更新 2014年5月21日作成 2013年5月29日

DNSSEC 2013 スプリングフォーラム

主として #dnsops の呟きをまとめました。 http://dnsops.jp/event20130529.html 日時: 2013-05-29(水) 10:00-19:00 会場: 株式会社インターネットイニシアティブ本社大会議室(神保町三井ビルディング 17F)

インターネット

mahbo
7712
2
0
1
0

DNSSEC入門

チュートリアル

Yoshikazu GOTO @goto_ipv6

石田さん：開催趣旨：・2011年に、JPゾーンも導入済み。しかし、まだ普及はほとんどしていない。その障害となるものをなくすのが、dnssecジャパンの活動を継承した dnsopsの役目だと。 #dnsops

2013-05-29 10:02:04

Yasuhiro Morishita @OrangeMorishita

とりあえず #dnsops かしら。 RT @satoh_fumiyasu: IIJ の DNSSEC、ハッシュタグはないの?

2013-05-29 10:02:14

Yoshikazu GOTO @goto_ipv6

舩戸さんと石田さんによる「DNSSECチュートリアル」です。 #dnsops

2013-05-29 10:06:22

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSSECの概要： #dnsops

2013-05-29 10:06:39

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSSECの導入状況： #dnsops

2013-05-29 10:07:41

Yoshikazu GOTO @goto_ipv6

舩戸さん：・rootゾーン：2010年7月15日・TLD：すでに多くのTLDで運用されている →新gTLDではDNSSEC対応が必須項目 →ccTLD：.jpは2011年1月16日から正式運用 #dnsops

2013-05-29 10:08:54

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSキャッシュへの毒入れと対策： #dnsops

2013-05-29 10:09:26

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSキャッシュへの毒入れ：・ユーザーがキャッシュDNSサーバーへ・キャッシュDNSサーバーが権威DNSサーバーに問い合わせ・攻撃者が、別の情報を送りつけてキャッシュさせる →キャッシュDNSサーバーがユーザーに、間違ったIPアドレスを返してしまう #dnsops

2013-05-29 10:11:13

Yoshikazu GOTO @goto_ipv6

舩戸さん：毒入れ攻撃への対策：・攻撃が成功する確率を下げる →問い合わせポートのランダム化 →適切なアクセス制限 →etc ※これらは根本的な対策ではない（攻撃の確率を下げるだけ） #dnsops

2013-05-29 10:12:18

Yoshikazu GOTO @goto_ipv6

舩戸さん：・根本的な対策 →DNS応答が偽造/改ざんされていないことを受信側で確認可能にする →DNSSECはこのための技術として作られた #dnsops

2013-05-29 10:12:52

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSSECとは：・DNSSEC →正当な権威DNSサーバーからの応答か？ →応答が途中で改ざんされていないか？ #dnsops

2013-05-29 10:13:56

Yoshikazu GOTO @goto_ipv6

舩戸さん：・DNSセキュリティ拡張・受け取ったDNS応答の出自/完全性を検証できる仕組み・DNS応答に公開鍵暗号技術を用いている #dnsops

2013-05-29 10:14:40

Yoshikazu GOTO @goto_ipv6

舩戸さん：従来のDNS vs DNSSEC：・権威DNSサーバーで電子署名を付加し、出自を保証・受信側でDNS応答の改ざん・欠落の有無を検出できる #dnsops

2013-05-29 10:16:18

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSSECの対象範囲：・対象としていないもの →通信内容の暗号化：通信内容を暗号化し、問い合わせ内容を秘匿すること #dnsops

2013-05-29 10:17:01

Yoshikazu GOTO @goto_ipv6

舩戸さん：鍵と信頼の連鎖： #dnsops

2013-05-29 10:17:19

Yasuhiro Morishita @OrangeMorishita

よい着眼点です。 #dnsops QT @in_masaakid: DNSSECって、誰から何を守るもんなんだろう？

2013-05-29 10:18:06

Yoshikazu GOTO @goto_ipv6

舩戸さん：DNSSECにおける信頼の連鎖の概念：・それぞれの秘密鍵が、それぞれのゾーンのデータ、その中でホスティングしている下位のゾーンを、公開鍵で署名することによって、正しいものだということを検証できるようにしている。 #dnsops

2013-05-29 10:18:31

Yoshikazu GOTO @goto_ipv6

舩戸さん：2種類の鍵とDS：・2種類の鍵 →ZSK：ゾーンに署名するための鍵 →KSK：ゾーン内の公開鍵情報に署名するための鍵・DS →親ゾーンにリソースレコードとして登録 →子ゾーンのKSKと等価な情報 #dnsops

2013-05-29 10:20:29

Yoshikazu GOTO @goto_ipv6

舩戸さん：ZSK：・比較的暗号強度の低い鍵が使われる・署名コストが低い →大規模ゾーンの署名にも適応できる →安全確保のため、ある程度の周期で鍵を更新する必要がある（現在の.jpでは1ヶ月毎）・鍵更新は親ゾーンとは関係なく独立に行える →2種類でのメリット #dnsops

2013-05-29 10:22:01

ふみやす＠シェルまおう(自称でない) @satoh_fumiyasu

ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops

2013-05-29 10:22:38

（🍥） @hdais

ZSK/KSKの2種類の運用が事実上必須なのはどうにかならなかったんですかねぇ #dnsops

2013-05-29 10:23:07

Yoshikazu GOTO @goto_ipv6

舩戸さん：KSK：・比較的暗号強度の高い鍵が使われる・利用期間を長くできる →鍵更新の頻度を低くできる →署名コストは高いが、ゾーン内の公開鍵情報のみを署名対象とするため、全体のコスト増加は少ない #dnsops

2013-05-29 10:23:11

西口昌宏 @mahbo

1024bitで1ヶ月なら大丈夫ですね RT @satoh_fumiyasu: ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops

2013-05-29 10:23:33

1 2 ・・ 30 次へ

DNSSEC入門

チュートリアル

いま話題のタグ