DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

Similar documents
Microsoft PowerPoint - DNSSECとは.ppt

DNSSECの基礎概要

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint 版_Root_JPの状況.ppt

セキュアなDNS運用のために

DNSSEC導入に関する世界的動向

のコピー

IPアドレス・ドメイン名資源管理の基礎知識

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

Microsoft PowerPoint - private-dnssec

金融工学ガイダンス

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

キャッシュポイズニング攻撃対策

ドメイン ネーム システムの概要

「DNSSECの現状と普及に向けた課題」

スライド 1

大規模災害時における、DNSサービスの継続性確保のために

スライド 1

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

PowerPoint プレゼンテーション

DNSとメール

Root KSK更新に対応する方法

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

DNSの負荷分散とキャッシュの有効性に関する予備的検討

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

DNSSEC運用技術SWG活動報告

DNSSEC最新動向

Microsoft PowerPoint - bind ppt

ご挨拶

opetechwg-tools

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

第5回 マインクラフト・プログラミング入門

全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorizatio

enog-ryuichi

untitled

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

DNS誕生日攻撃再び

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

人類の誕生と進化

Mobile Access簡易設定ガイド

RPKI in DNS DAY

PowerPoint Presentation

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

<4D F736F F F696E74202D DB A B C C815B E >

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

SOC Report

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

CDNを最大限活用する為の ZenlogicCDN導入チェックリスト

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

OPENSQUARE

2.SSL/TLS と暗号プロトコルの安全性 恒久的に噴出する脆弱性との戦い クライアント ClientKeyExchange Verify ServerKeyExchange Request Done Request サーバ X Master Secret CCS MAC 図 -1 図

PowerPoint プレゼンテーション

Clearswift PPT Template

経路奉行・RPKIの最新動向

Microsoft Word - MyWebMedical40_client_guideIE8.doc

Microsoft PowerPoint - soumu-kanesaka.pptx

情報通信の基礎

058 LGWAN-No155.indd

IIJ GIOリモートアクセスサービス Windows 7 設定ガイド

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

SAML認証

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

DNSのセキュリティとDNSに関する技術

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

正誤表(FPT0417)

WL-RA1Xユーザーズマニュアル

RPKIとインターネットルーティングセキュリティ

/07/ /10/12 I

ポップアップブロックの設定

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

第3 章 電子認証技術に関する国際動向

BACREX-R クライアント利用者用ドキュメント

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

FIDO技術のさらなる広がり

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

label.battery.byd.pdf


untitled

スライド 1

gtld 等ドメイン名の公開 開示対象情報一覧変更点 株式会社日本レジストリサービス (JPRS) gtld 等ドメイン名の公開 開示対象情報一覧 ( 修正履歴付き ) gtld 等ドメイン名の公開 開示対象情報一覧 ( 整形版 ) 備考 gtld 等ドメイン名の公開 開示対象情報一覧 株式会社日本

MIND-Wireless-Win7_web

Microsoft PowerPoint - RFC4035.ppt

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

IPsec徹底入門

<4D F736F F D E FD8936F8B4C8F8A82CC936F8B4C8AAF82CC93648E718FD896BE8F9182CC936F985E8EE88F872E646F63>

MIND-Wireless-Win7_1x

Simple Violet

3 アカウント画面で新しいアカウント作成 :[ メール ] をクリックします 4 新しいメールアドレスを使いたい方という画面の下部にある [ メールアカウントを設定する ] ボタ ンをクリックします 2

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

MIND-Wireless-Win8.1_eduroam

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

Transcription:

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

アジェンダ 1. DNSとは 2. DNSの動作 3. DNSSECとは 4. DNSSECの動作 5. DNSSECの現状 6. 参考 URL 7. DNSSEC 関連 RFC 2

DNS とは DNS(Domain Name System) とは ホスト ( ドメイン ) 名を IP アドレスに IP アドレスをホスト ( ドメイン ) 名に変換する仕組み www.example.com の Web サイトが見たい場合はブラウザの URL 欄に www.example.com と入力する するとその Web サイトにたどり着けますが 実はその裏で DNS が動作し IP アドレスを取得しているのです 1www.example.com の IP アドレスは何? 2www.example.com は 192.XXX.XXX.1 だよ 3

DNS とは DNS は階層化されており 最上位のルート DNS サーバから順番に下位 DNS に問い合わせると 存在するドメインは必ず返答が返ってきます ( 次ページ参照 ) しかし 毎回 DNS サーバに問い合わせると負荷がかかる為 キャッシュサーバと呼ばれるサーバが一度問い合わせたドメインを記憶しています ( 次ページ参照 ) 4

キャッシュ DNS サーバ : クライアントの DNS 問い合わせを代行 一度聞いた情報を記憶する DNS の動作 コンテンツ DNS サーバ : 管轄するドメインの一次情報を持つ 1www.example.com はなに? 2 知らないから一番上に聞いてみる ルート DNS サーバ 3COM の DNS サーバに聞いてみて クライアント PC COM ドメイン管轄 DNS サーバ 4example.com の DNS サーバに聞いてみて WEB サーバ 192.XXX.XXX.1 7WEB サイトをみせてください 6www.example.com は 192.XXX.XXX.1 を記憶 example.com ドメイン管轄 DNS サーバ 5www.example.com は 192.XXX.XXX.1 だよ 5

DNSSEC とは DNSSEC(DNS Security Extensions) とは DNS への毒入れ攻撃 ( キャッシュポイズニング ) に対処するための技術です キャッシュポイズニングとは キャッシュサーバに偽の応答をキャッシュさせることで ユーザを本来意図していた Web サイトとは別の Web サイトなどに誘導する攻撃のことをいいます 誘導先のサイトで個人情報などを略取される可能性があります さらに同じキャッシュサーバを利用しているすべてのユーザが影響を受けるので 被害は甚大になります 6

DNSSEC とは 1www.example.com はなに? キャッシュ DNS サーバ : クライアントの DNS 問い合わせを代行 一度聞いた情報を記憶する 2 知らないから聞いてみる example.com ドメイン管轄 DNS サーバ クライアント PC 6WEB サイトをみせてください 5www.example.com は 10.XXX.XXX.1 記憶 3www.example.com は 192.XXX.XXX.1 だよ 危険なフィッシングサイト 10.XXX.XXX.1 悪意あるサーバ 4www.example.com は 10.XXX.XXX.1 7

DNSSEC の動作 DNSSEC は公開鍵暗号方式と呼ばれる暗号方式と電子署名技術を利用しています 応答を送信する DNS サーバーが秘密鍵を使って応答に署名し 受信する側が公開鍵で検証します 秘密鍵を持っていないと正しく署名を付けられないので 署名の検証によって偽の応答を検知できます 署名の検証は従来のキャッシュ DNS サーバに検証 ( バリデーション ) 機能を持たせることによって キャッシュ DNS サーバが受け取った情報の出自と完全性を証明します 8

DNSSEC の動作 1www.example.com はなに? バリデータ : DNSSEC の検証を行う ( 通常はキャッシュサーバ ) 2 知らないから聞いてみる example.com ドメイン管轄 DNS サーバ クライアント PC 6WEB サイトをみせてください 3www.example.com は 192.XXX.XXX.1 だよ 署名を追加 WEB サーバ 192.XXX.XXX.1 7 正しい WEB サイトにアクセス! 5 署名を検証 正しい応答は 192.xxx.xxx.1 であることを確認 悪意あるサーバ 4www.example.com は 10.XXX.XXX.1 9

DNSSEC の現状 ルートゾーン対応状況 2010 年 7 月に導入済 gtld 対応状況 (2010 年 10 月現在 ).biz.cat.edu.info.museum.org その他も 2010 年後半 ~2011 年前半で対応予定 cctld 対応状況 (2010 年 10 月現在 ).se.be.fi.bg.pr.cz.br.th.na.eu.tm.us.pt.li.ch.uk.lk.hk.nu.kg.pm.md.pn.nl.fr.dk その他約 20 カ国が 2010 年後半 ~2011 年前半で対応予定.jp は 2010/10/17 に JP ゾーンへの署名を開始 2011/1/16 に JP ドメイン名サービスへの導入を開始予定 DNSSEC 対応状況の最新情報は下記を参照 ICANN http://stats.research.icann.org/dns/tld_report/ 世界中で次々と署名が開始されています JP ドメインの DNSSEC サービス開始に伴い 国内でも準備をする必要があります 10

参考となる URL DNSSEC ジャパン (DNSSEC.jp) http://dnssec.jp/ JPRS(DNSSEC 関連情報 ) http://jprs.jp/dnssec/ JPNIC(DNSSEC) http://www.nic.ad.jp/ja/newsletter/no43/0800.html 11

DNSSEC 関連 RFC( 主要なもの ) RFC 4033 DNS Security Introduction and Requirements. RFC 4034 Resource Records for the DNS Security Extensions. RFC 4035 Protocol Modifications for the DNS Security Extensions. RFC 4431 The DNSSEC Lookaside Validation (DLV) DNS Resource Record. RFC 4509 Use of SHA 256 in DNSSEC Delegation Signer (DS) Resource Records (RRs). RFC 4641 DNSSEC Operational Practices. RFC 4986 Requirements Related to DNS Security (DNSSEC) Trust Anchor Rollover. RFC 5011 Automated Updates of DNS Security (DNSSEC) Trust Anchors. RFC 5074 DNSSEC Lookaside Validation (DLV). RFC 5702 Use of SHA 2 Algorithms with RSA in DNSKEY and RRSIG Resource. RFC 5155 DNS Security (DNSSEC) Hashed Authenticated Denial of Existence. Internet Draft DNSSEC Operational Practices, Version 2. (draft ietf dnsop rfc4641bis 02) Internet Draft DNSSEC Key Timing Considerations. (draft ietf dnsop dnssec key timing 00) DNSSEC ジャパン RFC 資料参照 http://dnssec.jp/?page_id=124 12

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック