(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Similar documents
資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

Microsoft PowerPoint - DNSSECとは.ppt

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

DNSSECの基礎概要

LGWAN-1.indd

ご挨拶

Microsoft PowerPoint 版_Root_JPの状況.ppt

DNSSEC導入に関する世界的動向

058 LGWAN-No155.indd

大規模災害時における、DNSサービスの継続性確保のために

「DNSSECの現状と普及に向けた課題」

スライド 1

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

IPアドレス・ドメイン名資源管理の基礎知識

セキュアなDNS運用のために

DNSのセキュリティとDNSに関する技術

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

DNSSEC運用技術SWG活動報告

Microsoft PowerPoint - soumu-kanesaka.pptx

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

DNSとメール

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

目次 1. はじめに 2 2. ドメイン名の移行に伴う変更箇所について 3 3. スケジュールについて 4 4.DNS サーバー /DNS レコードの設定要否について 5 5. ドメイン名 DNS サーバーの管理元を確認する方法について 6 6.DNS サーバーの設定 7 7.DNS レコードの設定

nifty.com ドメイン名 /DNS の移行につきまして ( ビジネスメール ) 富士通クラウドテクノロジーズ株式会社

Microsoft PowerPoint - private-dnssec

DNSSEC機能確認手順書v1.2

アマチュア無線のデジタル通信

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

情報通信の基礎

ドメイン ネーム システムの概要

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

PowerPoint プレゼンテーション

人類の誕生と進化

アルファメールプレミア 移行設定の手引き Outlook2016

スマート署名(Smart signing) BIND 9.7での新機能

物件問合せメール対応フロー ( 例 ) 1 メールに添付されたファイル (.ZIP) をダブルクリックする 2 ファイルをすべて展開 をクリックする 3 添付ファイルの保存先を デスクトップ 等 保存したい場所に指定し 展開ボタンをクリックする 4 別途送付するメールに記載されたパスワードを パスワ

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

アルファメール 移行設定の手引き Outlook2016

キャッシュポイズニング攻撃対策

Copyright

Microsoft Word - r0703.doc

スライド 1

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

DNSサーバー設定について

<4D F736F F F696E74202D DB A B C C815B E >

総合行政ネットワーク-2.indd

DNSSEC最新動向

DNSSEC性能確認手順書v1.2

Zone Poisoning

PowerPoint プレゼンテーション

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

15群(○○○)-8編

学生実験

opetechwg-HSM

CSR生成手順-OpenSSL

TFTP serverの実装

スライド 1

スライド 1

リージャスグループの個人情報保護方針

<4D F736F F D E FD8936F8B4C8F8A82CC936F8B4C8AAF82CC93648E718FD896BE8F9182CC936F985E8EE88F872E646F63>

アルファメールプレミア 移行設定の手引き

メールデータ移行手順

file:///C:/www/

3 アカウント画面で新しいアカウント作成 :[ メール ] をクリックします 4 新しいメールアドレスを使いたい方という画面の下部にある [ メールアカウントを設定する ] ボタ ンをクリックします 2

Zenlogicへの移行マニュアル

金融工学ガイダンス

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

gtld 等ドメイン名の公開 開示対象情報一覧変更点 株式会社日本レジストリサービス (JPRS) gtld 等ドメイン名の公開 開示対象情報一覧 ( 修正履歴付き ) gtld 等ドメイン名の公開 開示対象情報一覧 ( 整形版 ) 備考 gtld 等ドメイン名の公開 開示対象情報一覧 株式会社日本

2 0. 事前準備

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

PowerPoint Presentation

第5回 マインクラフト・プログラミング入門

PowerPoint プレゼンテーション

NTTドメイン名の公開・開示対象情報一覧

FQDN を使用した ACL の設定

PowerPoint プレゼンテーション

WL-RA1Xユーザーズマニュアル

Microsoft Word - SE第15回.doc

1. インターネット請求の概要 現行の介護保険審査支払等システムでは ISDN 回線を使用して 各国保連合会に設置された受付システムによってからの請求受付やへの審査結果等の提供を行っています 請求媒体の追加により 平成 26 年 11 月請求分 (10 月サービス提供分 ) より 介護給付費等の請求

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

CSR生成手順-Microsoft IIS 7.x

提案書タイトルサブタイトルなし(32ポイント)

Root KSK更新に対応する方法

Microsoft Word - 支部だより32号(①).doc

登録フォーム/IIJ DNSサービス編

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

MPサーバ設置構成例

<4D F736F F F696E74202D B836F88DA935D82C98AD682B582C A B E >

DNSの負荷分散とキャッシュの有効性に関する予備的検討

【EW】かんたんスタートマニュアル

label.battery.byd.pdf

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

スライド 1

ヴァーチャルサーバー終了に伴う移行作業について 移行先の新サーバーおよびご契約 お支払いについて サーバー移行の流れ お客さまにご対応いただきたい作業項目 メールをご利用のお客さま : メールアカウント追加 メールをご利用のお客さま : 内部配送とは メールをご利用のお客さま : アカウント移行時の

gtld 等ドメイン名の公開 開示対象情報一覧 ( 修正履歴付き ) gtld 等ドメイン名の公開 開示対象情報一覧 ( 整形版 ) 備考 gtld 等ドメイン名の公開 開示対象情報一覧 gtld 等ドメイン名の公開 開示対象情報一覧 凡例 : 赤字 ( 下線付き ) : 追加青字 ( 取消線付き

MIND-Wireless-Win7_1x

TCP/IP設定のいろは

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

Transcription:

別紙 2 DNS における電子鍵の更改について 平成 29 年 7 月 14 日 総務省総合通信基盤局データ通信課 1. 目的 DNS( ドメインネーム システム ) は www.soumu.go.jp などのホスト名 ( 人が理解しやすいようにつけたの名前 ) を インターネット上の住所である に変換するために利用される 検索 の仕組み この検索結果が第三者の成りすましにより改ざんされないよう 電子を付加した DNSSEC という仕組みで運用されるのが一般的である 本年 7 月 ~ 来年 3 月にかけて 当該電子の正当性を検証するために使う鍵の中で 最も中核をなす ルートゾーン KSK について その信頼性維持のため 史上初めて更改することが発表された 2. 対応が必要となる者 DNS を用いた検索を実際に行う の運用者全て例 : 契約者向けに提供するインターネットサービスプロバイダ LAN 利用者向けに提供する官庁 独法 学校 企業など 3. 鍵の更改に伴い生じる可能性のあるトラブル (1) 鍵の更改 に追従できず 検索結果の正当性が確認できない( 結果として 検索結果が 信用できない ものとして取り扱われる ) ため web サイトへのアクセスやメールの送信ができない利用者が生じる可能性がある (2) 鍵の移行期間 において 鍵の正当性を確認する情報 や 電子 について 旧来の鍵用と新しい鍵用の双方を送受信する必要があるため 当該期間において検索結果として送受信されるデータ量が増大することから 検索結果をインターネット経由で正常に送受信できなくなり web サイトへのアクセスやメールの送信ができない利用者が生じる可能性がある 4. トラブルを生じさせないために必要となる措置本年 9 月 19 日までに 以下の措置が必要

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3 念のため において DNSSEC が有効になっており また DNSSEC の検証 が有効になっていることを確認する (2) 鍵の移行期間 のデータ量増大に対応するために 1 において UDP 受信サイズを 4096 バイトの検索結果が受信できる設定 (RFC6891 による推奨設定 ) を行う 2 において dig コマンド などを使い 4096 オクテットの検索結果が受信できるか確認する 3 不明点がある場合には 運用委託先や上位 ISP に問い合わせを行う 詳細は https://go.icann.org/ksktest を参照 連絡先 総務省総合通信基盤局データ通信課 03-5253-5853

DNS 応答の仕組み 1 インターネット上の機器は IPアドレスと呼ばれる番号で管理され インターネット上の通信は IPアドレスを宛先として われる ホームページの閲覧やメールの送信をするためには 相 の機器 ( ) の IPアドレスを知っていることが必要 IPアドレスは 例えば 203.0.113.1 など には記憶 判別しにくいため IPアドレスに対応したドメイン名 ( 例 : 総務省のホームページの場合 www.soumu.go.jp ) が利 されている ドメイン名をインターネット上の宛先とするためには 対応するIPアドレスに変換する仕組み (DNS: Domain Name System) を利 DNSでは ドメイン名の各階層の管理者が管理情報 ( ドメイン名とIPアドレスの対応関係等 ) を の権威 DNSに保持 インターネットの利 者は ISPやLAN 内のキャッシュDNSを通じて 上位階層の権威 DNSから順にIPアドレスを問い合わせる < 総務省のホームページを る場合 > とドメイン名の変換 DNS の階層構造 ( 管理者 ) 1 www.soumu.go.jp ( ドメイン名 ) を 4 203.0.113.1 を ( したことになる ) 利 者のパソコン 3 203.0.113.1 です DNS 応答 (IPアドレス) 203.0.113.1 総務省のホームページを提供する機器 ( ドメイン名 ) www.soumu.go.jp ルート DNS jpドメインのdns soumu.go.jp ドメインの DNS (ICANN) (JPRS) ( 総務省 ) 2 www.soumu.go.jp に対応する を教えてください DNS (Domain Name System) 詳細 (1)www.soumu.go.jp の は? (2) 上位の権威 DNS から順に を問い合わせる (3) 203.0.113.1 です 利 者のパソコン

DNS の正当性を担保する電 (DNSSEC) の仕組み (1/2) 2 各階層の管理者は らのDNS 応答の正当性を証明するために 秘密鍵と公開鍵を利 する まず 各階層の管理者は 問合せを受けたドメイン名に対応するIPアドレスとともに 秘密鍵によるを併せて送付する 回答を受けたキャッシュDNSの運 者は 公開鍵によりを復号し IPアドレスの情報と 致することを確認することで 回答が途中で改ざんされていないことを確認する 以上に加えて 各階層の管理者が 上位の階層の管理者に公開鍵に関する情報を預け 当該上位の階層の管理者が らのを いキャッシュDNSの運 者に提供することで 公開鍵の正当性を検証することを可能としている JP ゾーン 公開鍵の正当性を検証するための情報 上位の階層の管理者に公開鍵に関する情報を預ける 公開鍵の正当性を検証 公開鍵 総務省ゾーン 秘密鍵 公開鍵 : 203.0.113.1 :ri0e8f www.soumu.go.jp 203.0.113.1 総務省 DNS 203.0.113.1 ri0e8f 203.0.113.1 ri0e8f 致により DNS 応答の信頼性を確認 秘密鍵で暗号化 公開鍵で復号 ハッシュ値 : ある値からハッシュ関数と呼ばれる計算 法で求められる値 同じ値から得られるハッシュ値は常に同じ値となるが 得られるハッシュ値から元の値を導くことはできない

DNS の正当性を担保する電 (DNSSEC) の仕組み (2/2) 3 鍵の信頼性を確保するためには 鍵 を くすることで解読されるリスクを さくすること 鍵の定期的な更新を うことが求められる しかし 前者についてはのための時間がかかる 後者については上位の階層の管理者が関与する仕組みからあまり頻繁な更新は難しいといった問題がある そこで DNSSECにおいては DNSデータにをするZSK(Zone Signing Key) とZSKにをする KSK(Key Signing Key) という 性質の異なる2 種類の鍵を併 することで 問題を解決している JP ゾーン 致により の信頼性を確認 で復号 7840 zk37b1 7840 致により の信頼性を確認 6 公開鍵の正当性を検証するための情報 3 4 5KSKによる :zk37b1 総務省ゾーン 上位の階層の管理者に公開鍵に関する情報を預ける www.soumu.go.jp 203.0.113.1 ZSK 秘密鍵 7840 秘密鍵で暗号化 zk37b1 1 :203.0.113.1 2ZSK による :ri0e8f 総務省 DNS 203.0.113.1 ri0e8f 致により DNS 応答の信頼性を確認 203.0.113.1 秘密鍵で暗号化 ri0e8f 公開鍵で復号 ZSK(Zone Signing Key) ゾーンの DNS データにするための鍵 鍵 は短く のための時間が少なくすむ の安全性を めるために 鍵の更新を頻繁に う必要がある KSK(Key Signing Key) 等にをするための鍵 鍵 が くの安全性が いため 鍵の更新の頻度が少なくすむ

DNSSEC を利 した DNS 応答の流れ 4 各階層の管理者は あらかじめ らのを上位の階層の管理者に預ける 各階層の管理者は キャッシュDNSからの問合せに対し らのZSK 秘密鍵による及び下位階層の管理者のIPアドレス及び当該下位階層の管理者のの情報を応答する 加えて 各階層の管理者は らのによる及び及びを送付する 応答を受け取ったISP 等は あらかじめ上位階層の管理者から受け取っていたの情報により 問合せ先からの応答の正当性を確認したうえで 次の問合せを う ( 最上位の管理者のため ) を事前公開 ルート DNS の の情報を事前に保有 www.soumu.go..jp の は? ZSK KSK 総務省の JP 6 総務省の公開鍵情報 JP ルートゾーン ルート DNS JP ゾーン JP DNS 公開鍵の情報 jp 203.0.113.2 aaa uk 203.0.113.3 bbb com 203.0.113.4 ccc 総務省ゾーン 公開鍵の情報 soumu.go.jp 203.0.113.5 aaa xxx.jp 203.0.113.6 bbb yyy.jp 203.0.113.7 ccc 上位の階層の管理者に を預ける ZSK 秘密鍵 上位の階層の管理者に を預ける ZSK 秘密鍵 インターネット利 者 IPアドレス www.soumu.go.jp 203.0.113.1 総務省 DNS ZSK 秘密鍵

ルート KSK の更改 ( ルート KSK ロールオーバー ) について 5 2010 年のルートKSKの導 以来 初めての鍵の更改が本年 7 来年 3 にかけて予定されている これに伴い キャッシュDNSを保有するISP 等は 事前公開されているルートKSKの公開鍵の情報を更新する必要がある また ルートKSKの円滑な更改のために 時的に新旧両 のを送信する期間がある 当該期間は 送信されるデータ量が増 し IPフラグメントが じることがある ISP 等の事業者は らのDNSの応答に係る経路上の機器の設定がIPフラグメントに対応可能か否かを事前に確認しておく必要がある なお ルートDNSは 応答相 のDNSSEC 対応 対応に関わらず公開鍵情報を送信してしまうため DNSSEC 対応の機器についてもIPフラグメントによる問題が じる可能性がある ルートゾーン 1 ルート DNS の公開鍵を新しいものに更新しておく必要 ( 最上位の管理者のため ) を事前公開 IPアドレス 公開鍵の情報 jp 203.0.113.2 aaa uk 203.0.113.3 bbb com 203.0.113.4 ccc ルートDNS ZSK 秘密鍵 今回初めて更改 3 ヶ ごとに更改 ルート DNS の公開鍵の情報を事前に保有 2 データ量増 に伴う IP フラグメントが じないことを確認しておく必要 IP フラグメントとは 通信のデータ量が通信機器の設定サイズを超過すると 当該データは分割されて転送される これを IP フラグメントという さらにこの場合 経路上の機器の設定によっては 分割されたデータが破棄され 通信が正常に われなくなる可能性がある 今回のルート KSK の更改においては 定期的 (3 ヶ ごと ) に われるルート ZSK の更改とタイミングが重なる際に IP フラグメントが じることになる < 通常時 > ヘッダー KSK による IP フラグメント発 サイズ < 移 時 ( 最 時 )> インターネット利 者 ヘッダー 更改後ルート = 更改後ルート KSK による

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック