DNSSEC運用技術SWG活動報告

Similar documents
スマート署名(Smart signing) BIND 9.7での新機能

OpenDNSSECチュートリアル

Microsoft PowerPoint - bind ppt

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

DNSSECの基礎概要

ご挨拶

Microsoft PowerPoint - private-dnssec

JAIPA-DNSSEC

DNSSEC性能確認手順書v1.2

opetechwg-tools

スライド 1

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

DNSのセキュリティとDNSに関する技術

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

DNSSEC機能確認手順書v1.2

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

Root KSK更新に対応する方法

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

Microsoft PowerPoint - 動き出したDNSSEC.ppt

DNSSECチュートリアル [ ]

DNSSEC導入に関する世界的動向

Microsoft PowerPoint - BIND9新機能.ppt

Knot DNS

DNSSECチュートリアル ~実践編~

DNSSEC最新動向

PowerPoint プレゼンテーション

セキュアなDNS運用のために

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

Microsoft PowerPoint 版_Root_JPの状況.ppt

Microsoft PowerPoint - DNSSECとは.ppt

DNSハンズオンDNS運用のいろは

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

Unboundの紹介

学生実験

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

スライド 1

DNSの負荷分散とキャッシュの有効性に関する予備的検討

のコピー

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

Acronis® Backup & Recovery™ 10 Server for Linux

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

DNSサーバー設定について

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

DNSとメール

目次 1. 本書の役割 Windows Agent サポート OS とエディション サポート言語 Agent 稼働前提条件 Azure SDK リリース済み Windows Agent のサポート

Android 用.apk 形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 V /2/26 動作環境を以下に変更 Windows10 NII NII V

Apache2.2(mod_ssl) は ECDSA 鍵について非対応となっております 1-2. 証明書のインストール Apache(mod_ssl) への証明書のインストール方法について記述します 事前準備 事前準備として サーバ証明書 中間 CA 証明書を取得してください 事前準備

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

スライド 1

JPドメイン名におけるDNSSECについて

opetechwg-HSM

はじめに このドキュメントではftServerに関する障害調査を行う際に 必要となるログ データの取得方法を説明しています ログ データの取得には 初期解析用のデータの取得方法と 詳細な調査を行うときのデータ取得方法があります 特別な理由でOS 側のログが必要となった場合には RHELログの取得につ

DNSSEC技術実験報告書

Linux ドライバのインストール

Acronis® Backup & Recovery™ 10 Server for Linux

CLUSTERPRO MC StorageSaver 1.1 for Linux リリースメモ 2015(Jun) NEC Corporation ライセンス パッケージのインストール セットアップ マニュアル 補足事項 注意事項

Microsoft Word - 支部だより32号(①).doc

intra-mart ワークフローデザイナ

製品組み込み手順書 Oracle Tuxedo (Linux版)  

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

キャッシュサーバの設定

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

rndc BIND

Microsoft PowerPoint ppt

サーバセキュリティサービス 導入手順書 Deep Security 9.5SP1 (Windows) プロキシ経由編

Microsoft PowerPoint - s03-水越賢治-IW2011-S3DKIM-3 [互換モード]

HDE Controller X 1-5. DNS サーバー

改訂履歴 改訂日改定内容 第 1 版 2013 年 7 月 16 日新規作成 第 2 版 2013 年 9 月 4 日 STEP3-2 認証用バッチの実行 に Vista での操作を追記 第 3 版 2014 年 7 月 14 日 Windows XP に関する記述を削除 STEP2-1 新規インス

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

Stepguide15_shisa_guard.indd

BIND 9 BIND 9 IPv6 BIND 9 view lwres

RFC4641_and_I-D2.pdf

KSforWindowsServerのご紹介

bash on Ubuntu on Windows bash on Ubuntu on Windows bash on Ubuntu on Windows bash on Ubuntu on Windows bash on Ubuntu on Windows ˆ Windows10 64bit Wi

改訂履歴 初版 2004 年 1 月 23 日 新規作成 2 版 2004 年 2 月 3 日 フォントの設定 を追加 3 版 2004 年 7 月 13 日 リソースファイルのダウンロード を追加 バージョン番号表記を変更 4 版 2005 年 11 月 21 日 リソースファイルのダウンロード

Installation Guide for Linux

Helix Swarm2018.1アップグレード手順

Microsoft Word OCX署名更新について.doc

オフラインメンテナンス説明書

JAVA.jar 形式編 改版履歴 版数日付内容担当 V /4/1 初版 NII V /2/28 JKSコマンドの修正 署名確認作業の補足追加 NII V /2/26 キーストアファイルの形式を JKS から PKCS12 に変更 動作環境の変更に伴う

