メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1238【臨時号】2014.10.20 ◆
  _/NIC
===================================
---------- PR --------------------------------------------------------
◆◇◆JPNIC主催「Internet Week 2014」◆11/18(火)-21(金)@秋葉原◆◇◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いま話題のコンテナ型仮想化ツール、Dockerの使い方を解説します!
『Dockerが変えるクラウドインフラ新潮流』
  【 プログラム詳細 】  https://internetweek.jp/program/t08/
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1238 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2014年9月9日から19日にかけて開催されたAPNIC 38カンファレンスのレポー
トを、3回に分けて連載にてお届けしています。

本号では、そのレポートの第2弾として、各RIRにおける逆引きDNSSECの動向
についてご報告します。

なお、第1弾の全体およびアドレスポリシー関連報告については、以下のURL
からバックナンバーをご覧ください。

□APNIC 38カンファレンス報告
  [第1弾] 全体およびアドレスポリシー関連報告(vol.1236)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1236.html

連載の最終回となる次号では、リソースPKIの動向についてお届けする予定で
す。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APNIC 38カンファレンス報告 [第2弾] 各RIRにおける逆引きDNSSECの動向
   報告
                                                   JPNIC 技術部 澁谷晃
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ はじめに

今回のAPNIC 38は、2014年9月9日(火)~19日(金)に、オーストラリア・ブリ
スベンで開催されました。会場では、恒例のカンファレンス用Wi-Fiネット
ワークが提供されていた他、ブリスベンの市中では公共のWi-Fi接続サービス
が公園など公共施設各所で提供されており、滞在中のインターネット接続に
困ることはありませんでした。

カンファレンスの会場では、参加していた各地域の技術者と意見交換を実施
しました。筆者は、JPNICにてIPアドレスおよび逆引きDNSの登録管理システ
ムを運用しているため、その方面の意見交換をしましたが、各地域にて逆引
きDNSをFTP (File Transfer Protocol)やメールサービスの運用に活用してい
る事例について、話をうかがうことができました。

またJPNICでは、APNIC技術チームとシステムなど技術に関する意見交換を継
続して実施しており、今回のAPNIC 38においては逆引きDNSに関する取り組み
について、さまざまな意見交換を実施しました。以下に、この意見交換の中
で得られた情報の詳細について述べます。


■ 各RIRにおける逆引きDNSSECの導入状況

国際的な逆引きDNSSEC (Domain Name System Security Extensions)の導入状
況を把握するため、世界を五つの地域に分け、それぞれの地域でIPアドレス
の割り当て業務を行う組織である地域インターネットレジストリ(Regional 
Internet Registry; RIR)(*1)において、逆引きのDNSにどのくらいDNSSECが
導入されているのか、状況を確認しました。

(*1) 地域インターネットレジストリ(Regional Internet Registry)とは
     https://www.nic.ad.jp/ja/basics/terms/rir.html

現在、RIRはAPNIC (Asia Pacific Network Information Centre)、ARIN
(American Registry for Internet Numbers)、RIPE NCC (Reseaux IP
Europeens Network Coordination Centre)、LACNIC (The Latin American
and Caribbean IP address Regional Registry) 、AFRINIC (African Network
Information Centre)の五つがあり、すべてのRIRで逆引きDNSSECの登録サー
ビスが提供されています。

APNIC、ARIN、RIPEの3組織では、当日の逆引きDNSのゾーン情報が公開されて
おり、該当3組織についてはそちらを元に状況を確認し、必要に応じて問い合
わせを行いました。

  APNIC、ARIN、RIPE管理のネームサーバにおけるゾーン情報
  APNIC : ftp://ftp.apnic.net/public/zones/
  ARIN  : ftp://ftp.arin.net/pub/zones/
  RIPE  : ftp://ftp.ripe.net/pub/zones

具体的には、DNSSECの仕組み上、あるゾーンに対してDNSSECを有効にする場
合、親ゾーンに対して、子ゾーンの公開鍵から計算されたDS (Delegation
Signer)レコードを登録する(*2)のですが、各RIRの管理するネームサーバに、
どのくらいDSレコードが存在するのか調査を行いました。

(*2) インターネット10分講座「DNSSEC」
     https://www.nic.ad.jp/ja/newsletter/No43/0800.html

なおDNSの運用上は、冗長性のために一つのゾーンに、複数のネームサーバお
よび複数のDSレコードを登録することができるのですが、今回の調査におい
ては、あるゾーンに対して一つ以上のDSレコードが登録されているものがあっ
た場合、1件としてカウントを行いました。

例:APNICのゾーン (28.12.202.in-addr.arpa.) の場合
--------------------------------------------------------------------
28.12.202.in-addr.arpa. NS      cumin.apnic.net.
28.12.202.in-addr.arpa. NS      tinnie.apnic.net.
28.12.202.in-addr.arpa. NS      tinnie.arin.net.
28.12.202.in-addr.arpa. DS      38468 5 1 ( 0D9C9BFFBBD1BF43022BA374
                                B2CE623470B33565 )
28.12.202.in-addr.arpa. DS      38468 5 2 ( 85AA2B48F1C2B7556337FF01
                                9EC1C420F699599E310FE619E1D7BD78F320
                                9189 )
--------------------------------------------------------------------

この場合、28.12.202.in-addr.arpa. というゾーンに対して、三つのネーム
サーバ、二つのDSレコードが登録されていますが、このゾーンについては、
DNSSECが有効になっているゾーンが1件ある、としてカウントしました。

なおAFRINICにおいては、逆引きDNSSECの利用状況について、公開されている
情報はあったのですが、APNIC 38ミーティングの時点では公開情報が最新の
ものではなかったので、個別に照会しました。LACNICは、他のRIRのようには
DNSSEC適用ゾーンの情報を公開しておらず、こちらも個別に問い合わせま
した。

  AFRINICのDNSSECに関する統計
  http://www.afrinic.net/en/initiatives/dnssec/dnssec-stats
  (注:本稿執筆時点では、9月16日のデータとして公開されている統計があ
   り、筆者からの照会と前後して更新されたものと思われます)


■ 各RIRにおける逆引きDNSSECの登録状況

以上のように調べた結果、APNICの場合は405,818のゾーンに対して、それぞ
れDSレコードが一つ以上登録されているものが184件、ARINの場合は486,403
のゾーンに対して457件、RIPEの場合は667,460のゾーンに対して1,254件、
AFRINICの場合は28,188のゾーンに対して20件のDSレコードがある、というこ
とがわかりました。LACNICについては件数の分母が不明であるものの、およ
そ4~5個のゾーンでDNSSECが有効になっている旨の回答がありました。

また、組織数単位についても可能な範囲で確認したところ、APNICの管理下で
は16組織が逆引きDNSSECを登録しており、ARINの管理下では91の組織が登録
しているということでした。RIPEについては確認できなかっため、組織数単
位での登録数は不明です。

なお、1ゾーンあたりどのくらいの数のDSレコードの登録があるのかについて
も、可能な範囲で確認しました。DSレコードは冗長性のため複数登録するこ
とが想定されており、同じ鍵についても、ダイジェストを生成する方式につ
いてSHA-1かSHA-256かの二つの方式があります。

APNICの個別のゾーンを確認したところ、APNIC管理下では最大で二つのDSレ
コードが登録されており、それぞれダイジェストの型において、SHA-1か
SHA-256かが異なっていることがわかりました。また、AFRINICにおいては、
多い場合は1ゾーンに四つのDSレコードが登録されている傾向があり、四つの
内訳としては、二つの異なる鍵について、それぞれ二つのダイジェストの型
で登録されているようでした。


■ DNSSECの検証を有効にしたクエリの統計

APNICに、その他DNSSECに関する統計調査を実施しているか確認したところ、
以前から継続して調査を実施しており、対外的に発表することもあるとのこ
とでした。ちょうどAPNIC 38でのAPOPS (Asia Pacific OperatorS Forum)で、
Geoff Huston氏が関連の発表(*3)を実施しており、それによると、APNICの調
査対象のサーバに対して、11.5%のクライアントがDNSSECの検証を有効にし
て、DNSのクエリを送信している統計があるとの共有がありました。

(*3) Geoff Huston (APNIC) - DNSSEC validation: What if everyone did it?
     https://conference.apnic.net/data/38/2014-09-16-dns-measure_1410315749.pdf


■ 逆引きDNSSEC登録におけるJPNICおよびAPNICのシステムの連携方式

また、JPNIC管理下におけるIPアドレスの逆引きについて、DNSSECを有効化す
る場合のJPNICおよびAPNICのシステムの連携方式も、詳細を確認しました。
JPNIC管理下のIPアドレスには、(1)APNICのネームサーバがゾーンの委任を
行っているものと、(2)JPNICのネームサーバがゾーンの委任を行っているも
のという、2種類のゾーンがあるのですが、(1)の場合については、ユーザー
から登録申請のあったDSレコードを、そのままJPNICがAPNIC連携用のシステ
ムに渡せば、APNICのネームサーバにて署名をすることが可能であることを確
認しました。なお、(2)の場合については、JPNICのネームサーバ上で署名を
行う必要があるのですが、こちらは別途、実装の方式を検討しています。

これらの検討の状況等につきましては、適宜、皆さまとも共有していきたい
と考えています。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1238/6fc30c12ac934d26601daa9f60bee9d8┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1238/453ed3454df3f4ec5beefdde2344e1a5┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1238 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2014 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.