JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


ドメイン名関連会議報告

2015年

第92回IETF Meeting報告(前編)

~dnsop WGにおける話題(1)~

第92回IETF Meeting(以下、IETF 92)が、2015年3月22日から27日にかけて米国のダラスで開催されました。FROM JPRSでは今回から2回にわたり、IETF 92の内容について報告します。

今回の報告ではdnsop WGとdprive WGにおける話題について、以下の内容でお伝えします。

(前編)
  • dnsop WGにおける話題(1)
    - 問い合わせ名の最小化(qname minimisation)
    - メタ問い合わせ(Meta-Queries)に対する応答制限
    - ゾーン転送の効率化
(後編)
  • dnsop WGにおける話題(2)
    - 特殊な名前の取り扱い――.onion
    - EDNS0への対応状況調査
    - DNS用語の明確化
  • dprive WGにおける話題
    - 実装案の検討状況
テクニカルプレナリーの様子

テクニカルプレナリーの様子

dnsop WGにおける話題(1)

dnsopはDNS Operationsに由来しており、DNSサーバーや登録情報の管理など、DNSの運用全般に関するガイドラインの作成を目的として組織されています。

問い合わせ名の最小化(qname minimisation)

DNSでは、フルリゾルバー(キャッシュDNSサーバー)はクライアント(利用者)から受け取った問い合わせ名と型(例えば、www.example.jpのAレコード)をそのまま、権威DNSサーバー群への非再帰問い合わせで使用します。
これはDNSの基本動作の一つであり、DNSは長年にわたりこの形で運用され続けてきました。しかし、2013年6月に発生したスノーデン事件(*1)以降、さまざまなプロトコルを盗聴から守ることの重要性が検討・議論される中で(*2)、DNSのこの動作が一部関係者の間で問題視されるようになってきました。

(*1)アメリカ国家安全保障局(NSA)の業務を請け負っていたエドワード・スノーデン氏が、米国政府による極秘の監視計画「PRISM」を暴露した事件。PRISMには数多くのインターネット関連大手企業が極秘裏に参加していたため、インターネット全体にかかわる大きな問題となりました。

(*2)2014年11月13日にIAB(*3)が、プロトコル設計者・実装開発者・運用者のすべてに対し、インターネットにおける機密性(正当な権限を持つ者のみが情報にアクセスできること)の確保を強く要請する声明を発表しています(関連URIを参照)。

(*3)Internet Architecture Boardの略称。IETF及びIESGによる標準化プロセスを監督し、RFC編集者の任命及びIANAのプロトコルパラメーターの割り当てについて責任を負います。

その理由として、ルートサーバーやTLDの権威DNSサーバーの管理者、あるいはそれらの間の通信を傍受可能な第三者は、対象のフルリゾルバーの利用者がどんな名前を問い合わせたか、ひいてはどんなサイトやサービスを利用しているのかを知り得る状況にある、という点が挙げられています。

この問題を解決するため、フルリゾルバーが非再帰問い合わせを実行する際のアルゴリズムを変更し、権威DNSサーバーに送信する情報量を減らすための提案が2014年3月に発表されました(draft-bortzmeyer-dns-qname-minimisation)。
その後、この提案は2014年10月にWGドキュメントとなり(draft-ietf-dnsop-qname-minimisation)、WGとして作業を進めることとなりました。

本文書では非再帰問い合わせにおいて「ルートサーバーにはTLDのNS」「TLDの権威DNSサーバーには2LDのNS」といった形で、権威DNSサーバーに問い合わせる情報量を必要最低限のものに「最小化(minimisation)」することが提案されています。また、本文書では従来のDNS標準を変更・更新する形ではなく、実験仕様(Experimental)としてのRFC化を目指すこととしています。

今回のWGでは、非再帰問い合わせにおける戦略として二つの方式が比較・検討されました。一つ目はすべての問い合わせを最小化するもので、この方式ではプライバシー保護の効果は最大となりますが、逆引きなどEmpty non-terminal(*4)が多い名前の場合、必要な非再帰問い合わせの回数が増えてしまうという問題点があります。そのため、最初の非再帰問い合わせには従来の方式を用い、その応答内容によりどこで委任されているかを学習し、以降の非再帰問い合わせではより適切な形で最小化した問い合わせを用いる、という第二の方式が提案されました。

(*4)そのドメイン名にはリソースレコードが一つも存在しないが、一つ以上のサブドメインが存在しているドメイン名。詳細はRFC 5155を参照。

今回のWGでは本件に関する明確な結論は出されず、今後メーリングリストで議論を続けていくこととなりました。

メタ問い合わせ(Meta-Queries)に対する応答制限

いくつかのDNS問い合わせ型(QTYPE)は特別な意味を持っています。例えば、ゾーン転送で用いられるAXFR、保持するすべてのレコードを問い合わせるANYなどがそれに該当します。これらは通常のDNS問い合わせに比べ、より大きな応答を返すことが多く、DNSリフレクター攻撃(*5)など、DNS応答を用いたDoS攻撃に悪用される事例が増えています。

(*5)DNSリフレクター攻撃の詳細については、以下の技術解説を参照。
■技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について
http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

今回のWGで、権威DNSサーバーにおいてこうした「メタ問い合わせ」に対する応答を制限・拒否するための手法を標準化するための提案が発表されました(draft-ogud-dnsop-acl-metaqueries)。この提案は当初、ANYに対する問い合わせのみを対象としていましたが(draft-ogud-dnsop-any-notimp)、その後、他のメタ問い合わせをも含む、より一般的な内容に対象が広げられました。

提案では、対象とする問い合わせ型としてANY・AXFR・IXFR・RRSIGの四つを含むとしており、他に該当する問い合わせがあるか、また、問い合わせを制限・拒否する方法としてどのような選択肢が考えられるかが議論されました。今回提示された選択肢には、

  • 問い合わせを単に捨てる
  • TC(切り詰め)ビットをセットした応答を返す
  • 問い合わせ拒否(Refused)エラーを返す
  • 非実装(Not Implemented)エラーを返す
  • 「NODATA」応答(通常応答、かつAnswer secionの数が0)を返す
  • NULL(TYPE=10)を返す
  • 新しい型を定義し、それを返す
があります。

今回のWGでは本件について活発な議論が行われましたが合意には至らず、今後 メーリングリストで議論を続けていくこととなりました。

ゾーン転送の効率化

DNSにおけるゾーン転送には、通常のゾーン転送(AXFR)と差分転送(IXFR)があります。IXFRはRFC 1995として標準化されており、前回の転送から変化した分のみを転送することで必要なデータサイズを小さくし、ゾーン転送の効率を上げることができます。

ただし、DNSSECを適用した場合、DNSの通常のリソースレコードの内容に変化がない場合であっても、ゾーンの再署名やソルト(salt)(*6)の変更をした際に署名(RRSIG)の内容が変化します。そのため、IXFRを適用した場合も転送量があまり小さくならず、結果としてゾーン転送の効率が上がらないことが問題点として指摘されました。

(*6)ハッシュ値を計算する際に元の文字列に付加される文字列のこと。文字列解読の難度を上げ、暗号の強度を高めるために利用されます。

また、従来のゾーン転送(AXFR・IXFR)では一つのサーバーで管理するゾーンの数が多くなった場合にスケールしなくなり、DNSの運用に支障を及ぼす可能性があるという問題も、併せて指摘されました。

このうち、前者の問題を解決するため、ゾーン転送にDNSSECのロジックを追加することでゾーン転送を効率化(具体的にはRRSIGレコードの転送の省略)するための提案が発表されました(draft-mekking-mixfr)。この提案はIXFRの上位互換(superset)のプロトコルとして、MIXFR(Minimal IXFR)と名付けられています。

更に、後者の問題を解決するため、複数ゾーンに対応した新しいゾーン転送プロトコルを開発し、従来の53番とは別のポートで動かすことを計画していることも併せて発表されました。

今回のWGでは、今回の提案ではプロトコルの要開発項目が多く、作業項目が多くなり過ぎるのではないかという懸念がWG議長から示されました。議論の結果、標準化作業を進めるためにdnsop WGとは別のWGを作ることも含め、メーリングリストで議論を継続することとなりました。

後編の内容について

後編では、dnsop WGの状況の続きと、DNSトランザクションにおける機密性(confidentiality)の提供を目的とした、dprive WGにおける話題を中心にお伝えします。


本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。