JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

増刊号

vol.57

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2006-07-31━
                     ◆ FROM JPRS 増刊号 vol.57 ◆
━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                   第66回 IETF Meeting 報告(前編)
                        ~DNS関連テーマ報告~
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第66回IETF(The Internet Engineering Task Force) Meetingが2006年7月9
日から7月14日にかけて、カナダのモントリオールで開催されました。

PlenaryではIETF Chairから毎回参加人数が報告されますが、それによると今
回のIETF Meetingの参加人数は44カ国から1,236人とのことでした。アメリカ
からの参加者が半数を切り、中国からの参加者が増加していたのが特徴的です。
国別では、アメリカ、日本、カナダに次いで第4位でした。

多くのテーマが議論されるIETFの中から、前編ではDNSに関する話題を、後編
ではEAI(Email Address Internationalization)、ENUM(Telephone Number 
Mapping)に関する話題と、IETFに併設して開催されたIEPG(Internet 
Engineering Planning Group)の様子をお届けします。

          ◇                     ◇                     ◇

今回のIETFにおけるDNS関連の会議では、後述するようにDNSの再帰的な問い合
わせを使ったDDoS攻撃に関する話題がそれぞれ取り上げられていました。参考
のために、関連情報を先に示しておきます。

◎関連ドキュメント
  - DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起
    http://www.jpcert.or.jp/at/2006/at060004.txt

  - DNS の再帰的な問合せを使った DDoS 攻撃の対策について
    http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

  - DNS の再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について
    http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf

          ◇                     ◇                     ◇

▼DNSEXT(DNS Extensions) WG

DNSEXT WGは、DNSの各機能の拡張に関する議論を行うためのWGです。本WGでは、
DNSのセキュリティ拡張を行うDNSSECの標準化作業を重点的に行っていますが、
前回に引き続き実運用に必要となる機能拡張についての話題も議論されました。

・DNSSEC

DNSSECについては、zone enumeration問題(第65回IETF Meeting報告参照)を
解決するNSEC3拡張と、DNSSECで用いる信頼鍵の自動更新の議論が行われまし
た。NSEC3についても進展はありましたが、今回は信頼鍵の自動更新について
報告します。DNSSECでは、信頼の起点となる鍵をDNSSEC検証を行うすべての検
証DNSサーバに登録しておく必要があります。また、DNSSECでは、安全のため
にすべてのゾーンの鍵情報を定期的に更新しますが、すべての検証DNSサーバ
に登録されている信頼の起点となる鍵も例外ではなく定期的に更新されます。
その時に、すべての検証DNSサーバの管理者が手作業で鍵更新を行うことは現
実的ではありません。そこで、この鍵更新を自動化することが検討されていま
す。今回、信頼の起点となるゾーンを定期的にチェックして鍵の更新情報を得
るというタイマー方式の鍵更新方式を進めることが合意されました。全体とし
て、DNSSECプロトコルの確定にはまだしばらくかかりそうですが、決ればすぐ
に実用化しようという熱気が感じられました。

◎関連URI
  - 第65回 IETF Meeting 報告
    http://jpinfo.jp/event/2006/0413IETF.html

◎関連ドキュメント
  - DNSSEC Hashed Authenticated Denial of Existence
    http://www.ietf.org/internet-drafts/draft-ietf-dnsext-nsec3-06.txt

  - Automated Updates of DNSSEC Trust Anchors
    http://www.ietf.org/internet-drafts/draft-ietf-dnsext-trustupdate-timers-03.txt


・DNAME

DNAMEとは、ドメイン名を、そのサブドメイン名空間すべてを含んだ単位で別
のドメイン名に対応づけるリソースレコードです。たとえば、example.jpを
example.comに対応づけるDNAMEリソースレコードを記述すると、example.jpに
属するドメイン名のtest.example.jpは、DNS検索時にtest.example.comに対応
づけられます。それに対し、CNAMEは一つの完全なドメイン名を別の完全なド
メイン名に対応づけます。

最近、ICANNにおいて、国際化TLDの議論が行われており、その実装案の一つと
してDNAMEを用いることが提案されています。IETFには、DNAMEの問題点を洗い
出し、問題を修正することが要求されています。そこで、今回、その作業を開
始することが宣言され、問題点リストの説明が行われました。今後、議論を行
い、DNAMEプロトコルの修正を行うこととなりました。

◎関連ドキュメント
  - RFC 2672bis: DNAME rewrite for clarity
    http://www3.ietf.org/proceedings/06jul/slides/dnsext-2.pdf


・DNS cookies

DNSの再帰的な問い合わせを使ったDDoS攻撃やキャッシュ汚染の対策案として
DNS cookiesという提案がありました。この提案は、すべてのDNSパケットに検
索側のDNSサーバ・応答側のDNSサーバを識別する識別子を挿入し、必要があれ
ば過去の識別子と比較することで、偽造されたDNS検索・DNS応答を検出すると
いうものです。この提案については、多くの人が関心を持っていますが、運用
上の問題を解決することを目的としているため、運用者側からのフィードバッ
クを取り入れ、議論を継続することとなりました。

◎関連ドキュメント
  - Domain Name System (DNS) Cookies
    http://www.ietf.org/internet-drafts/draft-eastlake-dnsext-cookies-00.txt


▼ DNSOP(Domain Name System Operations) WG

DNSOP WGは、DNSを運用するにあたっての問題点や手法を議論し、DNS運用に関
する標準的手法を確立するためのWGです。

今回の会議では、DNSの再帰的な問い合わせを使ったDDoS攻撃の対策を示す文
書、プライベートアドレスのDNS逆引きゾーンを複数の組織でIP Anycast技術
を用いて提供しているAS112プロジェクトの運用ガイドライン、DNSの問い合わ
せ結果を保持する期間であるTTLの推奨値、WGのチャーターなどについて議論
されました。

DNSの再帰的な問い合わせを使ったDDoS攻撃の対策文書は、当該攻撃の手口と、
攻撃の踏み台として誰でも使用できる状態となっているフルリゾルバDNSサー
バが用いられることを述べ、フルリゾルバDNSサーバでの推奨される設定につ
いて提案しています。会議では、文書の取り扱う範囲や、招かれざるDNS検索
への応答、TSIG/SIG(0)などの認証つきの検索を推奨するかについて議論され
ました。メーリングリストの議論ののちに、運用ガイドラインとしてのRFC化
を素早く進めるということとなりました。

◎関連ドキュメント
  - Preventing Use of Nameservers in Reflector Attacks
    http://www.ietf.org/internet-drafts/draft-ietf-dnsop-reflectors-are-evil-01.txt


AS112プロジェクトは、Root DNSサーバと似た運用形態のため、Rootと同様の
運用ガイドラインが必要かどうかという提案がありました。WGの作業項目とす
るかはMLで議論して決めることとなりました。

◎関連ドキュメント
  - I'm Being Attacked by PRISONER.IANA.ORG!
    http://www.ietf.org/internet-drafts/draft-jabley-as112-being-attacked-help-help-00.txt

  - AS112 Nameserver Operations
    http://www.ietf.org/internet-drafts/draft-jabley-as112-ops-00.txt


TTLについては、現在いくつかのTLDで例えば0や3600などの短い値を用いて運
用を行っていますが、1日や3日、1週間といった長めの値を推奨すべきである
という提案がありました。議論の結果、長いTTLを推奨とすることはできない
が、長いTTLのトレードオフについてのドキュメントを作成することが合意さ
れました。

◎関連ドキュメント
  - Improving DNS Service Availability by Using Long TTLs
    http://www.ietf.org/internet-drafts/draft-pappas-dnsop-long-ttl-02.txt


WGのチャーターについては、前回のミーティングでほぼ合意されていましたが、
今回、DNSについてのパフォーマンス・ベンチマークについての方法・用語に
ついての議論を追加する提案が行われ、合意されました。

━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
              編集・発行:株式会社日本レジストリサービス(JPRS)
                            http://jprs.jp/
                            http://日本レジストリサービス.jp/
                会議報告:  http://jpinfo.jp/event/
  メールニュース配信解除:  http://jpinfo.jp/mail/
          ご意見・ご要望:  from@jprs.jp

当メールマガジンの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループまたは他のメディア等へ許可なく転載することを禁止します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C), 2006 Japan Registry Services Co., Ltd. 2006年07月31日