編集可能

DNSSEC 2013 スプリングフォーラム

主として #dnsops の呟きをまとめました。 http://dnsops.jp/event20130529.html 日時: 2013-05-29(水) 10:00-19:00 会場: 株式会社インターネットイニシアティブ 本社 大会議室(神保町三井ビルディング 17F)
インターネット
2
DNSSEC入門
チュートリアル
Yoshikazu GOTO @goto_ipv6
石田さん:開催趣旨: ・2011年に、JPゾーンも導入済み。しかし、まだ普及はほとんどしていない。その障害となるものをなくすのが、dnssecジャパンの活動を継承した dnsopsの役目だと。 #dnsops
Yasuhiro Morishita @OrangeMorishita
とりあえず #dnsops かしら。 RT @satoh_fumiyasu: IIJ の DNSSEC、ハッシュタグはないの?
Yoshikazu GOTO @goto_ipv6
舩戸さんと石田さんによる「DNSSECチュートリアル」です。 #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSSECの導入状況: #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん: ・rootゾーン:2010年7月15日 ・TLD:すでに多くのTLDで運用されている →新gTLDではDNSSEC対応が必須項目 →ccTLD:.jpは2011年1月16日から正式運用 #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSキャッシュへの毒入れと対策: #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSキャッシュへの毒入れ: ・ユーザーがキャッシュDNSサーバーへ ・キャッシュDNSサーバーが権威DNSサーバーに問い合わせ ・攻撃者が、別の情報を送りつけてキャッシュさせる →キャッシュDNSサーバーがユーザーに、間違ったIPアドレスを返してしまう #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:毒入れ攻撃への対策: ・攻撃が成功する確率を下げる →問い合わせポートのランダム化 →適切なアクセス制限 →etc ※これらは根本的な対策ではない(攻撃の確率を下げるだけ) #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん: ・根本的な対策 →DNS応答が偽造/改ざんされていないことを受信側で確認可能にする →DNSSECはこのための技術として作られた #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSSECとは: ・DNSSEC →正当な権威DNSサーバーからの応答か? →応答が途中で改ざんされていないか? #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん: ・DNSセキュリティ拡張 ・受け取ったDNS応答の出自/完全性を検証できる仕組み ・DNS応答に公開鍵暗号技術を用いている #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:従来のDNS vs DNSSEC: ・権威DNSサーバーで電子署名を付加し、出自を保証 ・受信側でDNS応答の改ざん・欠落の有無を検出できる #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSSECの対象範囲: ・対象としていないもの →通信内容の暗号化:通信内容を暗号化し、問い合わせ内容を秘匿すること #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:鍵と信頼の連鎖: #dnsops
Yasuhiro Morishita @OrangeMorishita
よい着眼点です。 #dnsops QT @in_masaakid: DNSSECって、誰から何を守るもんなんだろう?
Yoshikazu GOTO @goto_ipv6
舩戸さん:DNSSECにおける信頼の連鎖の概念: ・それぞれの秘密鍵が、それぞれのゾーンのデータ、その中でホスティングしている下位のゾーンを、公開鍵で署名することによって、正しいものだということを検証できるようにしている。 #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:2種類の鍵とDS: ・2種類の鍵 →ZSK:ゾーンに署名するための鍵 →KSK:ゾーン内の公開鍵情報に署名するための鍵 ・DS →親ゾーンにリソースレコードとして登録 →子ゾーンのKSKと等価な情報 #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:ZSK: ・比較的暗号強度の低い鍵が使われる ・署名コストが低い →大規模ゾーンの署名にも適応できる →安全確保のため、ある程度の周期で鍵を更新する必要がある(現在の.jpでは1ヶ月毎) ・鍵更新は親ゾーンとは関係なく独立に行える →2種類でのメリット #dnsops
ふみやす@シェルまおう(自称でない) FGO:838,149,789 @satoh_fumiyasu
ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops
--- @hdais
ZSK/KSKの2種類の運用が事実上必須なのはどうにかならなかったんですかねぇ #dnsops
Yoshikazu GOTO @goto_ipv6
舩戸さん:KSK: ・比較的暗号強度の高い鍵が使われる ・利用期間を長くできる →鍵更新の頻度を低くできる →署名コストは高いが、ゾーン内の公開鍵情報のみを署名対象とするため、全体のコスト増加は少ない #dnsops
西口昌宏 @mahbo
1024bitで1ヶ月なら大丈夫ですね RT @satoh_fumiyasu: ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops
残りを読む(709)

コメント

西口昌宏 @mahbo 2013年5月29日
ただいま終わりましたので、ここまでの内容をまとめました
西口昌宏 @mahbo 2013年5月30日
まとめを更新しました。#dnsops
ログインして広告を非表示にする
ログインして広告を非表示にする