DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発

Similar documents
Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

DNSSEC運用技術SWG活動報告

ご挨拶

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint - DNSSECとは.ppt

DNSSECの基礎概要

DNSSEC導入に関する世界的動向

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

Microsoft PowerPoint - private-dnssec

経路奉行・RPKIの最新動向

Microsoft PowerPoint 版_Root_JPの状況.ppt

DNSSEC性能確認手順書v1.2

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

opetechwg-tools

スライド 1

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

PowerPoint プレゼンテーション

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

DNSとメール

LGWAN-1.indd

スライド 1

058 LGWAN-No155.indd

ドメイン指定事業者変更について KDDI ホスティングサービス ( プラン 20/50/100) のサービス提供終了に伴い 株式会社 KDDI ウェブコミュニケーションズ ( 以下 KWC) のサービス ACE01 をご利用される場合 一部ご契約ドメインで指定事業者変更が必要です 付きましては 当該

Microsoft PowerPoint _tech_siryo4.pptx

セキュアなDNS運用のために

PowerPoint プレゼンテーション

Microsoft PowerPoint - janog15-irr.ppt

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

OpenDNSSECチュートリアル

DNSのセキュリティとDNSに関する技術

IPアドレス・ドメイン名資源管理の基礎知識

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

内容 1 本書の目的 用語 WiMAX WiMAX LTE WiMAX2+ サービス WiMAX サービス WiMAX2+ デバイス ノーリミットモード

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

DNSSEC最新動向

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

MPサーバ設置構成例

Root KSK更新に対応する方法

DNSハンズオンDNS運用のいろは

ドメインサービス約款

DNSの負荷分散とキャッシュの有効性に関する予備的検討

untitled

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

2 目次 1. 実証事業の全体概要 1.1 Androidスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.2 iosスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.3 システム検証と安全性対策検討 2. 利用者証明機能ダウンロードに関するシステム検証 2.1 An

PowerPoint プレゼンテーション

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

スマート署名(Smart signing) BIND 9.7での新機能

MRS-NXシリーズご利用ガイド

JPドメイン名におけるDNSSECについて

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

Microsoft PowerPoint - 動き出したDNSSEC.ppt

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

スライド 1

HGWとかアダプタとか

R80.10_FireWall_Config_Guide_Rev1

スライド 1

Zone Poisoning

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

東大センターにおけるスーパーコンピューター利用入門

スライド 1

Office 365 管理者マニュアル

カスタマーコントロール接続設定 (VPN クライアントソフト設定マニュアル :SSL-VPN 経由 ) 第 1.8 版 2017 年 4 月 KDDI 株式会社 1 Copyright KDDI Corporation All Rights Reserved.

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

提案書タイトルサブタイトルなし(32ポイント)

権威DNSサーバ 脱自前運用のススメ

SOC Report

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

PowerPoint プレゼンテーション

スライド 1

Windows2008Serverの キャッシュDNSサーバと.biz

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

スライドタイトル/TakaoPGothic

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

DNSSECトラブルシューティング

PowerPoint Presentation

IPv6アドレス JPNICでの逆引きネームサーバ登録と逆引き委譲設定の方法

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

本資料について

KDDI の IPv6 対応について (update) ~World IPv6 Launch とその後 ~ KDDI 株式会社

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

PowerPoint Presentation

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

2014/07/18 1

ESET Mobile Security V4.1 リリースノート (Build )

中継サーバを用いたセキュアな遠隔支援システム

Microsoft PowerPoint - HNWG8_03_HN-WG.A_アーキテクチャおよび技術課題(9.18版).ppt

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

ccNSO関連報告

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

システムインテグレータのIPv6対応

Transcription:

DNSSEC ジャパン DNSSEC 技術検証 WG 活動報告 技術検証 WG Chair 豊野剛 toyono@mfeed.ad.jp 2010/7/21 DNSSEC.jp Summer Forum 2010 0

DNSSEC ジャパン 的と活動内容 的 DNSSEC の導 運 の課題の整理 検討 参加者の技術 の向上, ノウハウの共有 対外啓蒙活動 活動内容 DNSSEC の導 運 に関する 課題の整理 共有 技術検証の実施 ノウハウの蓄積 BCP の策定 成果の対外的発信による DNSSEC の普及 啓発 2010/7/21 DNSSEC.jp Summer Forum 2010 1

技術検証 WG の活動 的 1. WG メンバが持つサービスやプロダクトにどのような影響が じるかを調査, および実験環境の中で確認する 2. WG メンバが持つサービスやプロダクトの DNSSEC 対応状況を確認し, 運 ノウハウを共有 蓄積する 3. 蓄積したノウハウは必要であれば積極的に BCP やガイドラインとして公開する 2010/7/21 DNSSEC.jp Summer Forum 2010 2

DNSSEC ジャパン 技術検証 WG の位置づけ DNSSEC ジャパン 事務局 技術検証 WG 広報 WG 運用ワークショップ 運用技術 SWG Short term プロトコル理解 SWG Short term 2010/7/21 DNSSEC.jp Summer Forum 2010 3

DNSSEC ジャパン 技術検証 WG の主な活動内容 技術検証 WG 調査 1 国際動向 関連情報調査 2レジストリ レジストラ I/F 調査 3ツールの比較調査 検証 4 シナリオシミュレーション 5 ネットワーク接続機器検証 6 導入における懸念点整理 レジストラ移転 NGN 2010/7/21 DNSSEC.jp Summer Forum 2010 4

技術検証 WG の活動 メンバは親会の中から参加 主な活動はメーリングリスト 隔週程度の定例打ち合わせ 必要に応じて各調査 検証項 ごとに個別打ち合わせ 成果はメンバにフィードバック 対外的なアクションに関しては親会および広報 WG と連動 2010/7/21 DNSSEC.jp Summer Forum 2010 5

DNSSEC に関わるプレイヤー root, TLDs, cctlds DNS Registries The Internet Domain Registrars Domain resellers XSPs DNS Caching servers Non Internet Security Appliance Home Routers/Adapters Users 2010/7/21 DNSSEC.jp Summer Forum 2010 6

実際の運 現場 上層部 DNSSEC ってあるらしいけど, ウチはいつやるの? 別の上層部リスクがある? ちゃんと検証しろ! 営業方面安全なドメイン名とか言うお客様が 設備 予算 DNS ってタダでしょ? お金かかるの? 時期 稼働いつだれがいくらで? え, 継続? サポートセンタインターネットに繋がりませんというお客様が DNS の運 に関わる 々 2010/7/21 DNSSEC.jp Summer Forum 2010 7

技術検証 WG の 的 ( 再 ) 上層部 DNSSEC ってあるらしいけど, ウチはいつやるの? 別の上層部リスクがある? ちゃんと検証しろ! サービスやプロダクトの調査 実験環境で確認 現場が困りそうなことは予め検討しておく. 営業方面安全なドメイン名とか言うお客様が 設備 予算 DNS ってタダでしょ? お金かかるの? 運 ノウハウを共有 現場でハマることがあったら皆で助け合う. BCPやガイドラインとして公開 分たちだけじゃどうしようもない. 皆にも気づいて助けてもらう. 時期 稼働いつだれがいくらで? え, 継続? DNS の運 に関わる 々 サポートセンタインターネットに繋がりませんというお客様が 2010/7/21 DNSSEC.jp Summer Forum 2010 8

各調査 検証項 について 現在の活動状況 2010/7/21 DNSSEC.jp Summer Forum 2010 9

1 国際動向 関連情報調査 調査の概要 主に国外の最新の DNSSEC 動向を調査し, 本語で短信として報告 特に失敗談などは貴重なノウハウ 活動状況 隔週開催の定例会内で報告中 今後, 要望があればレポート内容は広報 WGと連携して公開も検討します 2010/7/21 DNSSEC.jp Summer Forum 2010 10

2 レジストリ レジストラ I/F 調査 調査の概要 国内で DNSSEC を利 できるようにするには レジストリ レジストラ リセラー等における DNSSEC のための鍵登録に対応する必要がある 活動状況 国内の対応状況を調査 レジストラにおける今後の対応のための情報源を収集, 整理 2010/7/21 DNSSEC.jp Summer Forum 2010 11

ドメイン名登録 I/F における鍵登録への対応状況 レジストリレジストラリセラ申請者 DNSSESC の鍵登録に対応している範囲 (a) レジストリ ~ レジストラ I/F ( データベース登録 ) (b) レジストラ ~ リセラ I/F ( 登録申請 ) (c) リセラ ~ 申請者 I/F ( 登録申請 ) 最初に DNSSEC への対応が必要.org,.info,.com,.net 等対応済み ( 資料については後述 ) レジストラによって I/F が異なる プログラムインターフェースであったり Web インタフェースであったりする 国内で鍵登録に対応しているレジストリはない リセラによって I/F が異なる 基本的に Web I/F である 国内では対応しているリセラはない 日本国内で鍵登録 I/F に対応しているレジストラがない (2010 年 7 月現在 ) そこで レジストラ向けの情報を収集すると共に リセラーに鍵登録 I/F に関する要望をヒアリングした 2010/7/21 DNSSEC.jp Summer Forum 2010 12

レジストリによる レジストラ向けの情報 PIR(.ORG) http://www.pir.org/dnssec DNSSEC の解説記事の他にブロードバンドルーターへの影響や,ISP における DNSSEC 対応のためのチェックリストなどを公開 レジストラ向けの鍵登録 I/F については WebEx やデータシートを提供 VeriSign(.COM,.NET など ) http://www.verisign.com/domain name services/index.html レジストラに関する情報を公開している 鍵登録 I/F に関する情報はレジストラのメンバーページにて提供 Affilias(.INFO,.MOBI,.ASIA,.AERO, cctlds) http://www.afilias.info/dnssec 鍵登録 I/F についてのマニュアルはレジストラメンバサイト内で提供 DNSSEC overview (DNSSEC の概要 ) や Securing a Domain SSL vs DNSSEC ( ドメインのセキュリティに対する SSL と DNSSEC の違い ) といった記事も 2010/7/21 DNSSEC.jp Summer Forum 2010 13

リセラへの鍵登録 I/F に関するヒアリン グ 複数のリセラーに共通した要望事項 顧客向け Web では DS の登録を受け付けられることが望ましい DNS サーバは顧客が管理していることがあるため リダイレクトできるようことが望ましい ドメイン名の設置当初はリダイレクトサービス ( 転送サービス ) が必要. 鍵の有効期限切れを知らせてくれることが望ましい ドメイン名の移転と同時に DNSSEC もできるようにすることが望ましい 2010/7/21 DNSSEC.jp Summer Forum 2010 14

3 ツールの 較調査 調査の概要 DNSSEC の導 にあたっては 鍵や署名の管理 更新と ったこれまでにない運 が必要 による運 には限界があり ツールのサポートが必要となる DNSSEC の導 運 に有 なプロダクトの情報を, オープンソースやベンダー製品を問わず調査 公開 活動状況 ツールの分類整理中. 実証検証しているものも有り. 結果は整理後, 公開予定. 2010/7/21 DNSSEC.jp Summer Forum 2010 15

分類項 DNSSEC 対応 DNS サーバ DNSSEC に対応した DNS サーバ製品を分類 開発ツール / ライブラリ DNSSEC 導 のために開発者が開発を うために必要なツール / ライブラリを分類 運 サポートツール DNSSEC の鍵の 成 管理や運 の 動化を う運 サポートツールを分類 動作検証 活 ツール DNSSEC の動作検証や実際に DNSSEC を活 するためのツールセットを分類 16 2010/7/21 DNSSEC.jp Summer Forum 2010

調査対象分類 DNSSEC 対応 DNS サーバ ISC BIND NLnetLabs NSD NLnetLabs Unbound Infoblox Nominum ANS & ANSP Secure64 DNS Server F5 DNS SECURITY SOLUTIONS DNSSHIM 開発ツール / ライブラリ libbind ldns libepp nicbr Net::DNS::SEC Net::DNS::ZoneFile::Fast DNSRuby DNSJava DNSPython 運用サポートツール 動作検証 活用ツール OpenDNSSEC + SoftHSM DNS Check DNSSEC Zone Key Tool DLV Test DNSSEC Smartcard Utility Sec Spider DNSSEC Key Management Tool DNSSEC Reply Size Test Vanteges DNSSEC Tools AutoTrust DNSSEC Toolkit Drill Extension for Firefox 17 2010/7/21 DNSSEC.jp Summer Forum 2010 pydig

例 ) OpenDNSSEC + SoftHSM DNSSEC 運 の全課程を 動化することを 的として作られた運 援ツール 鍵の管理 ゾーンの再署名 鍵のロールオーバーをスケジューリングして 動実 PKCS#11 に準拠した HSM の利 を前提とし 代替となる SoftHSM も併せて提供 ゾーン管理者 HSM 鍵の生成と管理 ゾーン情報 ( 未署名 ) ( ファイル or ゾーン転送 ) Auditor ゾーン情報の完全性確認 ポリシに基づくスケジューリング Enforcer OpenDNSSEC Signer ゾーン情報 ( 署名済 ) 更新通知 ゾーンへの署名と DNS への通知 DNS 18 2010/7/21 DNSSEC.jp Summer Forum 2010

4 シナリオシミュレーション 検証の概要 DNSSEC 導 検討事例を具体的な実 順により検討し, 新たな課題や検討漏れがないかを参加メンバで再確認 共有 導 事例としては以下の2つを想定 ネームサーバ運 者 ( レジストラ リセラ ) キャッシュサーバ運 者 (ISP) 活動状況 ネームサーバ運 の移 モデルについては検討済 参加メンバの 1 社を実例に, 専 部会を開いて皆で議論 2010/7/21 DNSSEC.jp Summer Forum 2010 19

移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) ユーザクエリ ドメイン登録 Internet ユーザ登録 UI (Web など ) 登録作業 global 負荷分散装置群 NAT 認証 DB RR 管理 DB DNS ネームサーバ群 2010/7/21 DNSSEC.jp Summer Forum 2010 20

移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) ユーザクエリ ドメイン登録 新規 ( 鍵の生成 ) Internet 負荷分散装置の性能 出入 変更 ( 移転 ) ユーザ登録 UI (Web 削除など () 鍵の削除 ) 再登録 再移転 ( 鍵...) DNSSEC 鍵登録登録作業 I/F global 負荷分散装置群 NAT ネームサーバの性能 認証 DB RR 管理 DB 鍵管理 DB DNS ネームサーバ群 鍵生成 zone 署名 2010/7/21 DNSSEC.jp Summer Forum 2010 21

移 モデル ( ドメインリセラの 例 ) 登録先親ゾーン (gtlds,cctlds) Rate Limit ユーザクエリ ドメイン登録 UI 制限 Internet FireWall 装置群 ユーザ登録 UI (Web など ) 鍵管理 DB 登録作業登録システムglobal 負荷分散装置群 NAT 認証 DB RR 管理 DB 鍵生成サーバ DNS ネームサーバ群 Zone copy reload 鍵署名 成 更新管理サーバへ Zone 投 reload 指 2010/7/21 DNSSEC.jp Summer Forum 2010 22

モデル検討により判明したことなど 思ったより機能変更が多い 鍵 成 鍵管理 zone 署名 実機への zone 情報反映 持っている TLD の数だけ鍵登録システムの変更が必要 UI を考えないと危険 DNSSEC 署名 署名解除とか 削除 再登録とか 設定も改めて 直しが必要か 負荷分散装置の設定 Amp 攻撃 DDoS 攻撃等に対しての Rate Limit TCP port53 Filtering 2010/7/21 DNSSEC.jp Summer Forum 2010 23

5 ネットワーク接続機器検証 検証の概要 DNSSEC 導 に当たって, オペレータは各種 NW 装置を含めた総合的な疎通性を評価する必要がある チェックポイントは何か, の項 作りも重要 活動状況 NW 装置の有無による DNSSEC 疎通確認, 性能評価 端末装置の有無による DNSSEC 疎通確認, 性能評価 ( 検討中 ) 2010/7/21 DNSSEC.jp Summer Forum 2010 24

NW 装置のチェックポイント ( 例 ) 想定装置 負荷分散装置 目的 (1)NW 装置の構成が有り / 無しで DNSSEC の通信に影響を測定する (2)NW 装置の構成が有り / 無しで キャッシュサーバ側の性能影響を測定する 負荷分散装置のチェックポイント 1 大きな UDP パケットを通せるか 2UDP Fragment 3TCP フォールバック 4NAT ではなく Global の Reachability 5UDP のセッション数 DNSSEC.jp Summer Forum 2010 25

一次試験環境 権威サーバ インターネット Router SW L2SW, 負荷分散装置,Router を経由した実証的な環境で負荷試験を想定 負荷分散装置 SW キャッシュサーバ DNSSEC.jp Summer Forum 2010 26

その他の DNSSEC 中継装置と チェックポイントなど 想定される装置とチェックポイントはまだ洗い出しが必要 想定される中継装置など ブロードバンドルータ VoIP アダプタ ターミナルボックス 無線機器 FireWall 装置 ( 宅内, エンタープライズ,NW) 負荷分散装置 想定されるチェックポイントなど EDNS0 対応および UDP パケットサイズの取り扱い UDP Fragment TCP Fallback,TCP port 53 Filtering UDP State の扱い ( 特に負荷分散装置,NAT 装置など ) DNS キャッシュ機能,DNS Proxy 機能 2010/7/21 DNSSEC.jp Summer Forum 2010 27

6 導 における懸念点整理 検証の概要 DNSSEC 導 に伴い問題が発 しそうな事象に関しては,BCP やガイドラインを公開し啓蒙活動に努める 導 における懸念点に関する BCP の作成 活動状況 (6 1) レジストラ移転 順検証 RFC4841bis は本当に動くのか? (6 2) NGN 対応検討 DNSSEC + NGN 対応で XSP のするべきことは? 2010/7/21 DNSSEC.jp Summer Forum 2010 28

6 導 における懸念点整理 (6 1) レジストラ移転 順検証 運 する上で考えておかなければならないこと 対応 針をあらかじめ決めておく必要がある ( お客様希望の有無も ) 移転 の場合, 移転元レジストラへ鍵交換の要求を うか 移転出の場合, 鍵の交換に応じるかどうか レジストラ同志の連絡先 DB? 新旧のレジストラ同 で DNSKEY と RRSIG の交換が必要 相 レジストラが協 的か, 協 的か NS と同様に DS も引き継ぐ?( 上位 NS に設定 ) 鍵の授受? レジストリへの要求事項もあるかもしれない? ドメイン移転時にも NS 設定と同様 DS も引き継がれる仕様にする その場合移転後のレジストラが設定されている DS を取得できる 2010/7/21 DNSSEC.jp Summer Forum 2010 29

DNSSEC 移転の考えられる流れ確認 (RFC4641bis ベース ) 通常の流れ ( 移転元が協力的な場合 ) 移転元レジストラ移転先レジストラレジストリ 新しい権威 DNS サーバと新しい鍵を設定する 対象ドメイン名の公開鍵 (DNSKEY レコード ) その公開鍵に対する署名情報 (RRSIG) の提供を受ける 交換 対象ドメイン名の公開鍵 (DNSKEY レコード ) その公開鍵に対する署名情報 (RRSIG) の提供を受ける DNSKEY レコードと RRSIG を権威 DNS サーバで公開 DNSKEY レコードと RSIG を権威 DNS サーバで公開 対象ドメインに DNS サーバを NS レコードに追加する ( 移転元レジストラの鍵で署名する ) 報告 新しい DNS サーバと DS 情報をレジストリに登録 Whois サーバ 報告 対象ドメイン情報を削除 移転元の DNSKEY と RRSIG を削除 30

ドメイン移転パターン Transfer IN 1. ドメインを移転 NS も変更 ( 移転先の NS を使う ) 2. ドメインを移転 NS は自前で持っている 3. NS を元レジストラのままドメインを移転 4. 移転元レジストラが非協力的な場合 (DNSKEY と RRSIG の交換に応じてくれない等 ) 31

ドメイン移転パターン Transfer OUT 1. ドメインを移転 NS も変更 2. ドメインを移転 NS は自前で持っている 3. ドメインを移転するも NS だけ残していく 4. DNSKEY と RRSIG の交換に非協力的 ( レジストラ側 ) 32

相手が協力的だった場合通常のパターン 1( 例 :JP ドメイン ) transfer IN 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 管理ツールにドメイン登録 (NS の登録はまだ ) DNSKEY を登録 移転承認通知 移転完了の通知 DNSKEY と RRSIG を交換申請受理 DNSKEY と RRSIG を交換申請 DNSKEY と RRSIG を交換権威 DNS で公開 DNSKEY と RRSIG を交換権威 DNS で公開 移転先 DNS ホストを NS レコードに登録 DNS/DS をレジストリに登録 Whois 登録 ドメイン情報を削除 移転元の DNSKEY と RRSIG を削除 DNS(DNSSEC) 対応完了通知 33

相手が協力的だった場合 NS を自前でもつ場合パターン 2&3( 例 :JP ドメイン ) 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 管理ツールにドメイン登録 (NS の登録はまだ ) DNSKEY を登録 移転承認通知 移転完了の通知 DS レコードを渡す DS レコードをもらう DNS と DS 登録 Whois 登録 ユーザ通知 34

相手が非協力的だった場合パターン 4( 例 :JP ドメイン ) 移転元レジストラ livedoor User レジストリ 申請書を確認する ドメイン移転申請書を出す ドメイン情報を確認 レジストラツール 移転を申請 移転申請を確認 承認 移転申請を通知 移転承認通知 管理ツールにドメイン登録 移転完了の通知 DNSKEY と RRSIG を交換申請拒否 DNSKEY と RRSIG を交換申請 DNS/DS をレジストリに登録 Whois 登録 DNS(DNSSEC) 登録完了通知 旧 DNS 情報の cache が消えるまで不通期間が発生 35

Transfer IN 後の考えられるパターン パターン別のフローでわかるように DNSSEC 対応はドメイン自体が移転してから ドメイン移転後考えられるパターン ドメイン移転完了 1LDNS を利用する 2 自前 NS を利用する 3 元レジストラ NS を利用する 4DNSSEC をやめて普通の LDNS を使う 5DNSSEC をやめて普通の自前 NS を使う 鍵登録を LD でやる 鍵登録をユーザがやる DS を変更する時までそのまま NS 変更 鍵登録 UI を提供 不正期間が発生する 署名交換 できる できない パターン 1 のフローへ 不通期間発生パターン 2 のワークフロー Transfer Out の場合は立場が逆になるだけのため省略 36

考えられる Check Point それぞれの選択や手段はサービスレベルや運用ポリシーなどに基づくことになる Transfer IN ドメイン移転時のゾーン情報 ( 有効期限など ) の確認 鍵登録を誰がやるのか? ( レジストラ間ですることができるのか ユーザがやるのか できないのか またはその手段 ) パターンによって不通期間が発生することを予め説明する ( 不正期間が発生すること約款等に盛り込むなど ) Transfer OUT 移転して出て行った後どの程度ドメイン情報を保持するのか ( 移転後猶予期間を設けて削除する または持たないなど ) 移転後ドメイン情報を削除したあと 不通期間が生じる場合 ( 猶予期間終了後は削除しますなど ) またはその可能性についての免責について約款に入れる 鍵交換に応じるのか ( 応じる場合どういった手段をとるのか ) 37

6 導 における懸念点整理 (6 2) NGN 対応検討 NTT NGN の ISP IPv4/IPv6 接続環境 2011/4 に開始が予定されている DNSSEC 導 後に技術的な問題が発 しないかを検討. もし問題が発 するのであれば, その解決 法について検討し,DNSSEC.jp 技術検証 WG メンバおよび関係者間で共有. 2010/7/21 DNSSEC.jp Summer Forum 2010 38

まとめとご案内 2010/7/21 DNSSEC.jp Summer Forum 2010 39

まとめ DNSSEC 技術検証 WG の紹介 各活動のご案内 困ったことは現在進 形で議論 今後は広報 WG と連携し, 積極的な資料公開も検討していきます 2010/7/21 DNSSEC.jp Summer Forum 2010 40

技術検証 WG ご参加のご案内 技術検証 WG では, 緒に悩む同志メンバを募集しています 導 にあたり検討したいことがある これからの実験検証で共にやりたいこと, やってほしいこと, がある ご興味のある は DNSSEC ジャパン事務局までご連絡をお願いいたします 下部組織である技術検証 WG のみへの単独加 は出来ません 2010/7/21 DNSSEC.jp Summer Forum 2010 41

技術検証環境について 技術検証 WG は DNSSEC に関連する技術検証の環境を JPRS と連携して準備します. 環境提供の 的 DNSSEC 導 の際に想定される技術的な課題を検証し, 実環境への導 をスムーズにすること 環境提供期間 2010 年 8 2011 年 3 環境条件 環境へのアクセスは利 者に限定 2010/7/21 DNSSEC.jp Summer Forum 2010 42

利 条件など 利 条件 1 技術検証 WG の活動に参加すること 既存の検証項 ( サブチーム ) に参加するか, 適切なサブチームがない場合は らサブチームを作って参加. 活動成果は原則的に参加者, または可能な範囲内で DNSSEC ジャパンとして公開予定. 付帯条件 1 JPRS の実験環境を利 する場合 JPRS が提供する実験環境を利 する場合は,JPRS が別途 意する実験参加申込書を提出して頂きます. 2010/7/21 DNSSEC.jp Summer Forum 2010 43

今後のスケジュール ( 予定 ) 2010 2011 7 8 9 10 11 12 1 2 3 4 課題検討 WG メンバ追加募集 論理検証 (BCP ガイドライン作成 ) 検証準備 検証 1 ( ネットワーク機器 レジストラ移転 ) 分析 報告 中間報告 検証 2 (tool 較 / ネットワーク機器 ) 分析 報告報告書 root sign.jpsign.jpregist 最終報告 DNSSEC.jp assembly IW JANOG 2010/7/21 DNSSEC.jp Summer Forum 2010 44

以上 2010/7/21 DNSSEC.jp Summer Forum 2010 45

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック