットをつけて応答すること署名検証失敗時はSERVFAILを応答すること 18

DNSSEC ジャパン全体としての活動 PGP 鍵管理検討 ICANN/IANAが公開しているルートゾーンの鍵に署名しているPGP 鍵の真正性をどうやって実証するか ICANNのレターヘッドの付いたfinger printを ICANN 大久保さんが海外から持ってきてくれた (JANOG28で読み上げていただいた ) DNSSEC ジャパンの今後の活動 2011 年 3 月に活動終了予定 2011 年春にイベント開催予定 公開している資料等については公開継続 19

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック