DNS Summer Days 2012 (9/1分) #dnsops

名称: DNS Summer Days 2012 主催: 日本DNSオペレーターズグループ(DNSOPS.JP) 日時: 1日目 2012年8月31日(金) 11:00-19:00 (10:30開場) 2日目 2012年9月1日(土) 10:00-18:00 (9:30開場) 会場: IIJ 本社 会議室 続きを読む
6
前へ 1 ・・ 3 4 ・・ 21 次へ
Tomoharu Sato @higetomo

これ、情報セキュリティ早期警戒パートナーシップ 設立検討時に悩んだことと同じだなー。思い起こすと、あれは経産省/IPA系だから、(通信)サービス提供事業者の運用面の危険性は、避けたかも。 #dnsops

2012-09-01 11:03:13
Yoshikazu GOTO @goto_ipv6

森下さん:内容: ・委任は、狙われやすいところだった。 →カミンスキーも、浸透問題も、幽霊ドメイン名の脆弱性も ・ディスカッションの際にトピックスの中心になるであろう親子同居問題について紹介 #dnsops

2012-09-01 11:03:33
Yoshikazu GOTO @goto_ipv6

森下さん:おさらい:ゾーンとは何か?: ・委任により、ドメイン名の管理の範囲がjp, example.jpの2つに ・この管理範囲のことを「ゾーン」と呼ぶ #dnsops

2012-09-01 11:05:35
Yoshikazu GOTO @goto_ipv6

森下さん:ゾーンの分割背任の成立により発生: ・委任の成立がゾーンの分割の必要条件 ・そのため、以下の説明は実はあまり適切ではない →jpゾーンをjpゾーンとexample.jpゾーンの2つのゾーンに分割 →分割したゾーンを他組織に委任 #dnsops

2012-09-01 11:06:50
Web猫 @webdevjp

洗濯物干したまま外に出るのは危険そうなので #dnsops 追ってる

2012-09-01 11:07:15
Yoshikazu GOTO @goto_ipv6

森下さん: ・この説明は、「サブドメイン毎に必ずゾーンに分割する必要がある」といった誤った認識を持たれる可能性がある。 #dnsops

2012-09-01 11:07:17
Tomoharu Sato @higetomo

避けたんじゃないや、運用面の危険性は、理解に及ばなかったか、視野になかっただ。検討者のほとんどが脆弱性アップデートとFWの導入の推進くらいの視野しか持てなかったんだな。 #dnsops

2012-09-01 11:07:28
Yoshikazu GOTO @goto_ipv6

森下さん:事例:jpとco.jp: ・現在のjpとco.jpは別のゾーンに分割されておらず、いずれもjpゾーンに属している →2006年の更新間隔短縮の導入に伴い変更 #dnsops

2012-09-01 11:08:12
Koji Yamamoto @kojy

雨降ってるなあ。お昼休みまでにやむといいんだけど。 #dnsops

2012-09-01 11:08:54
Yoshikazu GOTO @goto_ipv6

森下さん: ・co.jpはjpと同じJPRSが管理しているので、JPRSでは「作成したサブドメインを他の組織に委任」をしてない、というのが正しい説明 #dnsops

2012-09-01 11:09:07
西口昌宏 @mahbo

#dnsops サブドメインの作成をしてからサブドメインの委任をするというのも少し違う気がするなぁ。サブドメインの作成または委任(=ゾーンの分割)のどちらかが行われるという事と思うんだが。

2012-09-01 11:09:43
Yoshikazu GOTO @goto_ipv6

森下さん:委任、移譲: ・つまり、委任、移譲という行為は、委任先として暗黙のうちに他社を添うてしていたのでは無いかと考えられる ・RFC1034の5.3.3に記載が! #dnsops

2012-09-01 11:10:28
Yoshikazu GOTO @goto_ipv6

森下さん:自分への委任はDNS仕様の想定外?: ・DNSにおける親子同居はそもそも仕様外、つまり未定義の設定であり、どのような動作をすべきなのか明確ではない。 #dnsops

2012-09-01 11:11:26
Yoshikazu GOTO @goto_ipv6

森下さん:ということで、親子同居問題再び: ・一見正しそうな、親からの正当な委任がある場合 ・一見まずそうな、親からの正当な委任がない場合 →想定外の動作は、前者の場合にも影響が。 #dnsops

2012-09-01 11:12:22
DNSOPS.JP @dnsops

#dnsops 委任にまつわるエトセトラ/JPRS 森下泰宏さん ( @OrangeMorishita ) 2日続けての発表おつかれさまです。ありがとうございます! http://t.co/j6j9LhzJ

2012-09-01 11:14:25
拡大
Yoshikazu GOTO @goto_ipv6

森下さん:親が入っている場合: ・親ゾーンが入っていても、別ゾーンだから影響はないはず →データの管理はゾーンごと →問題無さそうだ(しかし、親ゾーンを見に来たのに、子ゾーンを返すことになる。釈然としない… #dnsops

2012-09-01 11:15:38
Yoshikazu GOTO @goto_ipv6

森下さん:親が入っている場合(委任なし): ・親ゾーンが入っていても別ゾーンだから影響はないはず →さっきと同じで良いの?だって、私は委任していないことをしっているよ? →本当に私の子なの? #dnsops

2012-09-01 11:16:54
Yoshikazu GOTO @goto_ipv6

森下さん:現在の多くの実装の動作: ・多くの実装では後者の動作をする →委任していないことを知っているのに? #dnsops

2012-09-01 11:17:30
Yoshikazu GOTO @goto_ipv6

森下さん:なぜこうなってしまうのか: ・同居しているので、キャッシュDNSサーバーからの問い合わせが、どっちのゾーンの権威サーバ宛なのか区別できない。 →今の実装は、より狭い範囲の方を返すようにしている。 #dnsops

2012-09-01 11:19:05
Yoshikazu GOTO @goto_ipv6

森下さん:一つのアイデア: ・権威DNSサーバ側で判別できるようにすればいいのでは? →例えば、EDNS0を使ってキャッシュDNSサーバーから送る問い合わせパケットにゾーン情報を追加するとか。 #dnsops

2012-09-01 11:20:07
Yoshikazu GOTO @goto_ipv6

森下さん:DNS/1.1?: ・このアイディアを、TL上で東大亮さんとほぼ同時に思いついた →東さんは EDNS0を使う、というより具体的な実装方法まで。 ・HTTP/1.1でいう、名前ベースのバーチャルホストと似ている。 #dnsops

2012-09-01 11:21:32
Yoshikazu GOTO @goto_ipv6

森下さん:まだアイディアの段階ですが…: ・親子同居問題を技術的に解決可能かも… ・JPRSの若者A+東さん+私(監修)でI-Dを書くのはどうかな、と考えています。 #dnsops

2012-09-01 11:22:51
Yoshikazu GOTO @goto_ipv6

神明さん:EDNS0を使うアイデアは、知らなければ無視されるし、結構いいかなと思いました。 #dnsops

2012-09-01 11:24:42
前へ 1 ・・ 3 4 ・・ 21 次へ