Microsoft PowerPoint - private-dnssec

Similar documents
e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

スマート署名(Smart signing) BIND 9.7での新機能

スライド 1

Microsoft PowerPoint - bind ppt

DNSSECの基礎概要

DNSSEC性能確認手順書v1.2

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

日本語ドメイン名運用ガイド

Microsoft PowerPoint - BIND9新機能.ppt

DNSSEC機能確認手順書v1.2

DNSを「きちんと」設定しよう

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

DNSのセキュリティとDNSに関する技術

PowerPoint プレゼンテーション

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

スライド 1


Microsoft PowerPoint 版_Root_JPの状況.ppt

のコピー

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

DNSハンズオンDNS運用のいろは

DNSSEC運用技術SWG活動報告

JAIPA-DNSSEC

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

opetechwg-tools

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

untitled

DNSSECチュートリアル [ ]

Copyright

ご挨拶

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

BIND 9 BIND 9 IPv6 BIND 9 view lwres

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

OpenDNSSECチュートリアル

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

DNSSECチュートリアル ~実践編~

Microsoft PowerPoint - 動き出したDNSSEC.ppt

DNSSEC技術実験報告書

DNSSEC導入に関する世界的動向

Microsoft PowerPoint - DNSSECとは.ppt

初心者のためのDNSの設定とよくあるトラブル事例

2.

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

セキュアなDNS運用のために

PowerPoint プレゼンテーション

目次 1 BIND 9 (UNIX) を利用する 設定例の環境 インストール 設定例のファイル構成 named.conf の設定例 ルート DNS サーバの設定 ループバックアドレス用ゾーンの

Contents CIDR IPv6 Wildcard MX DNS

Root KSK更新に対応する方法

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

JPドメイン名におけるDNSSECについて

jus.ppt

クラウドDNS へのネームサーバー切替手順

030717kuri.txt - メモ帳

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

DNSSECチュートリアル

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

提案書タイトルサブタイトルなし(32ポイント)

PowerPoint プレゼンテーション

DNSの負荷分散とキャッシュの有効性に関する予備的検討

PowerPoint プレゼンテーション

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint attacktool.pptx

untitled

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

DNSサーバー設定について

DNSとメール

新しいDNSサーバ、 NSDの紹介

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

rndc BIND

初心者のためのDNSの設定とよくあるトラブル事例

rndc BIND DNS 設定 仕組み

<4D F736F F D20444E D C F834B >

Knot DNS

opetechwg-HSM

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

DNSSECトラブルシューティング

DNSSEC ソフトウェアアップデート + DNSSEC 普及状況調査 NTT セキュアプラットフォーム研究所 佐藤一道 Copyright(c) 2013 NTT Corporation 1

IETF 91 報告 DNS 関連 藤原和典 株式会社日本レジストリサービス (JPRS) IETF 91 報告会, 2014 年 12 月 19 日

DNS の統計調査結果の紹介 ( 仮 ) DNS-OARC2014,ICANN51,IETF91 の話題 藤原和典 株式会社日本レジストリサービス (JPRS) dnsops.jp BoF, Nov.,2014

PowerPoint プレゼンテーション

Microsoft PowerPoint - RFC4035.ppt

DNS誕生日攻撃再び

2016年6月24日 DNS Summer Day 2016 PowerDNS

janog12enum _fujiwara.PDF

DNSSEC最新動向

enog-ryuichi

ENUM

dns-summer-knotdns-mikit-3.pptx

PowerPoint Presentation

RPKI in DNS DAY

poisoning_ipsj

Corporate Presentation Template

DNSでのBGP Anycast運用による 影響の計測 a.dns.jpのクエリログから

Transcription:

JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 <fujiwara@jprs.co.jp> 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1

いますぐ DNSSEC で遊びたい 使ってる TLD や 使いやすい TLD はまだ対応してません.SE なら登録できるけど 高い?.ORG はまだ DS 受け付けてくれません DLV なら既存ドメイン名で DNSSEC 可能 TLD が対応したら 移行すればよい 2

DLV RFC 4431: The DNSSEC Lookaside Validation (DLV) DNS Resource Record RFC 5074: DNSSEC Lookaside Validation (DLV) DNSSEC は ルートからの権限委任と同じ形で信頼の連鎖を構築します DLV では DLV を提供する事業者により各組織の鍵情報 (DS) が署名されます 既存ドメイン名の鍵情報を DLV に登録できます DLV リソースレコードは DS と同じ内容 TLD が対応してなくても大丈夫です DLV は TLD の対応が完了するまでの時間稼ぎだと考えられているようです 3

ISC DLV ISC は BIND 9 の開発元 ISC が DLV 登録サービスを現在は無償で提供中 https: //dlv.isc.org/ BIND 9.7 では一行で DLV 設定可能 dnssec-lookaside auto; しばらく ISC DLV 生活をしてみるのはいかがでしょうか 4

DLV での登録 たとえば ISC DLVに登録すると 以下の情報が登録されます dig fujiwara.asia.dlv.isc.org dlv ;; ANSWER SECTION: fujiwara.asia.dlv.isc.org. 544 IN DLV 24643 5 1 AB8BDA49046FA5C2F244851CB023D45FF7AAED FF fujiwara.asia.dlv.isc.org. 544 IN DLV 24643 5 2 056B40CADE140C943C4CD785AEC1EB3CD76FE0 E2E2DB429CCA16593B 01473EB8 dlv.isc.org 以下に fujiwara.asia というエントリが登録され DS 情報がDLVとして登録されています 5

DLV での検索 すべてのDNS 検索時に DLVに情報が登録されているか確認します 例 : dlvがない場合 (www.example.com) 1. www.example.com.dlv.isc.org DLV 検索 2. example.com.dlv.isc.org DLV 検索 3. com.dlv.isc.org DLV 検索 4. DLVがないことを検知 例 : dlvがある場合 (www.fujiwara.asia) 1. www.fujiwara.asia.dlv.isc.org 検索 2. fujiwara.asia.dlv.isc.org 検索 存在応答 すべてのクエリでDLVが存在するか調べるため 無駄なクエリが発生する問題点があります 6

DLV での検証の設定 1. BIND 9.7 の導入 2. named.conf の修正 3. named 再起動 7

1: BIND 9.7 の導入 ISC から BIND 9.7 の最新をとってきて install しました 現在は BIND 9.7.0a2 です アルファ版だからといって動かないわけではありません./configure with-openssl=yes; make; make install ぐらい? 9.6 だと DLV の設定が一行ですまないので https://dlv.isc.org/ よんでください 8

2: named.conf の微修正 Options 中に以下の三行を追加しました dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; 9.3 9.4 あたりで Pid-file の場所が変わっているので注意しましょう 9

3: named 再起動 これで DLV での検証が有効になります 10

DLV での検証例 % dig +dnssec isc.org mx ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 9 ;; ANSWER SECTION: isc.org. 2143 IN MX 10 mx.isc.org. isc.org. 2143 IN MX 13 mx.ams1.isc.org. isc.org. 2143 IN RRSIG MX 5 2 43200 20090928233314 20090829233314 48684 isc.org. SIGNATURE ;; AUTHORITY SECTION: ;; ADDITIONAL SECTION: 11

自ドメイン名の DNSSEC 対応 1. BIND 9.7の導入 2. named 再起動 3. 補助ツール作成 dnssec.sh 4. ゾーンファイルの微修正 5. named.confの修正 6. 鍵生成 dnssec.sh keygen ゾーン名 7. 署名 dnssec.sh sign ゾーン名 8. 定期的な再署名の設定 9. ISC DLVへの登録 12

3: dnssec.sh dnssec-keygen, dnssec-signzone, rndc をそのままつかうのは不便なので shell script を書きました http://member.wide.ad.jp/~fujiwara/dnssec/ に置いています Usage: dnssec.sh keygen ゾーン名で鍵生成 dnssec.sh sign ゾーン名で署名 Shell script なんで適度に直せます 13

4: ゾーンファイルの微修正 ゾーンファイルのファイル名を変更 /etc/namedb/master/ ゾーン名 例 : /etc/namedb/master/fujiwara.asia ゾーンファイルに以下を追加 $INCLUDE ゾーン名.keys 例 : $INCLUDE fujiwara.asia.keys パスなどは dnssec.sh や named.conf とあわせて変更してください 14

5: named.conf の微修正 DNSSEC 対応するゾーンのゾーンファイル名をゾーン名.signed に変更 zone example.com in { }; type master; file /etc/namedb/master/fujiwara.asia.signed ; 15

6: 鍵生成 dnssec.sh keygen ゾーン名 例 : dnssec.sh keygen fujiwara.asia 鍵のパラメータは標準では ZSK 1024bit RSASHA1 KSK 2048bit RSASHA1 /etc/namedb/master に鍵ファイルが生成される 同時に dnssec.sh sign で使うファイルを生成 /etc/namedb/master/config/ に生成 16

7: 署名 dnssec.sh sign ゾーン名 例 : dnssec.sh sign fujiwara.asia 標準では NSEC 方式 SERIAL は署名時の unixtime 勝手に rndc reload するので注意 17

8: 定期再署名 crontab に以下を毎週実行するように登録 dnssec.sh sign ゾーン名 8 8 * * * root /etc/namedb/master/dnssec.sh sign fujiwara.asia 18

9: ISC DLV への登録 (1) https://dlv.isc.org/ にアクセス Register でアカウント生成 Manage Zones でゾーン設定 19

9: ISC DLV への登録 (2) Manage Zones でゾーン設定 Add Zone で ゾーン追加 Add DNSKEY Record で公開鍵登録 コピーペーストか ファイルのアップロード /etc/namedb/master/ ゾーン名.keys ファイルのなかの DNSKEY 257 を含む行をいれる dlv. ドメイン名に指定された TXT RR を追加すると認証するといわれるのでゾーンファイルにコピーして署名 reload する (dnssec.sh sign ゾーン名 ) しばらく待つとドメイン名.dlv.isc.org に DLV RR が追加されます 20

*: 鍵更新 そのうち dnssec.sh に機能追加します KSK と ZSK の更新が必要 KSK を変更すると ISC DLV の設定も変更しないといけません Add key したあと認証コードを追加 21

署名検証 dig ドメイン名 soa などして AD=1 であることを確認します % dig fujiwara.asia soa ;; flags: qr rd ra ad; QUERY: 1, ANSWER: AUTHORITY: 3, ADDITIONAL: 5 ;; ANSWER SECTION: fujiwara.asia. 3600 IN SOA f.fujiwara.asia. postmaster.fujiwara.asia. 1251786921 3600 900 1209600 900 fujiwara.asia. 3600 IN RRSIG SOA 5 2 3600 20091001053521 20090901053521 23397 fujiwara.asia. SIGNATURE 22

まとめ 個人でも DNSSEC で遊べます http://member.wide.ad.jp/~fujiwara/dnssec/ にメモを書いています TLD が対応したら DS を TLD Registry に登録すればよいだけです TLD が対応するまでのつなぎとして ISC DLV で遊ぶのはいかがでしょうか? 23

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック