Testing Firewalls for IPv6 and EDNS0 Support
翻訳文

社団法人日本ネットワークインフォメーションセンター
最終更新2007年3月28日

この文書は2007年1月5日に公開された
http://www.icann.org/committees/security/sac016.htm
を翻訳したものです。
JPNICはこの翻訳を参考のために提供しますが、 その品質に責任を負いません。

---

IPv6およびDNS用拡張メカニズム(EDNSO)
サポートのための試験用ファイアウォール

SAC 016

2007年1月5日

準備 | AAAAサポートのテスト | EDNSOサポートのテスト | 結果の共有 | 報告のあった結果

背景

　DNSルートサーバシステム諮問委員会(RSSAC)および ICANNのセキュリティと安定性に関する諮問委員会(SSAC)は、 DNSのルートレベルにIPv6アドレスを含める問題について共同で検討を行っています。 ここには、IANAおよびDNSルートサーバ運用者の側の二つの問題が含まれています。

1. ヒントファイルにAAAAタイプの資源レコードを追加する。IANAは、権威ルートのヒントファイルをftp://ftp.internic.net/domain/にてメンテナンスしています。
2. 最初のリクエストとして知られるネームサーバのブートストラップを実行する際、AAAAタイプのレコードを返すよう、13のルートネームサーバを設定する。

　現在、五つのルートネームサーバ - B、F、H、K、 およびM - の運用者が自身のシステムにIPv6アドレスを割り当てています。 これらのアドレスは、現時点ではヒントファイルに含まれておらず、 DNSの最初のレスポンスでも返されていません。 もし、ルートサーバの運用者が最初のやり取りの間に返すDNSタイプの NSレスポンスメッセージのAdditional Sectionに五つのIPv6アドレスが加えられた場合、 レスポンスメッセージのサイズは現在の436バイトから 576バイトに膨らむことになります。 最終的には、13のネームサーバ全てにIPv6アドレスを割り当てられた場合、 最初のレスポンスは、そのサイズが800バイトに膨らみます。 ここには、今日では存在しない、 最初のやり取りをうまく完了するための二つの条件が含まれています。 特に、リゾルバや、 リゾルバとルートネームサーバ間にある全ての途中のシステムは、 AAAAタイプのリソースレコードを含んでいる DNSメッセージを処理できなければなりません。 加えて、

• リゾルバは、自身がRFC1035で定められている最大のDNSメッセージサイズである512バイトよりも大きいDNSレスポンスを処理することができることをルートネームサーバに通知するため、DNS拡張(EDNS0、RFC 2671)を使用しなければなりません。そして
• 途中のシステムは、最初のリクエストを出したリゾルバに対して、RFC1035で定められている最大のDNSメッセージサイズである512バイトよりも大きいUDPカプセル化されたDNSレスポンスを転送するよう、設定されなければなりません。

　共同の委員会は、 ネームサーバのリゾルバを防御するために組織が使っている商用のファイアウォールが、 これらの条件を満たさないことを理由として最初のレスポンスを遮断 (静かに廃棄)するか否かについて、 インターネットコミュニティからフィードバックを募集しています。

ファイアウォールの実装およびバージョンの準備と試験

　いくつかのトップレベルドメインは、今日、 DNSのレスポンスメッセージでIPv6アドレスを返しており、 そしてこれらのレスポンスのうちいくつかは512バイトよりも大きいものです。 TLDネームサーバをDNSタイプのNSクエリのターゲットとすることによって、 各組織はファイアウォールの実装やバージョンをテストし、 もしDNSの最初のレスポンスが AAAAレコードをルートネームサーバに含むよう拡張される場合に、 影響を受けるか否かを決定することができます。

ファイアウォールの実装がAAAAタイプの資源レコードに対応するか否かをテストしてください

　AAAAタイプの資源レコードを受け取った際にファイアウォールの実装がどのような挙動を示すかをテストするために、 ネットワークあるいはファイアウォール管理者は、 一般的なdigプログラムを使用して以下のDNS検索を行うことができます。

dig hk ns @203.119.2.18
            

　このコマンド結果は、 AAAA資源レコードを含む508バイトのレスポンスを受け取るものでなければなりません。

              
; <<>> DiG 9.2.3 <<>> hk ns @203.119.2.18
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41
;; flags: qr aa rd; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 6

;; QUESTION SECTION:
;hk.                            IN      NS


;; ANSWER SECTION:
hk.     604800  IN      NS      NS2.HKIRC.NET.hk.
hk.     604800  IN      NS      NS3.CUHK.EDU.hk.
hk.     604800  IN      NS      SEC3.APNIC.NET.
hk.     604800  IN      NS      TLD1.ULTRADNS.NET.
hk.     604800  IN      NS      TLD2.ULTRADNS.NET.
hk.     604800  IN      NS      TLD3.ULTRADNS.ORG.
hk.     604800  IN      NS      TLD4.ULTRADNS.ORG.
hk.     604800  IN      NS      TLD5.ULTRADNS.INFO.
hk.     604800  IN      NS      TLD6.ULTRADNS.CO.UK.
hk.     604800  IN      NS      ADNS1.BERKELEY.EDU.
hk.     604800  IN      NS      ADNS2.BERKELEY.EDU.
hk.     604800  IN      NS      NS-HK.RIPE.NET.
hk.     604800  IN      NS      B.DNS.TW.
hk.     604800  IN      NS      NS1.HKIRC.NET.hk.
hk.     604800  IN      NS      NS2.CUHK.EDU.hk.

;; ADDITIONAL SECTION:
B.DNS.TW.               32446   IN      A       210.201.138.58
NS2.CUHK.EDU.hk.        45329   IN      A       137.189.6.21
NS2.HKIRC.NET.hk.       6723    IN      A       203.119.2.19
NS3.CUHK.EDU.hk.        45329   IN      A       202.45.188.19
SEC3.APNIC.NET.         142421  IN      A       202.12.28.140
SEC3.APNIC.NET.         142421  IN      AAAA    2001:dc0:1:0:4777::140

;; Query time: 312 msec
;; SERVER: 203.119.2.18#53(203.119.2.18)
;; WHEN: Tue Dec 12 12:18:54 2006
;; MSG SIZE  rcvd: 508
              
            

　もし何のレスポンスも得られない場合、 ネットワークおよびファイアウォール管理者は、 まずDNSメッセージに対するベンダーのデフォルト動作ではなく、 セキュリティポリシーがレスポンスメッセージをブロックしていないかを特定すべきです。 ベンダーのデフォルト動作以外に何のポリシーも設定されていなかった場合には、 実装やバージョンを記録し、 アップグレードやhot fixが入手可能かを特定するため、 ベンダーにコンタクトしてください。

ファイアウォールの実装が大きいDNSレスポンスメッセージに対応するか否かをテストしてください

　ファイアウォールの実装が512バイトよりも大きいUDPカプセル化した DNSレスポンスメッセージを受け取った際にどのような挙動をするかをテストするためには、 ネットワークあるいはファイアウォール管理者は、 一般的なdigプログラムを使用して以下のDNS検索を行うことができます。

dig hk ns +bufsize=4096 @203.119.2.18
            

　このコマンドは、 AAAAリソースレコードを含む747バイトのレスポンスを引き出さなければなりません。

              
; <<>> DiG 9.2.3 <<>> hk ns +bufsize=4096 @203.119.2.18
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41
;; flags: qr aa rd; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 19

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;hk.                            IN      NS

;; ANSWER SECTION:
hk.     604800  IN      NS      B.DNS.TW.
hk.     604800  IN      NS      NS1.HKIRC.NET.hk.
hk.     604800  IN      NS      NS2.CUHK.EDU.hk.
hk.     604800  IN      NS      NS2.HKIRC.NET.hk.
hk.     604800  IN      NS      NS3.CUHK.EDU.hk.
hk.     604800  IN      NS      SEC3.APNIC.NET.
hk.     604800  IN      NS      TLD1.ULTRADNS.NET.
hk.     604800  IN      NS      TLD2.ULTRADNS.NET.
hk.     604800  IN      NS      TLD3.ULTRADNS.ORG.
hk.     604800  IN      NS      TLD4.ULTRADNS.ORG.
hk.     604800  IN      NS      TLD5.ULTRADNS.INFO.
hk.     604800  IN      NS      TLD6.ULTRADNS.CO.UK.
hk.     604800  IN      NS      ADNS1.BERKELEY.EDU.
hk.     604800  IN      NS      ADNS2.BERKELEY.EDU.
hk.     604800  IN      NS      NS-HK.RIPE.NET.

;; ADDITIONAL SECTION:
B.DNS.TW.               31310   IN      A       210.201.138.58
NS2.CUHK.EDU.hk.        44193   IN      A       137.189.6.21
NS2.HKIRC.NET.hk.       5587    IN      A       203.119.2.19
NS3.CUHK.EDU.hk.        44193   IN      A       202.45.188.19
SEC3.APNIC.NET.         141285  IN      A       202.12.28.140
SEC3.APNIC.NET.         141285  IN      AAAA    2001:dc0:1:0:4777::140
TLD1.ULTRADNS.NET.      31021   IN      A       204.74.112.1
TLD1.ULTRADNS.NET.      45      IN      AAAA    2001:502:d399::1
TLD2.ULTRADNS.NET.      82715   IN      A       204.74.113.1
TLD3.ULTRADNS.ORG.      31021   IN      A       199.7.66.1
TLD4.ULTRADNS.ORG.      31310   IN      A       199.7.67.1
TLD4.ULTRADNS.ORG.      31310   IN      AAAA    2001:502:100e::1
TLD5.ULTRADNS.INFO.     3521    IN      A       192.100.59.11
TLD6.ULTRADNS.CO.UK.    364     IN      A       198.133.199.11
ADNS1.BERKELEY.EDU.     117756  IN      A       128.32.136.3
ADNS2.BERKELEY.EDU.     117756  IN      A       128.32.136.14
NS-HK.RIPE.NET.         117756  IN      A       193.0.12.100
NS-HK.RIPE.NET.         117756  IN      AAAA    2001:610:240:0:53:cc:12:100

;; Query time: 312 msec
;; SERVER: 203.119.2.18#53(203.119.2.18)
;; WHEN: Tue Dec 12 12:37:50 2006
;; MSG SIZE  rcvd: 747
              
            

　もし何のレスポンスも得られない場合、 ネットワークおよびファイアウォール管理者は、 まずDNSメッセージのためのベンダーのデフォルト経路ではないセキュリティポリシーが、 大きいレスポンスメッセージあるいは大きいUDPメッセージをブロックしてないかを特定すべきです。 ベンダーのデフォルト経路以外に何のポリシーも設定されていなかった場合には、 実装やバージョンを記録し、 アップグレードやhot fixが入手可能かを特定するため、 ベンダーにコンタクトしてください。

結果をインターネットコミュニティと共有してください

　以下の情報を含むemailを ICANNのSSACの研究員 に送ることによって、 試験結果をコミュニティと共有されるよう、 SSACおよびRSSAC委員会は奨励いたします。

• Firewall Product Manufacturer
• Firewall Model
• Firewall software/firmware version
• Action when AAAA RR encountered
• (Optional) A copy of the dig input and output (as illustrated above, this can be obtained by directing the output to a file, e.g., "dig hk ns @203.119.2.18 > digAAAA.txt")
• Action when DNS message larger than 512 bytes received
• (Optional) A copy of the dig input and output (as illustrated above, this can be obtained by directing the output to a file, e.g., "dig hk ns +bufsize=4096 @203.119.2.18 ≥ digEDNS0.txt")

実施されたテスト

　以下の結果は、2007年2月5日付でSSACの研究員に報告されたものです。

1 ファイアウォールの設定には、『最大1500の長さのfixupプロトコルdns』が含まれています。

ICANNからのアナウンス(2007年1月5日)

"Testing Firewalls for IPv6 and EDNS0 Support"