ニュースレターNo.46/2010年11月発行
DNSSECジャパンへの参加とその活動について
DNSSEC(Domain Name System Security Extensions)とは、DNSに対し、データ作成元やデータの完全性を確認できるように仕様を拡張するものです。
2008年、セキュリティ研究者のDan Kaminsky氏によってDNSキャッシュポイズニング※1の効率的な攻撃手法が発表され、DNSの持つ脆弱性への抜本的な対策が必要との認識が広がりました。それをきっかけにして、DNSSECを導入しようとする動きが活発になり、2009年から2010年にかけて、arpaを含むTLDおよび逆引きゾーンへ署名がされるようになりました。ルートゾーンに対しても、2010年7月15日(UTC)に署名が行われています。
しかし、DNSSECを正しく動かすにはさまざまな課題があり、たとえば以下のようにDNSを運用、登録、利用する人、それぞれが対応する必要があります。
- DNSサーバ管理者、運用者:ゾーンの署名、鍵の管理、DNSSEC応答の検証
- レジストラ、ドメイン名登録者:鍵の登録、更新
- ルータ、ファイアウォールなどのネットワーク機器ベンダー、リゾルバ等:DNSSECやEDNS0などの拡張されたDNSプロトコルへの対応
- ISP:DNSSECの対応とユーザーへの提供
DNSSECジャパン
DNSSECは、上記のようにDNSのサービスに関わる複数の人々が対応する必要がありますが、その内容は多岐にわたり複雑なため、有効に動作させるためには関係者が協力しあって連携する必要があります。そうした必要性からDNSSECの導入と普及を目的として「DNSSECジャパン」※2が設立されました。
DNSSECジャパンは、DNSSECの導入・運用に関する課題の整理・共有や技術検証の実施、ノウハウの蓄積などを目的とした団体で、日本DNSオペレーターズグループ代表幹事の石田慶樹氏らが発起人となって設立されました。2010年9月8日現在、31組織が会員として参加しており、JPNICもその一会員となって活動しています。
DNSSECジャパンの組織は、技術検証ワーキンググループ(WG)、広報WG、DNSSEC運用ワークショップで構成されています。このうちDNSSEC運用ワークショップは、運用技術サブワーキンググループ(SWG)とプロトコル理解SWGに分かれて活動をしています。以下に、技術検証WG、運用技術SWG、プロトコル理解SWGの活動について、ご紹介します。
技術検証WG
「技術検証ワーキンググループ」は、DNSSECがルートゾーンやTLDに導入されたときに、ネットワークサービスや製品にどのような影響があるかを調査するグループです。
DNSSECが導入されると、ISPのDNSキャッシュサーバやルータなどの機器では、扱うトラフィックが変化すると考えられます。またドメイン名の登録サービスにおいては、登録管理のインターフェースを変更する必要があります。これらの影響を、実際にDNSSECの導入が始まる前に調べておくと、ISP等のネットワーク接続組織で事前の対策が取りやすくなると考えられます。
このWGには、ISP等13社が参加しています。活動は2010年4月に始まり、2010年度末に報告書の形で成果をまとめることになっています。
運用技術SWG
「運用技術サブワーキンググループ」では、DNSSEC運用の一連の流れを、ワークショップ形式で体験しています。これまでの活動内容は、以下の通りです。
| 第1回: | 題材: | BINDを用いたDNSSEC対応DNSの構築(1) |
| 内容: |
DNSSECの基本(座学) DNSSEC対応コンテンツDNSサーバの構築(演習1) DNSSEC対応キャッシュDNSサーバの構築(演習2) |
|
| 第2回: | 題材: | BINDを用いたDNSSEC対応DNSの構築(2) |
| 内容: | 鍵更新/ゾーン再署名 | |
| 第3回: | 題材: | 運用ツールを用いたDNSSEC運用 |
| 内容: | OpenDNSSECを用いたDNSSECの運用 |
プロトコル理解SWG
「プロトコル理解サブワーキンググループ」では、DNSSECに関するRFCを輪講することにより、DNSSECへの理解を深めるための活動をしています。
DNSSECでは、不正なデータの混入を防ぐことを目的として電子署名を導入するため、設定項目については正確さを求められます。RFCで定義されている細部を理解するという趣旨のもと、各参加者に割り当てられたRFCについて発表・解説を行いました。
開催された活動内容については、以下の通りです。
| 第1回: | RFC4033 DNS Security Introduction and Requirements. |
| 第2回: | RFC4034 Resource Records for the DNS Security Extensions. |
| 第3回: | RFC4035 Protocol Modifications for the DNS Security Extensions. |
| 第4回: | RFC5011 Automated Updates of DNS Security(DNSSEC)Trust Anchors. |
| 第5回: | RFC5155 DNS Security(DNSSEC)Hashed Authenticated Denial of Existence |
| 第6回: |
RFC4641 DNSSEC Operational Practices I-D DNSSEC Operational Practices,Version 2 draft-ietf-dnsop-rfc4641bis-02 |
| 第7回: | RFC4509 Use of SHA-256 in DNSSEC Delegation Signer(DS)Resource Records(RRs) |
| 第8回: | RFC5702 Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC |
| 第9回: | RFC4431 The DNSSEC Lookaside Validation (DLV) DNS Resource Record |
| 第10回: | RFC4906 Requirements Related to DNS Security(DNSSEC)Trust Anchor Rollover |
| 第11回: | RFC5074 DNSSEC Lookaside Validation(DLV) |
| 第12回: | I-D DNSSEC Key Timing Considerations draft-morris-dnsop-dnssec-key-timing-02 |
当初の計画通りに進み、第12回をもって終了となりました。発表に使われた資料は、DNSSECジャパンのWebサイトで順次公開される予定になっております。
今後もJPNICは、DNSSECジャパンの活動等を通じて、DNSSECに関する情報収集を行って参ります。
(JPNIC技術部 小山祐司/木村泰司/菊池栄次/澁谷晃)
- ※1 DNSキャッシュポイズニング
- DNSサーバの脆弱性を利用して偽の情報をDNSサーバへ記憶させ、そのDNSサーバを使用するユーザーに対して影響を与える攻撃です。
- ※2 DNSSECジャパン(DNSSEC.jp)
- http://dnssec.jp/
