JPNIC News & Views vol.668【臨時号】

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲         ◆ JPNIC News & Views vol.668【臨時号】2009.8.21 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.668 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.667に続き、スウェーデンのストックホルムで開催された第75
回IETFのレポート[第2弾]として、「DNS関連WG報告」をお届けします。

なお、[第1弾]の「全体会議報告」については、以下のURLからご覧ください。

□第75回IETF報告
  ○[第1弾]  全体会議報告(vol.667)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol667.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第75回IETF報告 [第2弾]  DNS関連WG報告
                             JPNIC DNS運用健全化タスクフォースメンバー
                                             東京大学 情報基盤センター
                                                              関谷勇司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆dnsop WG(Domain Name System Operations WG)報告

dnsop WGの会合は、月曜日の朝一番の時間帯にて開催されました(2009年7月27
日)。会合の冒頭では、いつも通りInternet-Draftの状態確認が行われ、今ま
でのInternet-Draftには特に大きな進展はないことが確認されました。

まず、draft-morris-dnsop-dnssec-key-timing-00に関する報告と議論がなさ
れました。このInternet-Draftは、RFC4641を拡張したものであり、主に
DNSSECにおける鍵更新のタイミングについて、より詳しく提案したものです。
前回のIETFにおいても発表されたInternet-Draftであり、WG draftとするかど
うか、議論が行われました。結果、数式が多く読みにくいという意見も出さ
れ、新たなバージョンが発行されるのを待つことになりました。

次に、draft-wijngaards-dnsop-trust-history-00について、発表と議論がな
されました。これは、DNSSECで検証を行う際の起点となるTrust Anchorを更新
するにあたって、期限切れとなったTrust Anchorを、DNSのプロトコルを用い
て更新する仕組みを提案しています。発表後の議論では、RFC5011との違いが
取り上げられ、鍵やDNSの更新がどのぐらいの頻度で行われるか、過去の鍵情
報はどの程度まで保存しておけばよいのか等、議論されました。過去の鍵を保
存する方法のみに特化した方がよいのでは、という意見も出され、メーリング
リストでの議論が続けられることとなりました。

さらに、draft-livingood-dns-redirect-00について発表がなされました。こ
れは、DNSの応答を用いて、ユーザーを別のWebページに誘導するような仕組み
について、そのガイドラインを述べた文章です。DNSによる誘導は、DNSSECと
の相性や、存在しない名前を入力した場合にもNXDOMAINが返らない等、セキュ
リティ上の問題を抱えるため、推奨すべきではないとの意見も出されました。
このInternet-Draftも、引き続きメーリングリストにて議論が行われることと
なりました。

他に特筆すべきものとしては、draft-ljunggren-dps-framework-00です。これ
は、DNSSECを用いてTLDゾーンを署名するにあたって、レジストリが担う役割
を明記した文章です。会場からは、有用でありWG draftとすべきだとの意見が
出ました。次の更新を待って議論が続けられることとなりました。

今回の会合は、DNSSECに関連するInternet-Draftの議論が多く、あらためて
DNSSECが導入されつつあるという現状がうかがえました。


◆dnsext WG(DNS Extensions WG)報告

dnsext WGの会合では、主にforgery resilience(*)に関する議論と、EDNS0に
関する議論、ならびに毎度のことになりますが、WGのチャーターに関する議論
が行われました。

まずforgery resilienceに関する議論では、今までの議論の経緯がまとめら
れ、現在出ている提案が列挙されました。DNSへの詐称攻撃を防ぐために、
ポート番号やクエリID等のランダム性を増加させる手法としては、DNS Pingや
dns0x20、RTT Bandingといった手法が提案されています。また、DNSリゾルバ
サーバの挙動としては、キャッシュの上書き防止や、CNAME/DNAME連鎖の確
認、TCPによる再問い合わせ等が提案されています。これらをまとめたものと
して、draft-barwood-dnsext-fr-resolver-mitigations-08と
draft-wijngaards-dnsext-resolver-side-mitigation-01が提案されており、
議論の最後に、どちらの提案をWG draftとして採用するかの決がとられまし
た。結果として、両方の提案をマージして一つのWG draftとする方がよい、と
いう意見が多数を占め、著者と調整することとなりました。ただし、会場の雰
囲気としては、これらの手法は少なからずDNSの既存実装に手を入れる必要が
あるため、それほど積極的にやらなくてもよいのではないか、という意見もか
なり出ていました。

次にEDNS0に関する議論が行われました。

draft-ietf-dnsext-rfc2671bis-edns0-02ならびに
draft-gudmundsson-dnsext-setting-ends0-do-bit-00が取り上げられていまし
た。前者は主にEDNS0のバッファサイズとMTUに関する問題点を取り上げた文書
であり、後者はDNSSECにおけるペイロード増大に関して、DNSバッファサイズ
との関連を述べた文章です。draft-ietf-dnsext-rfc2671bis-edns0-02では、
EDNS0によって通知されるバッファサイズが、必ずしもMTU値と一致していない
ため、経路途中にPMTUができないルータ等が存在すると、UDPパケットのフラ
グメントが行われず、結果としてEDNS0のパケットが届かない、という問題を
指摘しています。これに対して、DNSバッファサイズを減らして再試行するよ
うEDNS0の仕様を変更するという提案を行っています。

draft-gudmundsson-dnsext-setting-ends0-do-bit-00では、リゾルバサーバが
扱うことのできるDNSバッファサイズが1,220Bytesより小さい場合には、DO
(DNSSEC OK bit)を有効にしないよう推奨する提案を行っています。これらに
関しては、引き続き議論が行われることとなりました。

その他には、behave WGのinternet-draftである、
draft-ietf-behave-dns64-00におけるDNSSECの扱いに関する報告や、DNSSECに
て利用される、新たな暗号アルゴリズムに関するinternet-draftの紹介があり
ました。dnsop WGと同様に、DNSSECに関連する議論が、時間の多くを占める結
果となりました。

(*) RFC5452にて述べられている、DNSへの詐称パケット攻撃に対する対策。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.668 【臨時号】

 ＠ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 ＠ 問い合わせ先   jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  http://www.nic.ad.jp/
■■

Copyright(C), 2009 Japan Network Information Center
このページを評価してください
