JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

メールマガジン「FROM JPRS」

バックナンバー:vol.138

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2013-12-17━
          ◆ FROM JPRS 増刊号 vol.138 ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
          第88回IETF Meeting報告(後編)
 ~weirds WG/インターネットガバナンス関連、IEPG Meetingにおける話題~
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今回のFROM JPRS増刊号では前回に引き続き、第88回IETF Meeting(以下、
IETF 88)における議論の中から、weirds WGとInternet Governance Update
BOFの状況、IETFに併設される形で開催されたIEPG Meetingにおける話題につ
いてお伝えします。

     ◇           ◇           ◇

■weirds WGにおける話題

weirdsはWeb Extensible Internet Registration Data Serviceに由来してお
り、現在のWHOISを置き換えるプロトコルであるRDAP(*1)の開発、各RDAP実
装の相互接続性の確認などを目的としています。

(*1)RDAPの詳細についてはFROM JPRSバックナンバー「第86回IETF Meeting
      報告(後編)~レジストリ関連/全体会議/Networking History BOFに
      おける話題から~」をご参照ください。

▼URI文字列の仕様

weirds WGで検討を進めていたURI文字列の仕様(draft-ietf-weirds-rdap-
query)が、現在appsawg(*2)で標準化を進めているURI Pathの仕様(draft-
ietf-appsawg-uri-get-off-my-lawn)に準拠していないという指摘があり、問
題を解決するための議論が進められました。

(*2)appsawgは「Applications Area Working Group」に由来しており、アプ
      リケーションエリア全般の話題を総合的に取り扱うWGです。

議論の結果、この問題については今後W3C(*3)にも相談の上、URI文字列の仕
様をURI Pathの仕様に準拠した形に更新する方向で検討を進めることとなりま
した。この方針に従い、会議終了後にdraft-ietf-weirds-rdap-queryが07から
08に更新されています。

(*3)World Wide Web Consortiumの略称。World Wide Webで利用される一連
      の技術の標準化を進めることを目的として、1994年に設立された非営利
      団体です。

▼検索処理と国際化

RDAPの検索処理と国際化ドメイン名に関する、部分一致(Partial Matching)
と正規化(Normalization)の仕様について議論されました(draft-
hollenbeck-weirds-rdap-search)。

会場からは、検索の仕様についてはもっと詳細に文書化した方が良い、レジス
トリごとに異体字(variant)の仕様やポリシーが存在する、といったコメン
トがあり、今後も継続して検討を進めることになりました。

▼問い合わせ名からRDAPサーバーへの到達方法

前回のIETF 87から継続して議論されている問い合わせ名からRDAPサーバーへ
の到達方法について、これまでに提案された二つの方式(*4)、

1)DNSによる検索(draft-blanchet-weirds-bootstrap)
2)IANAレジストリ方式(draft-blanchet-weirds-bootstrap-ianaregistries)

に加え、SRVまたはNAPTRレコードを用いることでIANAへの登録を不要とする新
たな方式(draft-blanchet-weirds-bootstrap-autonomous)が提案されました。

(*4)これらの方式の詳細についてはFROM JPRSバックナンバー「第87回IETF 
      Meeting報告(後編)~DNSの運用とセキュリティにつながる話題、レ
      ジストリ関連WGにおける話題~」をご参照ください。

会議では、三つの方式についての比較検討の後、WGとして方法を統一するか、
また統一する場合、どの方法を採用するのかについて議論されましたが結論に
は至らず、それぞれの方式の技術的課題についてメーリングリストで議論を進
めることになりました。

▼相互接続試験

最後に、WGで進めている相互接続試験の状況が報告されました。いくつかの実
装上の問題が発見されたことと、仕様の細部についてのいくつかの要確認事項
が共有された後、次回のIETF 89でも試験を再度実施し、相互接続性の改良を
進めていくことが確認されました。

■Internet Governance Update BOF

今回のIETF 88ではIAB(*5)が主宰する「Internet Governance Update BOF」
というセッションが開催されました。このセッションは前々回のIETF 86で開
催された「IAB WCIT Information session」と同様、インターネットガバナン
スに関する状況をIETF参加者と共有・議論することを目的としています。

(*5)Internet Architecture Boardの略称。
      IETF及びIESGによる標準化プロセスを監督し、RFCの発行・IANAの資源
      割り当てについて責任を負います。また、IETF議長及びIESGエリアディ
      レクターの承認、ISOCへの技術的アドバイスなど、インターネット全体
      にかかわる重要な役割を担っています。

今回のセッションでは、次世代WHOISに関する話題が取り上げられました。
ICANNにおける「A Next Generation Registration Directory Service(RDS)」
の検討状況が共有され、IETFにおけるweirds WGの活動状況が紹介されました。

その後、IGF(*6)における検討状況が共有され、マルチステークホルダーモ
デルの中でIETFがどのような役割を果たしていくべきかについて、参加者の間
で議論されました。関連する議論は今後、Internetgovtechメーリングリスト
(関連URIを参照)において継続される予定となっています。

(*6)Internet Governance Forumの略称。
      インターネットガバナンスについて話し合う、国際連合が管轄する
      フォーラムです。2005年11月に開催された「World Summit on the 
      Information Society(世界情報社会サミット:WSIS)」で採択された
      「チュニスアジェンダ」により開催が決定され、2006年から年に1回の
      割合で開催されています。

■IEPG Meetingにおける話題

IEPGは、IETF Meetingに先立って日曜日午前に開催される略式の会合で、イン
ターネットの運用に関連するさまざまなテーマを取り扱っています。

ここでは、今回のIEPG Meetingで報告・議論された話題のうち、FROM JPRSが
特に注目したものについてお伝えします。

▼Google Public DNSの利用状況調査

特定のURI(ドメイン名)を持つ広告へのアクセスを分析することで各クライ
アントとキャッシュDNSサーバーの問い合わせを関連付け、それによりGoogle
Public DNSの利用状況を調査した結果が、APNICのジェフ・ヒューストン
(Geoff Huston)氏から発表されました。

発表では、2013年5月時点でその広告をアクセスしたIPアドレス数のうち、

・Google Public DNSのみを使っているものが全体の5.3%
・Google Public DNSと他のキャッシュDNSサーバーを併用しているものが
  全体の1.9%

であったことが報告されました。

また、2013年6月に元CIA職員のエドワード・スノーデン氏がアメリカ国家安全
保障局(NSA)による極秘の監視計画「PRISM」を暴露した事件(以下、スノー
デン事件)以後、

・Google Public DNSのみを使っているものが全体の4%台に減少
・Google Public DNSと他のキャッシュDNSサーバーを併用しているものは、
  逆に全体の2%台に増加

という変化があったことが報告されました。

また、調査により判明したGoogle Public DNSの国別の利用率と、スノーデン
事件以降のその変化の状況も併せて報告されました。

▼Unboundを用いたデータプリフェッチ(HAMMER(*7))の実装試験

前回(IETF 87)のdnsop WGで発表された、キャッシュDNSサーバーの実装方式
を工夫することで応答時間やキャッシュヒット率を向上させる提案(HAMMER)
を、小変更を加えた上でUnboundに試験実装した結果が、NLnet LabsでUnbound
の開発を担当するワウター・ワインハーツ(Wouter C.A. Wijngaards)氏から
発表されました。

(*7)draft-wkumari-dnsop-hammer。HAMMERの詳細についてはFROM JPRSバッ
      クナンバー「第87回IETF Meeting 報告(前編)~DNS 関連WGにおける
      話題~」をご参照ください。

HAMMERからの変更点は、

1)プリフェッチ実行の条件
  HAMMER:クライアントからDNS問い合わせを受けた時点で、そのレコードの
          キャッシュTTLが2秒以下に減少していた場合
  Unbound:クライアントからDNS問い合わせを受けた時点で、そのレコードの
          キャッシュTTLがオリジナルTTLの10%以下に減少していた場合

2)プリフェッチ実行の除外条件
  HAMMER:オリジナルTTLが6秒以下であった場合
  Unbound:オリジナルTTLが9秒以下であった場合

の2点とのことで、同氏はその理由として、権威DNSサーバーやUnbound自身の
負荷上昇の防止を挙げています。

同氏からは、実環境を用いた試験結果として、

・プリフェッチによる問い合わせは、権威DNSサーバーへの問い合わせ総数の
  1.5%であった
・プリフェッチの有無による権威DNSサーバーへの問い合わせ状況の変化は、
  ごくわずかであった
・プリフェッチを有効にすることで、問い合わせから応答までの時間(発表
  資料中の「Query Resolving Time」)が短いものが増加した

ことが発表されました。

また、分析においてTTLで指定された時間内に到達した問い合わせ数(N)と
TTLの比率(N/TTL)が0.1よりも大きいものを「人気のある名前(Popular
name)」と定義したこと、プリフェッチは本来のターゲットである「人気のあ
る名前」に加え、「人気はないが大きなTTLが設定されている名前」に対して
も有効であると考えられることが示されました。

▼DNSにおける各種セキュリティ機能の検討

DNSに実装されている各種セキュリティ機能についてコストの面から検討した
結果が、Farsight Securityのポール・ビクシー(Paul Vixie)氏から発表さ
れました。

発表では、DNSに対する脅威とそれに対する対策例が提示され、特に最近提案
されているTCPの常用、DNS RRLにおけるslip(*8)の設定変更(*9)、ANYレ
コードに対する対策の三つについて、コストの面から検討した結果が示されま
した。

(*8)DNS RRLでは応答制限時にも名前解決ができるように、制限発動時の応
      答の一部について、slipと呼ばれる動作をします。slipでは応答を廃棄
      する代わりに切り詰め(TC)ビットをセットされた応答を返すことで、
      送信元にTCPによる再送を促します。

(*9)2013年9月に、DNS RRLの悪用によりキャッシュポイズニング攻撃のリス
      クが高まることが指摘され、その対策としてslipの設定変更(応答制限
      時にすべての応答をslipとする)が提案されました(関連URIを参照)。

また、同氏からは、

・DNSの(高い)パフォーマンスは、プロトコルがステートレスであることに
  依存している
・DoS攻撃やキャッシュポイズニング攻撃の対策はステートを持つことであり、
  パフォーマンスを低下させる
・ステートの持ち方には重いもの(例:TCPの常用)、中程度のもの
  (例:DNS Cookie(*10))、軽いもの(例:DNS RRL)がある

点が示され、セキュリティは経済(economics)であり、過去から現在、未来
になるに従い、徐々に高コストとなっていくと結論づけられました。

(*10)サーバーからのDNS応答にHTTPと同様の「クッキー」を加え、以降の
      DNS問い合わせ(セッション)においてそれを利用することにより、
      DNS応答の偽造を防止する提案です(draft-eastlake-dnsext-cookies)。

■次回のIETF Meeting

次回の第89回IETF Meeting(IETF 89)は2014年3月2日から7日にかけ、英国の
ロンドンで開催される予定です。

     ◇           ◇           ◇

◎関連URI

 - IETF 88 - Vancouver, BC, Canada
  http://www.ietf.org/meeting/88/
  (IETF 88ホームページ)

 - IETF 88 Preliminary & Interim Materials
  https://datatracker.ietf.org/meeting/88/materials.html
  (IETF 88発表資料一覧)

  - Internetgovtech -- Internet Governance and IETF technical work
    http://www.iab.org/mailman/listinfo/internetgovtech
    (Internetgovtechメーリングリスト)

  - IEPG Meeting - November 2013
    http://www.iepg.org/2013-11-ietf88/
    (IEPG Meeting発表資料一覧)

  - Vulnerabilite dans DNS Response Rate Limiting
    http://www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-506/index.html
    (フランスCERTAの発表。DNS RRLの悪用によるキャッシュポイズニング攻
      撃のリスク上昇の指摘と、その対策としてslipの設定変更を提案)

    登録に心当たりのない方、今後配信を希望されない方は
     下記をクリックしてください。登録が解除されます。
      http://from.jprs.jp/d.x?u=382&k=b778AD

━━━━━━━━━━━━━━━━━━━━━━━━━━━【FROM JPRS】━
■会議報告:http://jprs.jp/related-info/event/
■配信先メールアドレスなどの変更:http://jprs.jp/mail/henkou.html
■バックナンバー:http://jprs.jp/mail/backnumber/
■ご意見・ご要望:from@jprs.jp

当メールマガジンの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループ、他のメディアなどへ許可なく転載することを禁止します。
また、当メールマガジンには第三者のサイトへのリンクが含まれていますが、
リンク先のサイトの内容などについては、JPRSの責任の範囲外であることに
ご注意ください。
その他、ご利用にあたっての注意事項は読者登録規約にてご確認ください。
http://jprs.jp/mail/kiyaku.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集・発行:株式会社日本レジストリサービス(JPRS)
http://jprs.jp/
Copyright(C), 2013 Japan Registry Services Co., Ltd.