ニュースレターNo.40/2008年11月発行
DNS関連WG報告
dnsext WG(DNS Extensions WG)報告
IETF開催前に、DNSキャッシュ汚染(ポイズニング)に関する脆弱性がCERTからアナウンス※1されました。そのため、キャッシュ汚染に関する話題がメーリングリストでも展開され、DNSプロトコル自体を拡張して、キャッシュ汚染が発生する可能性を低くするための方式がいくつか提案されました。しかし、この話題自体は以前からdraft-ietf-dnsext-forgery-resilienceとして存在していたため、大きな混乱もなく議論は進行しました。
WGの会合は、いつも通りドラフトの確認から始まりました。前回の会合からは新たなドラフトは提出されておらず、前回から存在したドラフトの状態を確認しました。draft-ietf-dnsext-forgery-resilienceはWGラストコールが行われ、そこで指摘された事項を改訂した新たな版が提出されました。draft-ietf-dnsext-rfc2672bis-dnameは、WGラストコールの準備が整ったことが確認されました。他のWGのInternet-Draftも状態が確認され、進捗が確認できました。しかし、draft-ietf-dnsext-dns-protocol-profileに関しては、一切の進捗がなく期限切れとなっているため、9月中に何も進捗がなければ削除することが確認されました。
会合の後半では、DNSのキャッシュ汚染問題に対する提案が話し合われました。ポート番号をなるべく無作為に選択するだけではなく、DNSクエリのトランザクションIDを拡張する手法として、WGでは以前から、draft-vixie-dnsext-dns0x20が提案されていました。これは、DNSの名前が大文字と小文字を区別しないという仕様を利用して、問い合わせる名前に大文字と小文字をまぜあわせ、それをトランザクションIDの一部として使用するという手法です。この手法に関しては、問題もなく従来のDNS実装に導入することができるという意見が出されました。一方で、短い名前の場合には、トランザクションIDの範囲がそれほど増えるわけではないので、やはりキャッシュ汚染されやすいのでは、という意見も出されました。
その他にも良い提案があればぜひWGに出して欲しい、と呼びかけがありました。この問題に関しては、継続してdnsext WGにて議論を行っていくことが確認されました。おそらく次のIETFでもWGの会合が持たれると思われます。
dnsop WG(Domain Name System Operations WG)報告
dnsop WGの会合では、いくつかの新たなドラフトが取り上げられたものの、ほぼ現在のドラフト確認に終始しました。
draft-ietf-dnsop-reflectors-are-evilはADレビューの段階にあり、draft-ietf-dnsop-default-local-zonesとdraft-ietf-dnsop-reverse-mapping-considerationsは、WGラストコールからの更新待ちであることが確認されました。また、draft-ietf-dnsop-respsize、draft-ietf-dnsop-as112-ops、draft-ietf-dnsop-as112-under-attack-help-helpも、WGラストコール待ちであることが確認されました。
会合の後半では、draft-hardaker-dnsops-name-server-management-reqsに関して議論が行われました。デザインチームから、アーキテクチャや制御、モニタリングやセキュリティに関する要求がまとめられ、ドラフトは完成した形となりました。会場からの意見では、いくつかの細かな修正が提案されましたが、ほぼ完成したとみなされ、デザインチームはこれで解散して、次の段階である具体的なプロトコルの提案に進もうという合意がなされました。
新たなドラフトとしては、draft-jabley-dnsop-missing-mnameとdraft-kerr-dnsop-edns0-penetrationが取り上げられました。前者は、DNSのDynamic Updateによって、SOAのMNAMEフィールドを変更することを禁止しようという提案でした。会場からは、大きな問題ではないという意見や、MNAMEの意味そのものを考え直す方がいいのではといった意見が出ましたが、引き続きWGの議論では取り上げていく方向になりました。後者のドラフトは、authoritative DNSサーバがどのくらいEDNS0に対応しているのかを調査した結果の報告です。それによると、90%以上のauthoritative DNSサーバがEDNS0をサポートしているということでした。中には、UDPに応えずTCPにのみ応えるDNSサーバも少数ながら存在することも報告されました。会場からは、思ったよりもEDNS0対応率が高いという意見が出され、興味深い結果と認識されました。次はresolver DNSサーバに関しても行って欲しい、という意見も出されました。
(JPNIC DNS運用健全化タスクフォースメンバー/東京大学 情報基盤センター 関谷勇司)
- ※1 JPCERT/CCからのアナウンス
- 「複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性」
http://www.jpcert.or.jp/at/2008/at080013.txt