ニュースレターNo.38/2008年3月発行
DNS関連WG報告
dnsop WG(Domain Name System Operations WG)報告
今回のIETF70では、dnsop WGミーティングが開催され、約2時間の議論が行われました。いつも通り、まずdraftの状態が確認され、respsizeならびにreverse-mapping-considerations、as112-under-attack-help-help、as112-ops draftに対して、WG Last Callの確認がなされました。また、reflectors-are-evil draftに関しては、IETF Last Callにて返ってきたコメントに対する議論が行われました。単にresolverに対してアクセス制限をかけてしまうと、mobileユーザーは困るのではないかというコメントや、SIG(0)を使えば良いという意見、また、多くのユーザーは、VPNを利用してホームネットワークに接続して使うので問題ないのでは、といったコメントがありました。
次に、前回に行われた提案である、NSCP(Name Server Control and Configuration Protocol)に関する議論がありました。デザインチームから、プロトコル概要と要求事項に関する発表が行われました。具体的には、ネームサーバ自体を制御するコマンド、ならびに情報を取得するコマンド、ゾーンの中身を操作するコマンド等が定義されていました。この提案に対して、ゾーンの中身を操作するコマンドを定義する必要はないのではないか、という意見が出されていました。今後、引き続き議論が行われる予定です。
その他には、DNSSECにて利用している、AD bitが有効になっているクエリを通さないDNSプロキシを組み込んだ、安価なブロードバンドルータがあるといった話題や、多量のDNSクエリによるDoS攻撃をどう防ぐか、といった、散発的な話題が挙がっていました。dnsop WGは、次回IETF以降も、ミーティングを開催する予定です。
なお、ICANNのSSAC(Security and Stability Advisory Committee)と、RSSAC(Root Server System Advisory Committee)より公開された文章※1に基づき、2008年2月4日に、IANA が四つのルートDNSサーバにAAAAレコードを付加するというアナウンスが、dnsop MLに流されました。これにより、IPv6トランスポートを利用した、ルートDNSサーバからのDNS探索が可能となります。
dnsext WG(DNS Extensions WG)報告
dnsext WGは、前回同様、今回もミーティングは開催されませんでした。そのため、前回のIETF69から今回のIETF70までの間に、メーリングリストにて活発に議論された事項に関して報告します。
メーリングリストにて議論された話題の一つとして、forgery-resilienceの話題が挙げられます。これは、DNSSECが普及するまでの間にも、偽DNSクエリによる詐称を防ぐために注意すべき点、守るべき点について言及したものです。このdraftに関して、メーリングリストで意見が交換されました。追加すべき点、加筆すべき点等について活発な議論が行われ、送信側におけるUDPポート番号の使い方に関しては、多くの意見が出されました。
また、NSEC3※2に関しては、draftの第12版ならびに第13版が出され、RFC発行の手続き段階に入りました。RFCとして発行されることにより、NSEC3に対応した実装が公開されれば、次はNSECからNSEC3への移行に関する議論が進むと思います。
(JPNIC DNS運用健全化タスクフォースメンバー/東京大学 情報基盤センター 関谷勇司)
- ※1“Accommodating IP Version 6 Address Resource Records for the Root of the Domain Name System”
- http://www.icann.org/committees/security/sac018.pdf
- ※2 NSEC3 Project
- http://www.nsec3.org/