opetechwg-tools

Similar documents
ご挨拶

DNSSEC運用技術SWG活動報告

Microsoft PowerPoint - private-dnssec

スマート署名(Smart signing) BIND 9.7での新機能

DNSSECの基礎概要

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

スライド 1

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

DNSSEC性能確認手順書v1.2

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

DNSSEC導入に関する世界的動向

DNSSEC機能確認手順書v1.2

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

Microsoft PowerPoint - DNSSECとは.ppt

DNSのセキュリティとDNSに関する技術

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

koboデスクトップアプリ ユーザーガイド

OpenDNSSECチュートリアル

スライド 1

Microsoft PowerPoint - BIND9新機能.ppt

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint - bind ppt

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

学生実験

DNSハンズオンDNS運用のいろは

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint - 動き出したDNSSEC.ppt

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

夏の DNS 祭り Unbound/NSD ハンズオン 株式会社ハートビーツ滝澤隆史

のコピー

JAIPA-DNSSEC

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

ENOG18-unbound-takata-2.pptx

2014 年 6 月 26 日 DNS Summer Days 2014 チュートリアル 1 DNS 設定例例の紹介 権威 DNS サーバ編 DNSOPS.JP 高嶋隆 一 aka 酔っ払い.jp

enog-ryuichi

Microsoft PowerPoint 版_Root_JPの状況.ppt

dns-summer-knotdns-mikit-3.pptx

PowerPoint プレゼンテーション

Knot DNS

DNS Summer Days 2014 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

untitled

キャッシュサーバの設定

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

ISP技術者SWG報告書 およびその後の検討状況

DNSSECチュートリアル [ ]

DNSSEC最新動向

TechnicalBrief_Infoblox_jp.indd

用 2

日本語ドメイン名運用ガイド

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

IPv6アドレス JPNICでの逆引きネームサーバ登録と逆引き委譲設定の方法

DNSサーバー設定について

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

DNS Summer Days 2013 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

電子申告の達人とは 申告書作成ソフト ( 達人シリーズ ) で作成した申告 申請等データを電子申告データに変換し 署名 送信からメッセージボックスの確認までの一連の操作を行うことができます 2

DNSを「きちんと」設定しよう

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

DNSSECチュートリアル ~実践編~

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

権威DNSサーバ 脱自前運用のススメ

PowerPoint プレゼンテーション

SOC Report

目次 1. e-tax の登録情報の変更 1-1. 暗証番号の変更 ( 参考 ) 複数の利用者の暗証番号をまとめて変更する 1-2. 暗証番号の保存 ( 電子申告の達人のデータベースに保存する ) ( 参考 ) 暗証番号の削除 ( 電子申告の達人のデータベースから削除する ) 2. eltax の登

janog315-openresolver-5.pptx

opetechwg-HSM

Root KSK更新に対応する方法

Unboundの紹介

データ送信手順 2

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

Microsoft PowerPoint - RFC4035.ppt

DNSの負荷分散とキャッシュの有効性に関する予備的検討

Microsoft PowerPoint Windows-DNS.pptx

untitled

セキュアなDNS運用のために

BACREX-R クライアント利用者用ドキュメント

Copyright

DNSSEC技術実験報告書

DNSSECチュートリアル

電子申告の達人とは 法人税の達人 などの 申告書作成ソフト で作成した申告 申請等データを電子申告データに変換し 署名 送信から受信確認までの一連の操作を行うことができます 2

はじめに 本ドキュメントでは Salesforce 標準機能である 変更セット を使用して Visualforce ページ Apex クラスを Sandbox から本番環境に移行する手順を説明します 但し前提条件として Sandbox 本番環境共に SkyVisualEditor がインストールされ

poisoning_ipsj

経 緯

電子入札システム利用時に必要な Internet Explorer のオプション設定手順 2011 年 3 月版 電子入札システムを利用する上で必要な Internet Explorer の設定について下記に示します ご利用の OS とブラウザのバージョンを確認し 設定を行ってください 1. Win

2016年6月24日 DNS Summer Day 2016 PowerDNS

初心者のためのDNSの設定とよくあるトラブル事例

Microsoft PowerPoint - internetweek2011-s03-4-public [互換モード]

DNSとメール

お客様からの依頼内容とその現状

R80.10_FireWall_Config_Guide_Rev1

Transcription:

DNSSEC ゾーン検証ツール調査報告 平成 24 年年 4 月 DNSSEC ジャパン運 用技術 WG

目次 1. はじめに... 1 1.1. 背景... 1 1.2. 注意事項... 2 2. ゾーン検証ツールの紹介... 2 2.1. BIND... 2 2.1.1. named- checkzone... 2 2.1.2. dnssec- signzone... 3 2.2. OpenDNSSEC... 3 2.3. ldns- verify- zone... 3 2.4. YAZVS (Yet Another Zone Validation Script)... 4 2.5. validns... 5 2.6. donuts... 5 2.7. dig / drill... 6 1. はじめに 1.1. 背景 DNSSEC は正しく鍵を管理理して正しい 手順で正しく署名していれば 基本的に署名の有効期間内は検証に失敗することはないはずである しかし 鍵と署名の管理理は煩雑であり 慣れていないと間違いが発 生しやすい また 過去には正しい 手順で署名したにもかかわらず 署名プログラムのバグにより検証できないゾーンを公開してしまった cctld の事例例もあり 署名後のゾーンが正しく検証できるかどうかを公開前に事前テストすることは運 用上有 用だと考えられる しかし DNSSEC 署名は 人間が 目視でチェックできるようなものではないため 検証には正当性を機械的に判断できる 手段が必要になる DNSSEC ジャパン運 用技術 WG では今回そのようなツールについて調査をおこなったので その成果を報告する 1

なお インターネット上に公開されているゾーンに対して 署名を正しく検証できるかどうかをテストするネットワーク上のサービスもいくつか存在しているが 公開前にチェックをおこなうという観点からこの報告では取り上げない そのようなサービスについては技術検証 WG より報告されている DNSSEC ツール調査報告 の分類 D の項を参照されたい http://dnssec.jp/?p=489 1.2. 注意事項 免責事項 本ドキュメントは保証されたものではない 下記 Web サイトの免責事項を 確認のうえ 本ドキュメントを使 用して頂きたい http://dnssec.jp/?page_id=16 問合せ先 本ドキュメントに関する改善点などのコメントは下記事務局まで連絡いた だきたい DNSSEC ジャパン事務局 <sec@dnssec.jp> 2. ゾーン検証ツールの紹介 2.1. BIND ISC BIND に付属するユーティリティにはゾーンファイルの検証に有 用なものが含まれている 2.1.1. named-checkzone 文法チェックをおこなうツール DNSSEC に特化したものではなく 検証できない署名があったとしても 文法的に間違っていなければ有効期間外の署名レコードなどごく 一部の例例外を除いて警告を出したりはしないため DNSSEC のテストという意味では 力力不不 足である しかし 署名前のゾーンファイルに対するチェックは強 力力なので まず署名前のゾーンファイルに対して named- checkzone でテストし これで問題なければ署名をおこない さらに後述する 2

ような検証ツールでテストしてからゾーンを反映させるという 手順を踏むとよ いだろう 2.1.2. dnssec-signzone DNSSEC 署名をおこなうツールだが 実 行行時の引数に - a を加えると署名後にそれが正しいかどうかの検証をおこなう ただし 署名と検証を同じプログラムでおこなうので 両者でコードを共有している部分に万が 一バグが存在していると 見見逃す可能性もありうる点は注意が必要である 2.2. OpenDNSSEC OpenDNSSEC project による BSD ライセンスの DNSSEC 運 用ツール http://www.opendnssec.org/ 署名されたゾーンが正しく検証できるか内部的にチェックして 検証に成功したゾーンだけを DNS サーバにロードさせるような仕組みを備えている ただし 近 日リリースが予定されている OpenDNSSEC 1.4 からはこの検証機能が廃 止されることになっているので注意が必要である その他 OpenDNSSEC 以外の DNSSEC 運 用ツールにも 同様にゾーンの検証機能が具備されているものが多い 利利 用しようとするツールの機能を調べておくとよいだろう 2.3. ldns-verify-zone 権威 DNS サーバ NSD や参照 DNS サーバ Unbound などで知られる NLNet Labs は DNS 関連のプログラムを C で開発する際に有 用なライブラリ ldns も提供している http://nlnetlabs.nl/projects/ldns/ このライブラリにはサンプルプログラム扱いながら DNS/DNSSEC 運 用に役 立立つユーティリティがいくつか含まれており その中の ldns- verify- zone がゾーンファイル内にある署名レコード (RRSIG) が DNSKEY レコードに記述されている公開鍵で正しく検証できるかどうか 不不在証明 (NSEC/NSEC3) が適切切かどうかといったチェックをおこなう 3

> ldns-verify-zone example.jp.signed Checking: example.jp. Checking: ns1.example.jp. Checking: ns2.example.jp. Checking: mx.example.jp. Checking: www.example.jp. Zone is verified and complete 2.4. YAZVS (Yet Another Zone Validation Script) Verisign Labs による DNSSEC 署名されたゾーンファイルの検証ツール GPLv2 ライセンスの perl スクリプトで ルートゾーンや arpa ゾーンは公開前に実際にこのスクリプトを使って検証されているという http://yazvs.verisignlabs.com/ DNSKEY と RRSIG の対応が正しいかどうかといったゾーン内部で完結する署名検証だけではなく トラストアンカーとして上位 NS に登録されている DS レコードを指定することで KSK と DS レコードが正しく対応しているかも確認することができる > yazvs.pl -a dsset-example.jp. example.jp.signed Crypto Validation of example.jp 1330625701 ---------------------------------------------------------------------- OK: Parsed 32 RRs from example.jp.signed OK: 1 trusted KSKs found OK: Apex DNSKEY RRset validated OK: 0 expiring RRSIGs found OK: 0 bad RRSIGs found OK: 15 good RRSIGs found Comparison to current zone ---------------------------------------------------------------------- OK: Received 32 RRs from 192.168.0.1 OK: Current serial 1330625701 DIFF: KSK 0 added, 0 removed, 1 unchanged DIFF: ZSK 0 added, 0 removed, 1 unchanged DIFF: RRSIG 0 added, 0 removed, 15 unchanged DIFF: DS 0 added, 0 removed, 1 unchanged Validation for example.jp 1330625701 PASSED, 0 problems 4

2.5. validns Anton Berezin 氏による BSD ライセンスのゾーンファイル検証ツール http://www.validns.net/ 前述の YAZVS や ldns- verify- zone は DNSSEC の検証に特化したものだが この validns は未署名ゾーンの 文法チェックもおこなうことも可能である named- checkzone に DNSSEC 検証の機能を追加したものと考えるといいだろう 開発が始まってからまだ 日が浅く 当 WG の調査では検証に 一部問題があることも確認されたが バグレポート後の対応も早く 将来的には有望なツールになると思われる > validns -s example.jp.signed records found: 32 skipped dups: 0 record sets found: 26 unique names found: 11 delegations found: 0 nsec3 records: 5 not authoritative names, not counting delegation points: 0 validation errors: 0 signatures verified: 15 time taken: 0.011s 2.6. donuts SPARTA, Inc が提供している BSD ライセンスの DNSSEC 運 用ツール群 DNSSEC- Tools に含まれるゾーン検証ツールで 単体での利利 用も可能である https://www.dnssec-tools.org/wiki/index.php/donuts 検証ルールはプラグイン 方式になっていて どんなルールを 用いて検証するかを 自由に選択できる 大半は DNSSEC 関連のルールだが DNSSEC 以外の検証項 目もいくつか含まれている ドメインの委譲関係を調べて正しく親 子間の連携が取れているかチェックすることもできる また コマンドラインだけでなく GUI による利利 用も可能である 5

> donuts -v example.jp.signed example.jp --- loading rule file rules/check_nameservers.txt rules: MEMORIZE_NS_ADDRS DNS_SERVERS_MATCH_DATA --- loading rule file rules/dns.errors.txt rules: DNS_SOA_REQUIRED MEMORIZE_NS_CNAME_RECORDS DNS_NS_NO_CNAME --- loading rule file rules/dnssec.rules.txt rules: DNSSEC_RRSIG_TTL_MATCH_ORGTTL DNSSEC_MEMORIZE_NS_RECORDS DNSSEC_CHECK_IF_NSEC3 DNSSEC_MISSING_NSEC_RECORD DNSSEC_MISSING_RRSIG_RECORD DNSSEC_RRSIG_NOT_SIGNING_RRSIG DNSSEC_RRSIG_FOR_NS_GLUE_RECORD DNSSEC_NSEC_FOR_NS_GLUE_RECORD DNSSEC_RRSIG_SIGEXP DNSSEC_NSEC_TTL DNSSEC_NSEC3_TTL DNSSEC_DNSKEY_MUST_HAVE_SAME_NAME DNSSEC_DNSKEY_PROTOCOL_MUST_BE_3 DNSSEC_BOGUS_NS_MEMORIZE DNSSEC_MISSING_RRSIG_RECORD DNSSEC_RRSIG_TTL_MUST_MATCH_RECORD DNSSEC_MISSING_NSEC_RECORD DNSSEC_RRSIG_SIGNER_NAME_MATCHES DNSSEC_NSEC_RRSEC_MUST_NOT_BE_ALONE DNSSEC_MEMORIZE_KEYS DNSSEC_RRSIGS_VERIFY DNSSEC_TWO_ZSKS DNSSEC_OPENSSL_KEY_ISSUES --- loading rule file rules/nsec_check.rules.txt rules: DNSSEC_NSEC_MEMORIZE DNSSEC_NSEC3_MEMORIZE DNSSEC_NSEC3_CHECK DNSSEC_NSEC_CHECK --- loading rule file rules/parent_child.rules.txt rules: DNS_MULTIPLE_NS DNSSEC_SUB_NOT_SECURE DNSSEC_DNSKEY_PARENT_HAS_VALID_DS DNSSEC_DS_CHILD_HAS_MATCHING_DNSKEY --- loading rule file rules/recommendations.rules.txt rules: DNS_REASONABLE_TTLS DNS_NO_DOMAIN_MX_RECORDS --- Analyzing individual records in example.jp.signed --- Analyzing records for each name in example.jp.signed results on testing example.jp: rules considered: 38 rules tested: 25 records analyzed: 32 names analyzed: 10 errors found: 0 2.7. dig / drill dig や drill などの DNS 問い合わせをおこなうツールを使って ゾーン全体ではなくレコード単位での DNSSEC 検証が可能である ただし この 方法で 一般に公開する前にチェックするには 隠れマスター (hidden master; NS レコードに指定されない DNS サーバ ) に署名済みゾーンを置いてテストする必要があり サーバ構成についても 十分に検討しておかなければならない 以上 6

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック