本を読む

読書やコンピュータなどに関するメモ

HOSTING-PRO 2010で「今そこにある課題 IPv6対応とDNSSEC」を聴く

 ホスティング業界のイベントであるHOSTING-PRO 2010を覗いてきました。

 中でも、みんな近いうちに対応しなくちゃならないんだろうな、という観点でちょっと気になってるDNSSECとIPv6について、ホスティング事業者目線から見た課題を語るセッションを聴いてきました。以下、メモ的なレポートです。

IPv6は検証環境が課題?

 IPv6については日本インターネットプロバイダー協会の菅沼真さんが解説しました。

 IPv6に移行する理由といえば、やはりIPv4アドレス枯渇の問題。で、ソフトバンクがIPv6サービスを2010年4月からスタートするのでサーバー側もそのあたりから対応するのでは、という話になってました。ほかの動きとしては、GoogleやYouTubeや2ちゃんねるがすでにIPv6対応とか、携帯のLTE(3.9G)や4GがIPv6必須とか。

 「まだらなインターネット環境」の問題も提起されました。インターネットは相互接続だけど、IPv6を導入するにあたってNATが入ったりIPv6-IPv4変換が入ったりと、接続方法や経路の選択がいろいろになってくる、というのが問題視されているようです。

 アプリケーションレイヤーの世界では、対応は進みつつあるけど検証が進んでいないことが問題として挙げられました。これはひとえに検証環境がないことによるもの、と考えているそうです。そのため、IPv6検証環境を提供していく必要性や、トンネルによるトランジット調達(BGPも流せる)などの手段を啓蒙していく必要が語られていました。

 その他、細かいけど気になるところとしては、ログが大きくなるとか、セキュリティ対策製品がまだ少ないとか、DNSクエリーがIPv4で来ているかIPv6で来ているのかを判別する必要があるとか、逆引きは広大すぎてどう管理したらいいかとか、ZONEが大きくなるとか、EDNS0対応とかいった論点が紹介されました。

DNSSECはデータが大きくなるのが問題?

 DNSSECについては、JPRSの民田雅人さんが解説しました。

 DNSSECが急激に注目されている理由に、Kaminsky型攻撃でDNSキャッシュポイズニングが容易になったことがあります。アドホックな対策はなされていますが、根本的な問題は正しいデータかどうか検証できないことで、検証するにはDNSプロトコルを拡張する必要がある、それがDNSSEC、という話でした。

 DNSSECは、DNSデータに電子署名を加えて、DNSデータの出自や完全性を検証できるようにするセキュリティ拡張です。従来のDNSと互換性があるそうです。

 方式としては、KSK(鍵署名鍵。暗号強度を重視)とZSK(ゾーン署名鍵。計算負荷の低さを重視)を用意。また、親ゾーンのZSKで子ゾーンのKSKに署名することによって「信頼の連鎖」を築いているそうです(NSには署名しない)。

 運用上では、署名の有効期間を3日~2週間程度にして、切れる前にゾーン全体を再署名というサイクルになるそうです。鍵の更新期間は、KSKは外部とやりとりするので比較的長期間(1年間など)、ZSKはドメイン内なので比較的短期間(1~3か月など)を設定するとのことでした。

 実際のZONEファイルも画面に表示されました。記述の大変さや更新期間、影響などを考えると、これは直接書くんじゃなくてツール化したいですね。

 DNSSEC対応で考えておくべき点としては、ゾーンデータが大きくなるうえにプライマリが署名するとセカンダリにいきなり送られるとか、パケットのサイズが大きくなるとか、キャッシュ効率とか、多数のドメインを管理する事業者では鍵生成の計算負荷がかかるという点が挙げられました。

 現実世界では、.seが2005年にDNSSECを導入済み。.jpは2010年中を目処に、.comや.netは2011年だそうです。rootゾーンにも2010年より各サーバーに徐々に適用されるようになっていて、まずダミーの署名データ(DURZ)を追加して慎重に影響を調査するそうです。

コメント

コメントの投稿

管理者にだけ表示を許可する

トラックバック

http://emasaka.blog65.fc2.com/tb.php/722-800ddb29

 | HOME | 

Categories

Recent Entries

Recent Comments

Recent Trackbacks

Appendix

emasaka

emasaka

フリーター。
連絡先はこのへん

Monthly


FC2Ad