-
- いいね!0
Yoshikazu GOTO
@goto_ipv6
山口さん:そもそもフルリゾルバは信頼できるのか?: ・DoH/DoT でも、キャッシュされた情報の正しさは担保できない →担保するには DNSSEC が必要だが殆ど使われていない ・いろんなことをするフルリゾルバとか? #janog #janog_3F_A
2020-01-23 13:42:55
KOYAMA Tetsuji (こいほげ)
@koyhoge
おやつチケットも早速使いました。ROYCEおつまみチョコ。 #janog facebook.com/photo.php?fbid… pic.twitter.com/rAFGW7ad1g
2020-01-23 13:43:01
拡大
Yoshikazu GOTO
@goto_ipv6
山口さん:Public DNS がやっているいろんなこと: ・Google →EDNS Client Subnet で権威サーバーにクライアントのIPアドレスを通知 ・Quad9 →マルウェア配布サイトのブロッキング #janog #janog_3F_A
2020-01-23 13:43:42
yo
@yo12525
DirectConnect周辺環境の監視。AWS側のVIFの状態確認をしたいという話に。監視はZabbixで。トラフィックを転送する状態じゃないzabbix-itemを検知させるように。不要アラート頻発し監視サーバ負荷Up。 原因は主に監視間隔、IAM認証失敗時をエラーと検知、APIの誤報。 #janog #janog_6f
2020-01-23 13:44:46
Yoshikazu GOTO
@goto_ipv6
山口さん:EDNS Client Subnet: ・CDN さんが、一番近いエッジサーバーからコンテンツを配信したい →クライアントの IPアドレスを伝えてあげよう →/24 で丸めた情報を伝える #janog #janog_3F_A
2020-01-23 13:44:47
Yoshikazu GOTO
@goto_ipv6
山口さん:Public DNS とプライバシー: ・膨大なプライバシーが Public DNS 事業者の手に #janog #janog_3F_A
2020-01-23 13:47:28
Yoshikazu GOTO
@goto_ipv6
山口さん:ところで……: ・JANOG45 の会場で自動設定されるDNSですが… →Google Public DNS の IPアドレスが降ってくる ・JANOG 参加者は Google のプライバシーポリシーに同意している? #janog #janog_3F_A
2020-01-23 13:48:14
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
会場ネットワークだと 8.8.8.8 のせいで e-ontap.com がブロックされます :-P #janog
2020-01-23 13:49:06
yo
@yo12525
対策はZabbix依存を見直し、サーバレスに。Lambdaを活用。間隔は1分。検知ルールも分析して新たに設ける。unknownの時は過去実績からアラート除外とした。従量課金なので低コストで監視環境が作れ、今後につながる実績に。課題は、イベントドリブンでないこと、技術力向上など。 #janog #janog_6f
2020-01-23 13:49:24
Yoshikazu GOTO
@goto_ipv6
石田さん:ISPのフルリゾルバとプライバシー: ・エンドユーザーからのフルリゾルバの問い合わせも通信の秘密の対象 →コンセンサスが ・プライバシーの観点からも個々の問い合わせについての知得も行わない ・例外 →児童ポルノ #janog #janog_3F_A
2020-01-23 13:49:51
Yoshikazu GOTO
@goto_ipv6
石田さん:ちょっと脱線:「海賊版サイトブロッキング」問題: ・司法の場でもコンセンサスが取れているのではないかと #janog #janog_3F_A
2020-01-23 13:50:42
yo
@yo12525
クラウドネットワークのいいところは、NW知識がいる、属人化解消、L2設計からの解放、セキュリティ充実、GIPすぐ貰える。 悪いところ。障害試験できない、BGPステータス確認・ping/tracerouteできない。 #janog #janog_6f
2020-01-23 13:52:37
Yoshikazu GOTO
@goto_ipv6
石田さん:フルリゾルバを運用する立場からの懸念事項: ・DoH/DoT による Public DNS が主流となった場合 →フルリゾルバの利用が Public DNS に巻き取られる? #janog #janog_3F_A
2020-01-23 13:52:44
Yoshikazu GOTO
@goto_ipv6
石田さん:ISPのフルリゾルバ: ・DoH/DoT の導入が進んだ場合には、ISP のフルリゾルバでも対応すべき? →対応しない場合 →対応する場合 それぞれで課題が #janog #janog_3F_A
2020-01-23 13:53:21
Yoshikazu GOTO
@goto_ipv6
石田さん:DoH/DoT へ対応しない場合: ・Public DNS に巻き取られる →ISP はフルリゾルバの運用から解放される ・一部のみで Public DNS が使われる #janog #janog_3F_A
2020-01-23 13:54:01
Yoshikazu GOTO
@goto_ipv6
石田さん:一部のみで Public DNS が利用される: ・想定される問題 →同一ユーザーが異種のフルリゾルバを利用することにより発生する不具合 →など #janog #janog_3F_A
2020-01-23 13:54:52
Yoshikazu GOTO
@goto_ipv6
石田さん:一部のみで Public DNS が利用される: ・同一のユーザーがエッジデバイスごとに異なる複数のフルリゾルバを利用する可能性 ・同一のエッジデバイス内で異なる複数のフルリゾルバを利用する可能性 #janog #janog_3F_A
2020-01-23 13:56:12
takeshi "george" matsuda
@take4mats
ネットワーク図ってクラウドの構成図になるととたんにわかりにくいよなぁというところ、とてもわかり易く書いていてgreat #janog
2020-01-23 13:56:45
Yoshikazu GOTO
@goto_ipv6
・名前解決ができないばあいの原因の切り分けが困難に →例えば、コマンドプロンプトでは名前解決できるが Web ブラウザーでは見れないといった場合が #janog #janog_3F_A
2020-01-23 13:56:46
yo
@yo12525
クラウドは設計原則が違う。試行回数を増やすために自動化が前提、変化を受け入れる。きょうは信頼性、クラウドに必要な考え方が本質的に変わらないこと、絶えず壊し続けるカオスエンジニアリングについて触れる。 #janog #janog_6f
2020-01-23 13:57:33