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

CLUSTERPRO MC RootDiskMonitor 1.1 for Linux リリースメモ 2013(Sep) NEC Corporation ライセンス パッケージのインストール セットアップ マニュアル

WebReportCafe

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Oracle Enterprise Linux 5における認証

自己紹介 指崎則夫 ( さしざきのりお ) SCUGJ 運営スタッフ Microsoft MVP

キャッシュポイズニング攻撃対策

CLUSTERPRO MC RootDiskMonitor 2.3 for Linux HW-RAID 監視機能 リリースメモ 2018(Jun) NEC Corporation ライセンス パッケージのインストール セットアップ マニュアル

PRIMERGY TX1320 M3 未サポートOS動作検証確認情報

目次 1. はじめに ご利用条件 証明書配付システムの停止時間 実施手順 電子証明書の取得手順 Windows 証明書ストアへの電子証明書インポート手順 電子証明書インポート完了確認.

導入ドキュメント

Transcription:

DNSSEC 2010 サマーフォーラム DNSSEC 運用技術 SWG 活動報告 -DNSSEC 運用の困りどころ - 2010 年 07 月 21 日 NRI セキュアテクノロジーズ株式会社 MSS 事業本部エンタープライズセキュリティサービス部 中島智広 105-7113 東京都港区東新橋 1-5-2 汐留シティセンター

目次 1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC 運用の困りどころ 3. 運用負荷軽減のために 4. まとめ 1

1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC 運用の困りどころ 3. 運用負荷軽減のために 4. まとめ 2

DNSSEC 運用技術 SWG とは DNSSECの運用ノウハウ共有を目的としたサブワーキンググループ DNSSECジャパンメンバー企業を対象にワークショップを開催 実施内容 1. BINDを用いたDNSSEC 導入 2. BINDを用いた鍵と署名の交換 3. OpenDNSSECを用いたDNSSEC 運用 ワークショップ資料は近日一般公開予定 3

ワークショップ実施環境 dlv.isc.org DNS ツリーの基点.( ルート ) DNSSEC の信用の基点 jp. 問い合わせ xxxx.jp. キャッシュサーバ 検証 sub*.xxxx.jp. x33 35 台の VPS を活用し一人一台ずつ DNSSEC 対応 DNS を構築 4

1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC 運用の困りどころ 3. 運用負荷軽減のために 4. まとめ 5

DNSSEC 運用の困りどころ 1. ベンダ提供のパッケージが使えない 2. ミスオペレーションが致命的である 3. 作業ステップが多くコマンドも複雑 4. 鍵ファイルの数が多く管理が煩雑 5. 鍵交換時にはタイミングを考慮したオペレーションが必要 6

1. ベンダ提供のパッケージが使えない 各 OS で提供されている BIND のバージョン ( 情報源 :distrowatch.com) OS OS バージョン BIND バージョン RHEL/CentOS 5.5 9.3.7-P2 6.0-BETA2 9.7.0-P2 SUSE Linux Enterprise 11-SP1 9.5.0-P2 Solaris 10 9.2.4 opensuse 11.3 9.7.1 Debian 5.0 lenny 9.5.1 Ubuntu 10.04 LTS lucid 9.7.0-P1 FreeBSD 8.0 RELEASE 9.6.1-P1 RFC5155(NSEC3) は 9.6.0 以上でサポート RFC5011( トラストアンカー自動更新 ) は 9.7.0 以上でサポート ソースコードからのインストールが必要 ( サポートは得られない ) 7

2. ミスオペレーションが致命的である 署名の検証成功時 コンテンツサーバ 署名の検証失敗時 コンテンツサーバ DNSSEC 対応 (DO) ビット有効 署名付き応答 DNSSEC 対応 (DO) ビット有効 署名付き応答 キャッシュサーバ 検証 認証済みデータ (AD) ビット有効 キャッシュサーバ 検証 ServFail 署名の検証失敗時には名前解決そのものが失敗する

3. 作業ステップが多くコマンドも複雑 1. 鍵ファイルの生成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom example.jp # dnssec-keygen -a RSASHA256 -b 2048 -f ksk -q -r /dev/urandom example.jp 2. ゾーンファイルへの鍵の登録 # cat Kexample.jp+xxxx.key >> example.jp # cat Kexample.jp+yyyy.key >> example.jp 3. ゾーンファイルへの署名 # dnssec-signzone -k Kexample.jp+xxxx -k Kexample.jp+zzzz example.jp 鍵の取り違え等のミスオペレーションが発生する可能性あり 9

