JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


ドメイン名関連会議報告

2010年

インターネットを支える技術者が恵比寿の地に集結

~JANOG26 Meetingを振り返って~

2010/08/26

今回のFROM JPRSでは、2010年7月8日、9日の両日にわたり東京の恵比寿ガーデンプレイス ザ・ガーデンホールで開催されたJANOG26 Meeting(以下、JANOG26)の開催報告と、JANOG26本会議で報告・議論された話題の中から、DNSSECの本格導入に向けた技術検証の状況についてお伝えします。

JANOG26を振り返って

JANOG(JApan Network Operators' Group)は、ネットワーク運用者間の議論・情報交換を通じたネットワークの円滑な運用を目指し、インターネット利用者・技術者に貢献することを目的として設立された団体(コミュニティ)です。

インターネットの他の技術コミュニティと同様、JANOGにおける議論や情報交換はメーリングリスト上で進められています。それに加え、事前に募集・選考されたテーマについての集中的な議論の場として、参加者が一堂に会する「JANOG Meeting」が、年に2回の割合で定期的に開催されています。

JANOG26の様子
JANOG26の様子


これまでで最多の624人が参加、ライブ中継や新たな試みも

今回のJANOG26ではJPRSがホストを務めました。JANOG26には、これまでのJANOG Meetingで最多となる624人の方々にご参加いただき、盛況のうちに開催することができました。また、本会議終了後に主催者から公開されたアンケート結果(参考URIを参照)でも、多くの参加者から「大変有意義だった」「有意義だった」というご回答をお寄せいただきました。

ホスト担当として今回のJANOG26の成功を心から祝し、JANOG26にかかわられたすべての関係者・参加者の方々に対し、この場を借りてお礼申し上げます。

また、今回のJANOG26ではUstreamによるライブ中継、Twitter公式アカウント(http://twitter.com/janog26)による情報発信など、さまざまな新しい取り組みが試みられました。Ustreamによるライブ中継では、これまでのJANOG Meetingにおけるライブ中継で最多となる最大291名の視聴者を記録し、Twitterの「つぶやき」による事前アナウンスや会場諸注意についてのリアルタイムな連絡など、これまでになかった形での情報共有や情報伝達が実施されています。

事後資料が公式ページで公開、フォローアップも

本会議開催後の2010年7月29日に、各セッションの発表内容が事後公開資料として、JANOG26の公式ページで公開されました(参考URIを参照)。一部資料では本会議終了後の最新状況などについても補足されておりますので、会議に参加できなかった方々はもちろん、会議で報告・議論された内容をより深くフォローされたい方々も、一度ご参照されてみてはいかがでしょうか。


動かしてみましたDNSSEC~導入時のインパクトと運用における注意点とは

DNSSECでは、公開鍵暗号を用いたデジタル署名の技術によりDNS応答を検証します。そのため、署名の生成・付加や検証によるサーバーのCPU負荷の上昇、メモリ使用量の増大、署名情報の取り扱いに際し必要となるネットワーク帯域の増加、512バイトを越えるDNS応答や署名関連のリソースレコードの取り扱いなど、DNSSECの導入に際し動作検証が必要となる項目が存在しています。

これらの項目について調査検証し、DNSSECの導入による影響を最小限に留めるため、JPRSでは現在、JP DNSサーバー関係者、複数のISP・ハードウェアベンダーなどと共同で、DNSSECの技術検証を進めています。

管理運用者・開発者の「生の声」を聞き、議論できる機会

今回のJANOG26では「動かしてみましたDNSSEC」と題し、一連の技術検証で得られた知見に基づき、DNSSEC導入時の通信への影響、DNSサーバーの負荷の変化、ネットワーク機器の対応状況などについて、権威DNSサーバー・キャッシュDNSサーバー・ブロードバンドルーターを実際に管理運用・開発している担当者からの報告がありました。

このように、サーバーやネットワーク機器を実際に運用・開発している現場からのいわば「生の声」を聞き、議論や情報交換に直接参加できることはJANOG Meetingの特徴の一つであり、かつ大きな魅力でもあります。

権威DNSサーバーへの影響~NSEC3による不在応答の処理コストに特に注意

権威DNSサーバー編ではJPRSの民田雅人が、権威DNSサーバーをDNSSECに対応させた場合の検証結果について発表しました。

発表では、DNSSECの導入により権威DNSサーバーの応答性能に10~20%程度の性能低下が見られたこと、特にNSEC3による不在応答ではハッシュ値を動的に計算する必要があることから、応答性能が最大で50%以上低下する場合が見られたこと、署名情報の付加により権威DNSサーバーからのDNS応答サイズが5~8倍程度に増加したことなどを報告しました。

キャッシュDNSサーバーへの影響~DNS問い合わせにも注意、対応は早めに

キャッシュDNSサーバー編ではNTTコミュニケーションズの濱口一真氏から、ISPのキャッシュDNSサーバーにおける対応を想定した検証結果についての発表がありました。

発表では、DNSSECの導入によりキャッシュDNSサーバーのCPU使用率とメモリ使用量が導入前の2倍以上に増加し、特にメモリ使用量が大きく増加したこと、DNS応答だけではなくDNS問い合わせのパケット数やネットワーク帯域の使用量も増加することに注意が必要であることなどが報告されました。

また、JPRSの民田が、キャッシュDNSサーバーにおけるDNSSEC対応は普及の初期段階、つまりDNSSECに対応したドメイン名(組織)が少ないうち、つまりできるだけ早めに実施する方が各種負荷の増大が少なく、導入時にかかるコストの点で有利であることを報告しています。

ブロードバンドルーターの対応状況~世界初の「完璧な実装」は日本から

各家庭や事業所などをインターネットに接続する場合、いわゆるブロードバンドルーターを使用することが一般的です。これらのブロードバンドルーターはDNSプロキシ(*1)の機能を備えていることが多く、DNSSEC対応において必要となるEDNS0やTCPフォールバックといった機能が、該当のブロードバンドルーターで正しく動作する必要があります。

(*1)
DNSプロキシ
キャッシュDNSサーバーを代理(プロキシ)する機能です。DNSフォワーディングとも呼ばれます。内部のPCなどから受け取った外部向けの名前解決要求をISPなどのキャッシュDNSサーバーに中継し、受け取った応答を呼び出し元に返します。DNSプロキシにより内部の名前と外部の名前を透過的に扱えるようになるため、より円滑なネットワーク利用が可能になります。

ブロードバンドルーター編ではNECアクセステクニカの川島正伸氏から、自社製のブロードバンドルーターのDNSプロキシ機能について、動作検証した結果が紹介されました。

発表では、RFC 5625で記述されているDNSプロキシの実装ガイドラインに基づき、EDNS0、フラグメントパケット、TCPフォールバック、DNSプロトコルの各種フラグの取り扱いについて検証した結果、要件を満たしている実装と満たしていなかった実装が存在したこと、要件を満たしている実装ではチェコのTLDレジストリであるCZ.NICが提供している43項目のテスト項目(参考URIを参照)をすべてパスしたこと、要件を満たしていない実装については今後可能な範囲で修正・対応していく予定であることが報告されました。

また、川島氏からは、43項目すべてを満たしたと報告されたブロードバンドルーターは世界初であった旨の連絡をCZ.NICから受け取った旨が報告され、会場に集まった技術者から、大きな拍手が上がりました。このような会場の雰囲気はJANOG Meetingを始めとする技術者コミュニティに特有のもので、よりよいインターネットをみんなで作っていこうという技術者の意思が伝わってくる、象徴的な出来事でした。


次回のJANOG27は金沢で開催

次回のJANOG27は2011年1月20日、21日の両日にわたり、金沢で開催されます。
日本のインターネットを支える技術者たちの高い意思がある限り、今後のJANOG Meetingにおいてもこれまで以上に「濃く、熱い」議論が展開されていくことでしょう。



本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。