HomeGatewayにまつわるDNS話あれこれ

Similar documents
Microsoft PowerPoint - IW2011_D2_Kawashimam_Presen [互換モード]

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

今からはじめるIPv6 ~IPv6標準化最新動向編~

2011 NTT Information Sharing Platform Laboratories

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

ict2-.key

tcp/ip.key

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

untitled

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

IPv4aaSを実現する技術の紹介

PowerPoint プレゼンテーション

untitled

BSD Unix IPv6 WIDE Project / ( ) All rights reserved. Copyright(c)2006 WIDE Project 1

untitled

2008, 2009 TOSHIBA TEC CORPORATION All rights reserved

RDNSS対応小型ルータを調べてみた_佐藤秀樹_v11.pptx

DNSを「きちんと」設定しよう

スライド 1

1 IPv6 WG OS SWG PCOSIPv6 Windows Vista 2 3 KAMEUSAGIMacOSX IPv6 2

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

Microsoft PowerPoint - ykashimu_dslite_JANOG26_rev

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

untitled

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

Microsoft PowerPoint ppt [互換モード]

Microsoft PowerPoint - iw2011_yamagata [互換モード]

T8_4-shirasaki.PDF

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

IP IPv4-IPv6

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

IP 2.2 (IP ) IP 2.3 DNS IP IP DNS DNS 3 (PC) PC PC PC Linux(ubuntu) PC TA 2

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

第1回 ネットワークとは

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

untitled

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

PowerPoint Presentation

wide97.dvi

FutureNet NXR,WXR シリーズ設定例集

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

IPv6 トラブルシューティング ホームネットワーク/SOHO編

untitled

2011/04/20 DNSOPS.JP BoF Simplified DNS Query under IPv4/IPv6 Mixed Environment IPv4/IPv6 混在通信環境における適切な DNS 名前解決方式 北村浩 (NEC/ 電通大 ) 阿多信吾 ( 阪市大 )

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

FutureNet NXR,WXR シリーズ設定例集

untitled

のコピー

1セットアップをはじめる前に1 セットアップをはじめる前に 1 ご用意いただくもの 機器 本製品 ( 本体 スタンド 電源アダプタ ) 付属のLANケーブル ( 紫 1 橙 1) パソコン NTT 東日本 NTT 西日本から提供されたフレッツ光接続機器 NTT 東日本 NTT 西日本のご案内にしたが

R76/Gaia ブリッジ構成設定ガイド

The overview of IPv4 over IPv6 technique - ENOG 17

本資料について

DNSとメール

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

Fujitsu Standard Tool

IPv6トラブルシューティング/家庭ネットワーク/SOHO編

PowerPoint Presentation

スライド 1

ENUM

untitled

IPv4 over IPv6技術の最新動向と標準化

Microsoft PowerPoint - ie ppt

SOC Report

untitled

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

点検! IPv6のセキュリティ-プロトコル挙動の観点から-

経路奉行・RPKIの最新動向

Mobile IPの概要

アマチュア無線のデジタル通信

2

rzakg.ps

スライド 1

VPNを利用したオンライン届出接続条件について(詳細)

ひかり電話対応機器をご利用の方接続設定方法 1 ブラウザーを起動し アドレス ( を入力します 2 お好きなパスワードを入力し 設定 をクリックします ここでお決めいただいたパスワードは 必ずお控えください 既にパスワードを設定済みの場合は 手順 3 へ 3

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

untitled

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

アドレス プールの設定

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

ネットワークの基礎

ヤマハ ルーター ファイアウォール機能~説明資料~

conf_example_260V2_inet_snat.pdf

第1回 ネットワークとは

スライド 1

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

IPv6における

ヤマハ ルーター ファイアウォール機能~説明資料~

Transcription:

HomeGateway にまつわる DNS 話あれこれ 2010 年 11 月 25 日 NEC アクセステクニカアクセスネットワーク技術部川島正伸

目次 Home Gateway の DNS Proxy 機能 DNS Proxy 機能の必要性 DNS Proxy の DNSSEC 対応 DNS Cache は必要? DNS Proxy と IPv6 その他の検討事項 参考情報 オマケ 2001:db8:café::2

Home Gateway の DNS Proxy 機能 DNS Server 192.0.2.1 一般的には DHCP を使用してルータの LAN 側 IP アドレスを DNS サーバアドレスとしてホストに通知する ( ISP の DNS サーバアドレス ) DHCP.1 IPv4 Internet.254 DNS Query DNS Proxy 機能 Cacheを保持する製品もある 192.168.1.0 / 24 DNS Query IP Address : 192.168.1.1 Subnet Mask : 255.255.255.0 DNS Server : 192.168.1.254 問合せ先は Home Gateway の LAN 側 IP アドレス宛となる ( 端末からは Home Gateway が DNS Server にみえる ) 2001:db8:café::3

DNS Proxy 機能の必要性 Home Gateway の Web-GUI へのアクセスに使用 装置設定を行う際に web.setup 等の独自の FQDN を使用してアクセス可能となる IP アドレス直打ちよりも覚えやすく 一般ユーザには敷居が低い IPv6 アドレスの場合 IP アドレス直打ちは困難 複数の接続先が存在する場合の DNS サーバ選択問題の回避 インターネット接続とフレッツ閉域網接続など 管理ドメインが異なる複数の接続先がある場合 DNS Proxy 機能が適切な DNS サーバへ問合せを実施 DNS Proxy 機能を提供しない場合 端末側で適切な DNS サーバを選択できない問題がある DNS Cache を保持している場合 ISP の DNS サーバ負荷軽減や名前解決のレスポンスタイム短縮などのメリットあり 本当にメリット? デメリットは? ( 後ほど説明 ) 2001:db8:café::4

DNS Proxy の DNSSEC 対応 (1) EDNS0 (RFC2671) に対応 Fragmented Packet を Reassemble TCP Transport にも対応 各種 Flags も透過的に扱う DNS Proxy Implementation Guideline (RFC5625) に準拠した実装を行うとよい 自社製ブロードバンドルータ ( 法人向け 民需向け ) の動作検証を実施 JPRS の DNSSEC 技術実験に参加して検証 DNSSEC Hardware Tester (nic.cz が提供 ) を使用して検証 2001:db8:café::5

DNS Proxy の DNSSEC 対応 (2) 動作検証のポイント OPT RR (DO bit) や各種 Flags (TC, AD, etc) を透過的に扱っているか? EDNS0 に対応し 1,220 bytes (MSG-SIZE) の Packet を処理できるか? Fragment なし EDNS0 に対応し 4,000 bytes (MSG-SIZE) の Packet を処理できるか? Fragment あり TCP Transport を使用した DNS Proxy を提供しているか? DNS Cache を行っている場合 悪影響はないか? DNSSEC を考慮していない実装がありました もちろん良い実装も確認できました 2001:db8:café::6

DNSSEC を考慮していない実装 (DNS 512bytes の壁 ) JPRS DNSSEC 技術実験用 DNS Cache Server 1,200bytes 3 2 IPv4 Internet OPT RR (DO=1) 1 Router with DNS Proxy 512bytes OPT RR (DO=1) 4 512bytes でバッサリなので Malformed Packet となる しかも TC bit は 0 のままなので TCP Fallback もできない 2001:db8:café::7

DNSSEC を考慮していない実装 (Cache 不完全 ) JPRS DNSSEC 技術実験用 DNS Cache Server Answer A RR RRSIG RR 3 2 IPv4 Internet A RR のみ Cache するので別の端末は TTL 満了まで DNSSEC 検証を行えない www.example.jp A OPT RR (DO=1) 1 Cache Router with DNS Proxy A RR 7 4 5 Answer A RR RRSIG RR www.example.jp A OPT RR (DO=1) 6 A RR 検証できない 検証 OK www.example.jp A OPT RR (DO=1) 2001:db8:café::8

良い実装の話 (1) nic.cz ( チェコの TLD レジストリ ) が提供している DNSSEC Hardware Tester を使って DNSSEC の適合性チェックを実施してみました [ 合計 43 のテスト項目 ] Best 43/43 tests passed 全項目パス! 2001:db8:café::9

良い実装の話 (2) UNIVERGE WA1020 ( 法人向けモバイルルータ ) が DNSSEC 100% 適合一番乗り! (2010 年 7 月 8 日時点 ) No.1 Get! 2010/07/08 00:55 From NIC.CZ NEC WA1020 is the first appliance to achieve 100 % - even none of tested appliances in our lab so far was able to do so with default settings. 2001:db8:café::10

良い実装の話 (3) 10 月に発売した Aterm WR8370N シリーズ ( コンシューマ向け高速無線 LAN ルータ ) も DNSSEC に対応しました (2010 年 11 月 11 日時点 ) Aterm シリーズ新機種について 今後も対応を予定しています 2001:db8:café::11

DNS Cache は必要? (1) メリット? ISP の DNS サーバ負荷軽減 最近は OS やブラウザ等でも Cache しているので ルータでわざわざ Cache しなくても困らないのでは? 名前解決のレスポンスタイム短縮 Web アクセス等 トランザクションに占める DNS の割合は小さいし 回線のブロードバンド化の影響もあるので 名前解決のレスポンスタイムは無視できる範囲では? デメリット Kaminsky Attack 等の脆弱性対応に関して 迅速な対応が求められる ファームウェア修正後のバージョンアップ実施方法にも課題あり DNSSEC 対応によるインパクト 不完全な Cache 実装による問題への対処 RR SIG を Cache することによるリソース消費は懸念事項 Validator になるなら 署名検証処理の負荷は懸念事項 2001:db8:café::12

DNS Cache は必要? (2) どうやら メリットよりもデメリットの方が多そう 実際のところ どの程度効果があるか一般家庭を調査 調査期間 : 2010 年 4 月 14 日 ~21 日の 7 日間 家族構成 : 父 母 娘 息子 スタブリゾルバ : パソコン ネット対応テレビ ゲーム機 スマートフォン 等 調査結果 Total Query Count : 20,731 Cache Hit Count : 3,258 Cache Hit Rate : 15.7% リゾルバキャッシュを保持しない Node 数にキャッシュヒット率は比例 現時点での見解 DNS Proxy Implementation Guideline (RFC5625) 的には Transparent が大原則なので 不完全な Cache 実装を増やすよりも Cache しない方が望ましい ISP の DNS サーバへの負荷増の懸念については継続検討が必要 2001:db8:café::13

DNS Proxy と IPv6 (1) DNS Server 2001:db8::53 IPv6 Internet DNS サーバアドレスの通知方法は? Stateless DHCPv6? Stateful DHCPv6? RA? 2001:db8:beef:beef:: / 64 ::cafe DNS サーバアドレスのタイプは? Global? Link-Local? ULA? 2001:db8:café::14

DNS Proxy と IPv6 (2) IPv4 と比較してみると DNS サーバアドレスの通知方法 DNS サーバアドレス ( 待ち受けアドレス ) IPv4 DHCPv4 LAN 側 IP Address IPv6 Stateful DHCPv6 Stateless DHCPv6 RA Option Link Local ULA Global Address IPv4 はシンプル IPv6 は複雑に 2001:db8:café::15

DNS サーバアドレスの通知方法 IPv6 Router Advertisement for DNS Configuration (RFC5006) の Standards Track 化により より複雑に RA Option Prefix 情報 recursive DNS server DNS search list draft-ietf-6man-dns-options-bis が RFC Editor Queue に入っており まもなく RFC 化 Experimental から Standards Track に変更 DNS Search List も通知可能に Stateless DHCPv6 ---- 各種 Option 情報 RA Option の Standards Track 化により 使途がやや不明確になってしまった Stateful DHCPv6 IP or Prefix 情報各種 Option 情報 RA(M-Flag ON, Default Route) に依存するが その他は自己完結可能 自由度は高いので目的に応じて使用可能 2001:db8:café::16

DNS サーバアドレス (DNS Proxy の待ち受けアドレス ) Link Local Address ネットワークを越えた通信はできないので 配下に別のルータが存在している環境 ( 他セグメントとの通信 ) では使用できない Link Local Address が指定できないホストも存在するらしい Unique Local Address Global ID 生成 DAD 処理などが必要 Prefix 通知はケースバイケース Global ID 生成を RFC に従うべきか あるいはわかりやすい固定値とするかは悩みどころ Global Address WAN Link Down 時やセットアップ未完了時などにアドレスを通知できない また 端末との情報の不整合が発生する可能性あり いずれのアドレスも一長一短があり 使用環境に応じた使い分けが必要である 2001:db8:café::17

その他の検討事項 DNSSEC における Last 1 Hop (DNS Server ー Host 間 ) は どのようにしてセキュリティを担保するのか? Windows 7 では IPsec を使用することを想定しているようだが その場合 Home Gateway が IPsec を終端すべきか否か Home Gateway 自身のリゾルバは いつから DNSSEC 対応を考慮すべきか? Ping や Traceroute 以外に Home Gateway 自身が名前解決を行うことも多い その他にも TCP フォールバック問題 DNS サーバ選択 トランスポート / リソースレコード変換 Dynamic DNS 等々 Home Gateway や DNS 周辺の検討事項は多い 2001:db8:café::18

参考情報 (1) IETF RFC5625 DNS Proxy Implementation Guideline RFC4035 Protocol Modifications for the DNS Security Extensions RFC2671 Extension Mechanisms for DNS (EDNS0) draft-ietf-dnsext-rfc2671bis-edns0 (work in progress) RFC5966 DNS Transport over TCP - Implementation Requirements RFC4472 Operational Considerations and Issues with IPv6 DNS draft-ietf-v6ops-ipv6-cpe-router Basic Requirements for IPv6 Customer Edge Routers (work in progress) RFC5006 IPv6 Router Advertisement Option for DNS Configuration draft-ietf-6man-dns-options-bis IPv6 Router Advertisement Options for DNS Configuration (work in progress) HOMENET WG home networking working group (Proposed Working group) 2001:db8:café::19

参考情報 (2) Broadband Forum TR-124 Issue-2 Functional Requirements for Broadband Residential Gateway Devices IPv6 普及 高度化推進協議会 IPv6 家庭用ルータガイドライン 2.0 版 DNSSEC 動作検証 JPRS DNSSEC 技術実験への参加 DNSSEC Hardware Tester (http://www.nic.cz/dnssectests/) 2001:db8:café::20

[ オマケ ] IPv6 アドレスの推奨テキスト表記 IPv6 アドレス表記が統一されていない問題を解決したい [RFC5952] A Recommendation for IPv6 AddressText Representation として 標準化されました! http://www.rfc-editor.org/rfc/rfc5952.txt 従来表記 2001:0db8:0000:0000:abcd:0000:0000:0001 2001:db8:0:0:abcd:0:0:1 2001:db8:0:0:abcd::1 2001:DB8::ABCD:0:0:1 etc 推奨表記 2001:db8::abcd:0:0:1 皆さまがお使いのシステムや製品にて RFC5952 への準拠をお願い致します 2001:db8:café::21

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック