IETF 93 報 告 DNS 関 連 藤 原 和 典 <fujiwara@jprs.co.jp> 株 式 会 社 日 本 レジストリサービス (JPRS) IETF 93 報 告 会, 2015 年 8 月 27 日
自 己 紹 介 氏 名 : 藤 原 和 典 個 人 ページ: http://member.wide.ad.jp/~fujiwara/ 勤 務 先 : 株 式 会 社 日 本 レジストリサービス (JPRS) 技 術 研 究 部 業 務 内 容 :DNS 関 連 の 研 究 開 発 IETFでの 活 動 (2004~) RFC 5483 6116 (2004~2011):ENUMプロトコル RFC 5504 5825 6856 6857 (2005~2013) メールアドレスの 国 際 化 ( 互 換 性 部 分 を 担 当 ) draft-fujiwara-dnsop-ds-query-increase(2013/6~) draft-fujiwara-dnsop-poisoning-measures (2014/7) draft-ietf-dnsop-dns-terminology (2014/11~) draft-fujiwara-dnsop-nsec3-aggressiveuse (2015/3~) Copyright 2015 Japan Registry Services Co., Ltd. 2
DNS/ドメイン 名 を 扱 ったWG/BOF DNS 関 連 WG/BOF dnsop DNS 運 用 ガイドラインの 作 成 dprive DNS 通 信 路 の 暗 号 化 dane DNS(SEC)にTLSの 証 明 書 を 載 せる dnssd DNS-SD (RFC 6763)の 拡 張 dbound Public Suffix List の 後 継 IETF 以 外 IEPG 個 人 的 興 味 ( 範 囲 外 ) Copyright 2015 Japan Registry Services Co., Ltd. 3
dnsop WG (1) DNS Operations, DNS 運 用 ガイドラインを 作 るWG 振 り 返 り: 2014 年 11 月 のIETF 91 DNS Cookies 復 活, TCPトランスポート, ISPでのIPv6の 逆 引 き, Negative Trust Anchor IETF 91 前 後 複 数 のdraftをWG draft 化 振 り 返 り: 2015 年 3 月 のIETF 92 qname-minimisation, root-loopback, dns-terminology, acl-metaqueries, 差 分 転 送 の 改 善, TLDの 予 約 (.onion), nsec-aggressiveuse IETF 93の 概 要 IETF 93 前 に 複 数 の 案 件 をIESGに 提 出 WGLC 実 施 上 記 下 線 項 目 そのため 新 しめの 提 案 を 先 に 扱 い その 後 でもめている 案 件 (TLD 予 約 )を 扱 った Copyright 2015 Japan Registry Services Co., Ltd. 4
dnsop WG (2) draft-ietf-dnsop-dnssec-key-timing DNSSECでのキーロールオーバータイミングなど についての 問 題 点 を 示 したもので Informational 発 行 直 前 のAUTH48で 半 年 放 置 されている draft-ietf-dnsop-negative-trust-anchors DNSSEC 検 証 を 無 効 にするドメイン 名 の 設 定 BIND 9, Unbound, Nominum Vantioの 設 定 例 BIND 9: 公 開 gitのmasterには 実 装 済 (9.11?) Unbound 1.5.4には 実 装 済 RFC Ed Queue: 近 いうちに 発 行 の 見 込 み Copyright 2015 Japan Registry Services Co., Ltd. 5
dnsop WG (3) draft-ietf-dnsop-root-loopback loopbackにルートゾーンのコピーを 置 く 提 案 でInformational 2015/6/28 IESG 提 出 /AD Evaluation 7/28~8/11 IETF Last call draft-ietf-dnsop-dns-terminology DNS 関 連 の 用 語 集 2015/6/28 IESG 提 出 /AD Evaluation 7/28~8/11 IETF Last call, 現 在 アップデート 中 John Klensinから 大 規 模 で 有 用 な 提 案 あり draft-ietf-dnsop-onion-tld.onion TLDを 予 約 する 提 案 でProposed Standard.altなどの 各 種 提 案 があったが 証 明 書 /CABF 的 な 期 限 のた め 急 ぎ 進 めた 7/14~8/11 IETF Last call Copyright 2015 Japan Registry Services Co., Ltd. 6
dnsop WG (4) draft-ietf-dnsop-cookies 7/2~7/16にWGLCだったが Reviewerが 少 なく IETF 93 時 にReview 要 請 があった draft-ietf-dnsop-qname-minimisation プライバシー 向 上 のため クエリ 情 報 の 漏 洩 を 最 小 化 IETF 93 前 にWGLC 完 了 IESGへの 提 出 直 前 ここまでがステータス 報 告 ( 実 際 には10 分 ) Copyright 2015 Japan Registry Services Co., Ltd. 7
dnsop WG (5) TCPトランスポートに 関 する 提 案 DNS Transport over TCP - Implementation Requirements, draft-ietf-dnsop-5966bis-02 DNS over TCPの 仕 様 と 性 能 条 件 を 規 定 する 提 案 ( 明 確 化 ) RFC 1123ではUDP firstだが UDPまたはTCPと 再 定 義 dprive WGと 関 連 あり TCP 接 続 の 再 使 用 タイムアウト 複 数 のクエリの 同 時 送 信 や TCP Fast Openなどを 明 確 化 議 論 : 長 期 生 存 するTCP 接 続 の 懸 念 (BGPとの 類 似 性 ) edns-tcp-keepalive EDNS0 Option draft-ietf-dnsop-edns-tcp-keepalive TCP 接 続 のタイムアウトを 指 定 するEDNS0オプション 指 定 時 間 クエリがなければTCPを 閉 じてよい (100ms 単 位 ) TCPを 張 りっぱなしで 複 数 のクエリを 処 理 させることを 想 定 基 本 的 には 議 論 を 継 続 して 進 める Copyright 2015 Japan Registry Services Co., Ltd. 8
dnsop WG (6) draft-fujiwara-dnsop-nsec-aggressiveuse-01 NSEC RRを 用 いてランダムサブドメイン 名 攻 撃 (いわゆる 水 責 め 攻 撃 )に 対 抗 するという 提 案 com IN NSEC commbankは comからcommbankの 間 にラベ ルがないことを 証 明 するため キャッシュ 内 のNSECを 積 極 的 に 使 用 する 提 案 ランダムサブドメイン 名 攻 撃 は (random).example.comというク エリ 名 のため NSECでクエリ 名 の 不 存 在 を 示 すことができる 加 藤 朗 さんと 藤 原 の 共 著 甘 いところが 多 く まだ 問 題 点 はあるが 継 続 CD (Checking Disabled) bit が 1だとDNSSEC 検 証 を 無 効 にす るため (キャッシュ 済 の)NSEC RRを 使 用 できないという 問 題 RFC 2308 (NCACHE) に 完 全 一 致 だけを 使 用 すると 書 かれて いるという 問 題 DNS/DNSSECの 本 質 にかかわるところなので 注 意 がいる Copyright 2015 Japan Registry Services Co., Ltd. 9
dnsop WG (7) トラストアンカー 管 理 の 提 案 DNSSEC Trust Anchor Publication draft-jabley-dnssec-trust-anchor-11 (00は2010 年 ) 2010 年 にルートのトラストアンカーを 配 布 した 方 法 をまとめ たもので IANAからファイルを 取 得 し 検 証 し トラストアン カーとして 使 用 する 手 順 を 示 している RFC 5011(トラストアンカー 自 動 更 新 )について 議 論 された が 進 展 なし? Simplified Updates of DNS Security Trust Anchors draft-wkumari-dnsop-trust-management トラストアンカー 自 動 更 新 の 新 手 法 の 提 案 (TDS RR) RFC 5011やTALINKと 同 じではないかと 指 摘 された Copyright 2015 Japan Registry Services Co., Ltd. 10
dnsop WG (8) On No, Not More NameSpace Discussions.onion 以 外 のTLD 予 約 に 関 するセッション P2Pなどで 使 用 されるTLDの 予 約 提 案 bit (NameCoin), i2p (local database only) gnu (GNU Name system), zkey (GNS zone key) exit (Tor exit node), tor, carrot Design Team 設 立 RFC 6761によるTLD 予 約 の 問 題 点 の 指 摘 と 解 決 のため のDesign Team 設 立 と そこへの 入 力 が 紹 介 名 前 空 間 とDNSの 違 いや ICANNとの 調 整 ポリシーなど 問 題 が 多 い 議 論 が 紛 糾 するので WGと 分 離 決 めたRFC/ルールに 従 うべきといったコメントなどが あったが 結 論 は 出 ていない Copyright 2015 Japan Registry Services Co., Ltd. 11
dbound WG Domain Boundaries WG / ドメイン 境 界 Public Suffix List (PSL)の 後 継 を 考 えるWG PSLはCookieの 取 り 扱 い 判 定 で 使 用 されているもので Mozilla Foundationがメインテナンスしている 巨 大 なテキストの 順 序 付 きリストで 上 から 順 にパターンマ ッチ 使 用 例 に 複 雑 な 地 域 型 JPドメイン 名 主 な 議 題 は Define the problem で 結 論 出 ず 用 途 案 Cookieの 判 定 証 明 書 発 行 の 判 定 ( 組 織 とドメイン 名 ) ワイルドカード 証 明 書 の 発 行 判 定 メールアドレスからのDMARCドメイン 名 抽 出 現 在 はPSLについて 書 かれていない 二 つのドメイン 名 が 同 じ 管 理 下 にあるか 判 定 Copyright 2015 Japan Registry Services Co., Ltd. 12
振 り 返 り: IETF 90 SMTP, SRV 議 論 完 了 DANE OpenPGP, S/MIME:まとまらず 継 続 振 り 返 り: IETF 91 DANE SMIMEA: 実 装 案 の 議 論 とOpenPGPとのマージ 提 案 DANEの 普 及 に 関 する 議 論 振 り 返 り: IETF 92 OpenPGPKEY: WGLC 完 了 SMIMEA 実 装 の 紹 介 課 金 情 報 を 扱 う 提 案 メールアドレスの 扱 いについての 議 論 hex( 先 頭 28バイト(sha256( 小 文 字 (username))))._openpgpkey.dom Copyright 2015 Japan Registry Services Co., Ltd. 13 dane WG (1) DNSにTLSの 証 明 書 を 載 せるWG
dane WG (2) Plan SMIMEA: IETF 94までにWGLC そのあとWGを 完 了 DNSSEC auth chain extension, draft-shore-tlsdnssec-chain-extension-01 TLSを 拡 張 し クライアントから 要 求 があればTLSA RRと ル ートからTLSA RRの 検 証 に 必 要 とされるすべてのDS, DNSKEYをTLSでクライアントに 送 るもの _443._tcp.www.example.com TLSA example.com DNSKEY/RRSIG, example.com DS/RRSIG com DNSKEY/RRSIG, com DS/RRSIG,. DNSKEY/RRSIG DNSクエリなしでルートからTLSAを 検 証 可 能 IETFハッカソンで 実 装 したとのこと TLSデータが3000バイト 程 度 増 える レイヤーバイオレーションの 指 摘 や chain queryでできること などが 指 摘 され 不 評 であった Copyright 2015 Japan Registry Services Co., Ltd. 14
dane WG (3) メールアドレスの 扱 いについての 議 論 OpenPGPKEYとSMIMEAでの 統 一 が 必 要 OpenPGPKEYでは hex( 先 頭 28バイト(sha256( 小 文 字 (user name)))) という 提 案 が 優 勢 だった 今 回 は user nameのbase32とハッシュについて 議 論 が 行 なわれた DNSは 大 文 字 小 文 字 の 区 別 をしない a-z0-9 36 文 字 base32 base32がよいという 雰 囲 気 (ラフコンセンサス)であった 終 了 後 DNSのラベルには63バイトの 制 限 があるので 63*5ビットのデータしか 扱 えないことをチェアに 聞 いてみ たところ 複 数 のラベルを 使 えばよいと 指 摘 された 例 えば40バイトから78バイトのuser nameの 場 合 base32(user name 残 り).base32(user name 前 半 39バイト)._openpgpkey.domainname IN OPENPGPKEY. 筋 が 悪 いのでまだまだ 続 きそう Copyright 2015 Japan Registry Services Co., Ltd. 15
dprive WG (1) DNS PRIVate Exchange (dprive) WG スタブリゾルバとフルリゾルバの 間 の 通 信 をTLS で 暗 号 化 するプロトコルを 策 定 するWG 振 り 返 り: 2014 年 11 月 のIETF 91 2014 年 10 月 17 日 に 設 立 複 数 の 提 案 : ポート53+STARTTLS, DNS over HTTPS 懸 念 事 項 :Middle box(cpeやfirewall)を 通 るか 振 り 返 り: 2015 年 3 月 のIETF 92 複 数 の 提 案 のうち 別 ポート 案 とSTARTTLS 案 をマ ージしたものが 好 まれた Copyright 2015 Japan Registry Services Co., Ltd. 16
dprive WG (2) DNS over DTLS, draft-ietf-dprive-dnsodtls DNS over TLSと 同 じ 別 ポートを 使 用 可 能 Downgrade attackへの 懸 念 が 示 された 継 続 TLS for DNS, draft-ietf-dprive-start-tls-fordns 実 装 あり: Unbound, ldns/drill, digit, getdns 別 ポート 案 併 用 案 などとの 比 較 が 必 要 で 議 論 を 継 続 Copyright 2015 Japan Registry Services Co., Ltd. 17
dprive (3) EDNS Padding Option データサイズが 固 定 されている 場 合 暗 号 文 を 見 て 原 文 を 推 定 できる 可 能 性 があるため 原 文 にラ ンダムサイズのpaddingを 追 加 する 提 案 TLS 1.3ではpaddingオプションがあることや EDNS0で 規 定 するとDoSの 原 因 になること 壊 れたDNSサーバは 誤 動 作 する 可 能 性 があること などが 指 摘 された 今 後 EDNS0 optionとuse caseの 二 つのドラフ トを 書 くとのこと draft-mayrhofer-edns0-padding-01 Copyright 2015 Japan Registry Services Co., Ltd. 18
dnssd WG (Extensions for Scalable DNS Service Discovery) DNSを 使 ったサービスディスカバリを 作 るWG DNS-SD (RFC 6763)をベースに 複 数 ネットワークセグ メントに 対 応 したものを 標 準 化 する 振 り 返 り: 2014 年 11 月 のIETF 91 Long Lived Queries 復 活 脅 威 モデル: 継 続 実 装 案 : ハイブリッドプロキシー 振 り 返 り: 2015 年 3 月 のIETF 92 Requirements: 現 在 RFC Editor queue DNS Push: LLQの 代 わりにDNS Updateに 変 更 実 装 案 : ハイブリッドプロキシーだが 進 展 が 見 られない 脅 威 モデル: ハイブリッドプロキシーの 話 があっていない? Copyright 2015 Japan Registry Services Co., Ltd. 19
dnssd (2) RFC 7558 Requirements for DNS-SD 発 行 現 在 Milestoneに 対 して 半 年 遅 れ Interoperation of Labels Between mdns and DNS DNSとmDNSでラベルの 扱 いが 違 う 問 題 DNSはASCIIのみ (A-label), mdnsはutf-8そのまま 国 際 化 ドメイン 名 を 理 解 していない 人 が 多 く 発 散 気 味 DNS Push Notifications Reviewerが 少 ないので 判 断 できない 使 いたいと 思 っている 人 が 少 ない? Threat model / 脅 威 モデル まだ 記 述 不 足 Copyright 2015 Japan Registry Services Co., Ltd. 20
dnssd (3) 実 装 報 告 Homenet WG 関 連 で 実 装 draft-ietf-homenet-hybrid-proxy-zeroconf-00 RHEL/Ubuntu/Debian/FreeBSDなどで 作 れる Apple mdns responderをベースに 作 ったとのこ と さっさと 標 準 化 してくれたら 実 装 するという 人 は 多 い Copyright 2015 Japan Registry Services Co., Ltd. 21
homenet 家 のネットワーク draft-ietf-homenet-front-end-naming-delegation 家 の 情 報 をDNSに 出 す 仕 組 みで 家 でhidden masterを 動 かし ISPにゾーン 転 送 してDNSSEC 署 名 してISPの DNSサーバで 公 開 NOTIFYやゾーン 転 送 の 詳 細 が 追 記 された draft-ietf-homenet-naming-architecture-dhcoptions-02 DHCPにhybrid proxyなどの 情 報 を 伝 えるオプションを 追 加 する 提 案 OPTION_PUBLIC_KEY, OPTION_DNS_ZONE_TEMPLATE, OPTION_NAME_SERVER_SET, OPTION_REVERSE_NAME_SERVER_SET 複 雑 WGLC が 近 い Copyright 2015 Japan Registry Services Co., Ltd. 22
IEPG (1) DNS 関 連 が5 件 中 4 件 Deploying New DNSSEC Algorithms, Dan York @ ISOC 新 しいアルゴリズムを 普 及 させたいが 問 題 がある RSASHA1が 多 いのでECDSAなどの 新 しいアルゴリズムを 広 めたい Visualisation of RIPE Atlas Probes for root dns deployment and routing policies, Ray Bellis@ISC F-Rootへ 到 達 するクエリをRIPE Atlasを 用 いて 評 価 パロアルトでpeerしている 複 数 の 巨 大 ASのために 各 地 の Anycast nodeよりもパロアルトが 優 先 される 問 題 の 指 摘 アムステルダムなどのノードも 広 域 に 使 われる 結 果 として 200ms 以 上 の 遅 延 のところが 日 本 やEU, USに もある Copyright 2015 Japan Registry Services Co., Ltd. 23
IEPG (2) Infrastructure GeoLoc, Robert Kisteleki@RIPE RIPE NCCでOpenIPMapというGeoIP 相 当 のも のを 作 っているので 貢 献 してほしい https://marmot.ripe.net/openipmap/ Data Driven Evaluation of root/tld node placement, Frank Scalzo@Verisign DITL data をもとにrootの 配 置 を 把 握 地 域 別 のquery source IP addressと 量 クエリごとの 距 離 などを 示 されている Copyright 2015 Japan Registry Services Co., Ltd. 24
IEPG (3) The Yeti DNS project, and where we are with it, Shane Kerr @ BII (Beijing Internet Institute) 雪 男 のロゴと BIIの 巨 大 なロゴ IPv6 onlyのalternate rootを 作 って DNSに 関 する 研 究 を 行 うプロジェクト One upon a time at WIDE Camp, Davey Song and Paul Vixie were wondering if. 主 な 参 加 組 織 : BII, WIDE, TISF(=Paul Vixie) Shaneが ことあるごとに WIDE Projectが と 発 言 していたことが 興 味 深 い いろいろな 懸 念 をコメントされる 人 が 多 かった Copyright 2015 Japan Registry Services Co., Ltd. 25
その 他 のWG ( 範 囲 外 ) mif WG (Multiple Interfaces) 複 数 のインターフェースから 得 た 設 定 情 報 (DHCP, Route advertisement, PPP) を 分 けて 扱 う インターフェースごとにIP/IPv6 address, default route, DNS 情 報 Socket Interfaceを 拡 張 し socketごとにアドレス default route DNS 情 報 を 変 更 setsockopt()でip_pvdを 設 定 socket(), bind(), listen(), accept(), connect()も 変 更 当 然 kernelも 複 数 のrouting tableを 持 つ 楽 しそうです 6man (IPv6 Maintenance) 複 数 ISPからアドレスを 受 けるとSource address routing 必 須 複 数 のRAを 聞 くと 複 数 のdefault routeを 受 け 取 るが hostは1つしか 使 わ ない 普 通 のISPは 自 分 が 顧 客 に 割 り 当 てたアドレスからのパケット 以 外 を 捨 て るというフィルタをすでに 実 装 している Host requirementsを 変 更 するかどうかという 議 論 に draft-baker-6man-multi-homed-host 楽 しそうです Copyright 2015 Japan Registry Services Co., Ltd. 26
参 考 www.ietf.org 過 去 のIETFミーティングの 資 料 議 事 録 あり www.iepg.org IEPGミーティングの 資 料 Copyright 2015 Japan Registry Services Co., Ltd. 27