ENOG18-unbound-takata-2.pptx

Similar documents
2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

Unboundの紹介

DNSSECトラブルシューティング

社外向けテンプレート(プロジェクタ用)

Microsoft PowerPoint - private-dnssec

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

BIND 9 BIND 9 IPv6 BIND 9 view lwres

opetechwg-tools

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

janog315-openresolver-5.pptx

スライド 1

学生実験

DNSを「きちんと」設定しよう

夏の DNS 祭り Unbound/NSD ハンズオン 株式会社ハートビーツ滝澤隆史

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

dns-summer-knotdns-mikit-3.pptx

enog-ryuichi

rndc BIND

新しいDNSサーバ、 NSDの紹介

2014 年 6 月 26 日 DNS Summer Days 2014 チュートリアル 1 DNS 設定例例の紹介 権威 DNS サーバ編 DNSOPS.JP 高嶋隆 一 aka 酔っ払い.jp

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

untitled

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

jus.ppt

DNSSEC性能確認手順書v1.2

untitled

rndc BIND DNS 設定 仕組み

Zone Poisoning

ご挨拶

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

DNSとメール

Getting Start mdc (Mail Destination Confirm) Getting Start mdc (Mail Destination Confirm) Rev /11/3 目次 Getting Start mdc (Mail Destination Con

DNSの負荷分散とキャッシュの有効性に関する予備的検討

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

Nagios XI - SNMPでのLinux監視

Root KSK更新に対応する方法

Microsoft Word - SE第15回.doc

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

2.

JAIPA-DNSSEC

2014/07/18 1

DNSの評価と計測の話

スライド 1

Webhard_Users manual

キャッシュサーバの設定

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

演習に必要な

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

Helix Swarm2018.1インストール手順

演習に必要な

PowerPoint プレゼンテーション

DNSサーバー設定について

koboデスクトップアプリ ユーザーガイド

目次 1. 動作環境チェック 動作必要環境 Java のインストール Java のインストール Firebird のインストール Firebird のインストール Adobe Reader のインストール

Microsoft PowerPoint - internetweek2011-s03-4-public [互換モード]

システムインテグレータのIPv6対応

Microsoft PowerPoint - Android+TPMによるセキュアブート_KDDI研_後日配布用

SecureAssist Enterprise Portal アップグレードガイド Version 対応版 パッケージのダウンロード アップグレード全体の流れ アップグレード作業の詳細手順

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2


LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

Microsoft PowerPoint attacktool.pptx

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

<48554C46545F F A5490E08E9197BF2E786C73>

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

MPLS Japan 2015 キャリアサービスへの EVPN 適 用の検討と課題 横 山博基 NTT コミュニケーションズ株式会社 ネットワークサービス部 Copyright NTT Communications Corporation. All right reserved.

ServerView Agents補足情報

SOC Report

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

平成22年度「技報」原稿の執筆について

DNSのセキュリティとDNSに関する技術

提案書タイトルサブタイトルなし(32ポイント)

Microsoft PowerPoint - BIND9新機能.ppt

スマート署名(Smart signing) BIND 9.7での新機能

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

DNSSEC + 佐藤 一道 * 下 田晃弘 ** 石橋圭介 ** *NTT コミュニケーションズ株式会社 **NTT ネットワーク基盤技術研究所 Copyright NTT Communications Corporation. All right reserved.

Microsoft PowerPoint - s03-水越賢治-IW2011-S3DKIM-3 [互換モード]

untitled

FQDN を使用した ACL の設定

Microsoft Word - PSB導入ガイド_ docx

ServerView Agents 補足情報

SystemDirector Developer's Studio(V3.2) 適用ガイド

InfoPrint 5577/5579 ネットワーク設定ガイド(第5章 UNIX/Linux環境で使用する)

AWS Deck Template

InfoPrint 5577/5579 ネットワーク設定ガイド(第4章 UNIX/Linux環境で使用する)

Microsoft PowerPoint 版_Root_JPの状況.ppt

SmartPlant License Manager 8.0

多言語ドメイン名の実装 mdnkit 石曽根信 ( 株 ) SRA 2001/12/04 日本語ドメイン名解説 / mdnkit 1 mdnkit 多言語ドメイン名を扱うためのツールキット 正規化 エンコード変換等を提供するライブラリとコマンド 既存アプリケーシ

Samba3.0/4.0ロードマップとWindows Vistaの対応状況

ISP技術者SWG報告書 およびその後の検討状況

PowerPoint プレゼンテーション

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Microsoft PowerPoint - DNSSECとは.ppt

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

Transcription:

Unbound の紹介 ENOG18 高 田美紀 @mikit_t 1

自 己紹介 InfoSphere サービス 立立ち上げ ISP サービス (NTT グループでは初 ) 1994 年年 ~ 担当 : DNS メール Radius 認証系 他 WebARENA の中の 人 ハウジング VPS 共 用レンタルサーバなど 1999 年年 ~ 担当 : DNS メール UNIX システム管理理 他 DNSOPS.JP 幹事 2

agenda Unbound? BINDとのちがい build&setup 関連ツール紹介 まとめ 参考資料料 3

Unbound とは キャッシュ DNS サーバソフトウェア キャッシュ DNS のサービスに特化 シンプル 簡易易的な権威 DNS サーバの機能もある オープンソース BSD ライセンス Linux 版と Windows 版がある 最新版は 1.4.19 (2012/12/12 リリース ) オランダ NLnet Labs 他 4 組織で開発 http://unbound.net/ BIND の代替 DNS サーバの多様性 現在は NLnet Labs にて開発 保守 4

なぜ Unbound? 不不定期的にやってくる BIND 脆弱性発 見見 クリティカル workaround なし アップデートにはコストがかかる 検証 各所への連絡 実際の作業 重点監視 アップデートまでに攻撃されるリスク 1 パケットで named が死んだり DNS サービスの停 止 => サービス全断 高パフォーマンス 大規模な環境でも使われている 5

UnboundキャッシュDNSサーバ大規模用途向け機能の実装 より 6

BIND( キャッシュ ) との違い ない機能 View ResponsePolicyZone AAAA filter DNS64 挙動の違い DNS ラウンドロビン 多段 CNAME アクセス制限 cache snooping 各種コマンド rndc unbound- control dig drill ログ形式 7

ない機能 View 複数のサーバを稼働させることで回避 ResponsePolicyZone 簡易易権威サーバ機能で代替可能な場合も AAAA filter 構成変更更や運 用等で回避 DNS64 過去バージョン 用のパッチがあったらしい 必要ならコードを書きましょう 8

挙動の違い (1) DNS ラウンドロビン unbound 1.4.17 にて実装 デフォルトではオフ rrset- roundrobin: yes ラウンドロビンでなく ランダムな順番で答える 多段 CNAME 9 段以上の多段になると SERVFAIL hoge1 IN CNAME hoge2 hoge2 IN CNAME hoge3 : : hoge9 IN CNAME hoge10 hoge10 IN A 192.0.2.1 RFC には特に規定がない部分 9

挙動の違い (2) アクセス制限 デフォルトは どこからの問い合わせにも答えない NW 単位で許可設定 allow- control: 192.0.2.0/24 allow オープンリゾルバの予防 必要な NW にのみサービスするようにしましょう cache snooping キャッシュ DNS サーバへの 非再帰検索索要求 unbound は返答しないのがデフォルト キャッシュには再帰検索索しかこない筈だから? NW 単位で許可設定 allow- control: 192.0.2.0/24 allow_ snoop BIND からの置き換えと考えると必要かも? 10

挙動の違い (3) プライベートアドレスは NXDOMAIN RFC 1918, 0/8, 169.254/16, 192.0.2/24, 198.51.100/24, 203.0.113/24, 他 これらについて返事させたいときには 簡易易権威 DNS サーバ機能 (local- zone, stub- zone) を使う イマドキの bind は同様の挙動だった 11

導 入シナリオ (1) bind を unbound に置き換え 置き換え時の 一時的なコストのみ IP アドレス等変更更しなくて ok サービス影響が少ない 可能ならおすすめ キャッシュ機能だけ unbound に置き換え 権威 / キャッシュ兼 用の場合など bind は権威のみサービスするよう設定変更更 IP アドレスを変更更する必要があるかも 権威 / キャッシュ機能分離離にもなって 12

導 入シナリオ (2) hot standby LB での運 用の場合 LB のうしろに BIND と unbound 両 方 用意 cold standby 通常は BIND を使 用 named が死んだら unbound 登場 BIND 特有の機能を使っている場合など 置き換え以外は両 方管理理することになる コスト増 でも背に腹はかえられない unbound にも脆弱性発 見見の可能性があるから 13

cold standby の 一 手法 bind 付属のプロセス監視ツール contrib/nanny/nanny.pl ps と dig で監視 異異常があったら再起動 改造 異異常検知時 named を kill unbound を起動 unbound 稼働中の異異常検知 named は起動しない 14

必要な環境 OpenSSL の開発環境 バージョン 1.0 未満の場合 GOST と ECDSA を要 disable 後述のコマンドラインにてグレイアウト部分を指定 CentOS 5 系とか ldns ( 後述 ) libevent- devel, expat- devel ほか 15

ldns NLnet Labs 製ソフトウェア DNS まわりライブラリ RFC や最新のドラフトに追従 サンプルプログラム drill (DNS 検索索ツール BIND でいう dig) その他 (ldns- walk とか ) C で記述 ( 高速 ) http://www.nlnetlabs.nl/projects/ldns/ 機能 IPv4 / IPv6 サポート TSIG サポート DNSSEC サポート ( 署名と検証 ) 小さいサイズ オンライン 文書と man 16

build&install: ldns wget http://www.nlnetlabs.nl/downloads/ldns/ldns- 1.6.16.tar.gz zcat ldns- 1.6.16.tar.gz tar xf cd ldns- 1.6.16/./configure - - prefix=/usr/local/ - - with- drill - - disable- gost - - disable- ecdsa && make && sudo make install OpenSSL 1.0 未満の場合は グレイアウト部分を指定 17

build&install&setup: unbound wget http://www.unbound.net/downloads/unbound- 1.4.19.tar.gz./configure - - prefix=/usr/local/ - - disable- gost - - disable- ecdsa && make && sudo make install sudo useradd unbound unbound ユーザを追加 sudo /usr/local/sbin/unbound- control- setup unbound- control 用の環境設定 sudo chown unbound:unbound /usr/local/etc/unbound pid ファイル等のため owner を変更更 DNSSEC 検証をする場合のみ sudo /usr/local/sbin/unbound- anchor root の DNSKEY を取得 本来はこの鍵が正しらしいか確認する必要が sudo /usr/local/sbin/unbound 起動! 18

/usr/local/etc/unbound/ unbound.conf デフォルト設定でも動く 例例 : server: rrset- roundrobin: yes auto- trust- anchor- file: /local/etc/unbound/ root.key" statistics- interval: 300 extended- statistics: yes val- log- level: 2 remote- control: control- enable: yes ラウンドロビン設定 ON DNSSEC 検証 ON+root DNSKEY ファイル指定 統計出 力力インターバル ( 秒 ) 拡張統計設定 ON DNSSEC 検証エラーのログレベル 後述 unbound- control での制御 ON 19

unbound.conf (2) localhost 以外からのクエリを受け付ける acess- control: n.n.n.n/n allow だけではダメ interface: 0.0.0.0 or interface: ::0 インタフェースを開けてやる必要がある 20

ログの 見見え 方 statistics [7903:0] info: server stats for thread 0: 3 queries, 0 answers from cache, 3 recursions, 0 prefetch [7903:0] info: server stats for thread 0: requestlist max 0 avg 0 exceeded 0 jostled 0 extended- statistics: yes [7903:0] info: average recursion processing time 0.521795 sec [7903:0] info: histogram of recursion processing times [7903:0] info: [25%]=0 median[50%]=0 [75%]=0 [7903:0] info: lower(secs) upper(secs) recursions [7903:0] info: 0.065536 0.131072 1 [7903:0] info: 0.262144 0.524288 1 [7903:0] info: 0.524288 1.000000 1 val- log- level: 2 [7903:0] info: validation failure <fail.dnssec.jp. A IN>: signature expired from 111.89.176.107 for key fail.dnssec.jp. while building chain of trust 21

unbound- control unbound のコントロールをするツール BIND でいう rndc 機能 プロセス関連 start, stop, reload, stats, status, stats_ noreset 簡易易権威 DNS サーバ機能関連 local_ zone, local_ zone_ remove, list_ local_ zones, local_ data, local_ data_ remove, list_ local_ data, stub_ add, stub_ remove, list_ stubs キャッシュ関連 dump_ cache, load_ cache, dump_ requestlist, dump_ infra キャッシュ消去関連 flush, flush_ type, flush_ zone, flush_ bogus, flush_ stats, flush_ requestlist, flush_ infra forward 関連 forward_ add, forward_ remove, list_ forwards, forward その他 verbosity, log_ reopen, lookup, set_ option, get_ option BIND にない機能もいろいろ 22

おまけ : root hint 変更更 D.ROOT- SERVERS.NET IP アドレス変更更 http://www.ietf.org/mail- archive/web/dnsop/current/msg09956.html http://jprs.jp/tech/notice/2012-12- 18- d- root- ip- address- change.html 米メリーランド 大運営のルート NS 新 : 199.7.91.13 旧 : 128.8.10.90 ( 少なくとも ) 半年年間 並 行行運 用される Unbound( イマドキの BIND) の root.hint は ソースにハードコードされている 次のバージョンでは書き変わってるかも unbound.conf で指定することも可能 root- hints: root.hint など 設定したら ちゃんと更更新を 23

プライミング (priming) root.hint を使うのは最初だけ プロセス起動時 root.hint 内のどれかに. の NS を問合せ 戻ってきた答えをヒントとして使う BIND, Unbound はこういう実装 root.hint の更更新は緩やかで ok 1/13 のリスク 旧サーバの IP が別組織に再割当されたら? BGP ハイジャックされたら? やっぱりきちんとやっておきましょう 24

まとめ Unbound おすすめポイント わかりやすい記法の設定ファイル BIND に 比べて 高性能 (qps) 脆弱性の少なさ キャッシュに特化 シンプル シンプルな構成を 心がける ベンダーロックインを防ぐ 運 用しやすい 25

参考資料料 Unbound キャッシュ DNS サーバ 大規模 用途向け機能の実装 http://dnsops.jp/event/20120901/unbound- higashi- dnsops- 2012summerday2- final.pdf 東 大亮亮さん DNS Summer Days 2012 での発表資料料 Unbound, 知ってる? この先 10 年年を 見見据えた DNS 滝澤隆史さん 2008 年年の技術評論論社記事 全 4 回 http://gihyo.jp/admin/feature/01/unbound/0001 Unbound Validating Caching Resolver http://unbound.net/documentation/ ripe56_ unbound_ 02.pdf Wouter Wijngaards さん 2008 年年 RIPE56 での発表資料料 26

日本語の情報 日本 Unbound ユーザ会 http://unbound.jp/ 和訳マニュアル アップデートのアナウンスなど 27

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック