逆引きDNSでのDNSSEC登録について
JPNICの管理するIPアドレスの逆引きゾーンにおけるDNSSEC
あるゾーンのレコードをDNSSECで検証するためには、 ルートからそのゾーンまでの委任がすべて信頼の連鎖でつながっている必要があります。 逆引きゾーンにおいてはIANA、RIR、NIRそれぞれの管理するゾーンでDNSSECが利用可能であるということになります。
JPNICの管理するIPアドレスの逆引きゾーンにおいては、これまでDNSSECに対応しておらず、 エンドユーザーがDNSSECを利用したいとしても不可能な状況でした。 この状況を是正するため、2015年11月9日より、 JPNICの管理する逆引きゾーンにおいてDNSSECを利用できるよう、登録システムの提供を開始しました。
DNSSECは複雑な技術であるため、運用にあたってはさまざまな知識の習得、人員の確保、 機材の調達などが必要となること、 また、正しくDNSSECを運用し続けるには従来のDNSの運用フローに加え、 セキュリティ上の厳密さが求められることをご理解ください。
JPNICは、DNSSECの普及のために、そうしたさまざまな課題の解決に向けた検討を継続し、 逐次情報共有をしてまいります。
DNSSECの概要
DNSSECは、公開鍵暗号技術を用いて応答に電子署名を付加し、 DNSクライアント(リゾルバ)が権威DNSサーバから正しく送られてきたデータかどうかを検証できるようにするものです。
DNSSECでは、これまでのDNSに対して以下のレコードが追加されています。
RRSIG (Resource Record Signature)
リソースレコードの電子署名。キャッシュサーバはこのRRSIGに記述されている署名を使用し、 問い合わせた本来の権威ネームサーバからの応答かどうか、パケット内容が改ざんされていないかどうか、 正当性を検証します。
DNSKEY (DNS key)
ゾーンに含まれるレコードに対して署名を行う暗号鍵。この鍵を用いてRRSIGの署名の正しさを検証します。
DS (Delegation Signer)
子にあたるゾーンが電子署名が行われているかどうかを表明すると同時に、 その署名に使われている鍵のハッシュ値を表すレコード。
NSEC (Next Secure)
存在していないレコードについて問い合わせがあった場合に、不存在と回答する際に用いられるレコード。 辞書順に並べた存在する二つのレコードを示すことで、その間のレコードが存在しないことを表明します。
DNSSECの詳細については以下のページをご参照ください。
インターネット10分講座:DNSSEC
https://www.nic.ad.jp/ja/newsletter/No43/0800.html
逆引きDNSSECのスタートアップガイド
Ubuntu16.04を例にとり、 BIND9を用いて逆引きDNSSECを始める方法をご紹介します。 逆引きDNSSECのスタートアップガイドをご覧ください。
JPNICの管理するIPアドレスの逆引きゾーンへのDNSSEC登録方法
IPアドレスに関する申請処理システムの、逆引きネームサーバ追加・削除ページからDSレコードを登録してください。
DSレコードの例
2.0.192.in-addr.arpa. 86400 DS 12901 8 1 7CE568EC2628958F71A4A381D488C8D9A7544DF6 2.0.192.in-addr.arpa. 86400 DS 12901 8 2 CF0DB37989EA2F6E97C6DDE6828F4C452DC882AF096DFCFFFF3B8C8B4C96C976
DNSSEC運用に用いるパラメータ等について
JPNICが管理する逆引きゾーンでの署名に用いるパラメータは以下の通りです。
鍵長
KSK 2048ビット
ZSK 1280ビット
鍵の更新間隔
KSK 1年
ZSK 3ヶ月
署名のフォーマット
RSA/SHA256
署名の有効期限
30日
レコードの不存在表明
NSEC
APNICの管理する逆引きゾーンでの署名に用いるパラメータについては以下の通りです。
鍵長
KSK 2048ビット
ZSK 1024ビット
鍵の更新間隔
KSK 1年
ZSK 1ヶ月
署名の有効期限
30日
レコードの不存在表明
NSEC
参考
インターネット10分講座:DNSSEC
https://www.nic.ad.jp/ja/newsletter/No43/0800.html
インターネット10分講座:DNSキャッシュポイズニング
https://www.nic.ad.jp/ja/newsletter/No40/0800.html
IPアドレス管理業務に関するJPNIC文書公開のお知らせ ~逆引きDNSへのDNSSEC導入および更新間隔短縮~
https://www.nic.ad.jp/ja/topics/2015/20151009-02.html
RFC 4033 DNS Security Introduction and Requirements
http://www.ietf.org/rfc/rfc4033.txt
RFC 4034 Resource Records for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4034.txt
RFC 4035 Protocol Modifications for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4035.txt