4. 鍵ファイルの数が多く管理が煩雑 DNSSEC 導入後のゾーンファイルディレクトリ # ls -1 grep example.jp Kexample.jp.+008+09076.key Kexample.jp.+008+09076.private Kexample.jp.+008+12369.key Kexample.jp.+008+12369.private Kexample.jp.+008+22956.key Kexample.jp.+008+22956.private Kexample.jp.+008+50350.key Kexample.jp.+008+50350.private example.jp example.jp.signed # cat Kexample.jp.+008+09076.key ; This is a zone-signing key, keyid 09076, for example.jp. ; Created: Sun Jul 18 20:01:11 2010 ; Publish: Sun Jul 25 20:01:11 2010 ; Activate: Sun Jul 25 20:01:11 2010 ; Inactive: Sun Aug 1 20:01:11 2010 ; Delete: Sun Aug 20 22:25:11 2010 example.jp. IN DNSKEY 257 3 8 ( 略 ) BIND-9.7.x の場合 鍵交換を考慮すると 1 ゾーンあたり 8 つの鍵ファイルが必要さらにファイルの中身を確認しなければ役割がわからない 10

5. 鍵交換時にはタイミングを考慮したオペレーションが必要 DNS のレコードはキャッシュされるため 新しい鍵で署名する際には TTL や署名の有効期限の考慮が必要 Published 鍵がゾーンに登録されたばかりで登録以前のキャッシュが残っており署名に使えない状態 署名不可 署名可能 Active 署名に使用されている状態 署名の有効期限 or TTL 不使用 鍵の TTL Ready(Stand-by) 登録前のキャッシュが無くいつ署名に使用しても問題ないがまだ署名には用いられていない状態 Retired 署名には用いられないが 過去に作成された署名の有効期限内の状態 [ 参考 ]draft-morris-dnsop-dnssec-key-timing-01.txt タイミングを誤ると検証に失敗し名前解決できない可能性有り 11

1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC 運用の困りどころ 3. 運用負荷軽減のために 4. まとめ 12

運用負担軽減のために 1. SmartSigning BIND-9.7 で実装された DNSSEC 運用支援機能 2. OpenDNSSEC+SoftHSM DNSSEC 運用の全課程を自動化することを目的として作られた運用支援ツール ご参考までに二つの方法例をご紹介します 13

1.SmartSigning 鍵ファイル作成時に時間情報を付加し これに基づいて自動的に鍵と署名の登録を行う仕組み 1. 鍵の生成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom -P +3600 -A +86400 -I +864000 -D +867600 example.jp 例 )1 時間後にゾーンに登録 24 時間後に署名に利用開始 10 日後に署名に用いられなくなり その1 時間後にゾーンから削除される鍵 2. ゾーンファイルへの鍵の登録と署名 # dnssec-signzone -S example.jp 鍵ファイルの生成が正しく行われていれば 運用担当者は鍵ファイルや鍵交換のタイミングの考慮が不要 14

SmartSigning 実行例 # dnssec-keygen -a RSASHA256 -b 1024 -q -f ksk -r /dev/urandom -P +0 -A +0 -I +864000 -D +867600 example.jp KSK 鍵ペア作成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom -P +0 -A +0 -I +864000 -D +867600 example.jp ZSK 鍵ペア作成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom -P +0 -A +300 -I +864000 -D +867600 example.jp ZSK 鍵ペア作成 # dnssec-signzone -S example.jp SmartSigning Fetching KSK 30169/RSASHA256 from key repository. Fetching ZSK 46638/RSASHA256 from key repository. Key example.jp/rsasha256/46638: Delaying activation to match the DNSKEY TTL. Fetching ZSK 9429/RSASHA256 from key repository. Verifying the zone using the following algorithms: RSASHA256. Zone signing complete: Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked ZSKs: 1 active, 1 stand-by, 0 revoked example.jp.signed 15

2.OpenDNSSEC + SoftHSM DNSSEC 運用の全課程を自動化することを目的として作られた運用支援ツール 鍵の管理 ゾーンの再署名 鍵のロールオーバーをスケジューリングして自動実行 PKCS#11 に準拠した HSM の利用を前提とし 代替となる SoftHSM も併せて提供 必要とするライブラリ類が新しく旧環境への導入は敷居が高い ゾーン管理者 HSM 鍵の生成と管理 ゾーン情報 ( 未署名 ) ( ファイル or ゾーン転送 ) Auditor ゾーン情報の完全性確認 ポリシに基づくスケジューリング Enforcer OpenDNSSEC Signer ゾーン情報 ( 署名済 ) 更新通知 ゾーンへの署名と DNS への通知 DNS ゾーン管理者は DNSSEC を意識することなくゾーン管理が可能 16

1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC 運用の困りどころ 3. 運用負荷軽減のために 4. まとめ 17

まとめ DNSSEC 導入にあたってはミスオペレーションを防ぐため人間の手によるオペレーションを減らす工夫が必要 スクリプトによる自動化や運用支援ツールの導入を推奨

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック