• 検索結果がありません。

DNSSEC運用技術SWG活動報告

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "DNSSEC運用技術SWG活動報告"

Copied!
19
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 19 ページ )

全文

(1)

DNSSEC 2010 サマーフォーラム

DNSSEC運用技術SWG活動報告

-DNSSEC運用の困りどころ-2010年07月21日 中島 智広 〒105-7113 NRIセキュアテクノロジーズ株式会社 MSS事業本部 エンタープライズセキュリティサービス部

(2)

目次

1. DNSSEC運用技術SWG活動紹介 2. DNSSEC運用の困りどころ

3. 運用負荷軽減のために 4. まとめ

(3)

1. DNSSEC運用技術SWG活動紹介 2. DNSSEC運用の困りどころ

3. 運用負荷軽減のために 4. まとめ

(4)

DNSSEC運用技術SWGとは

DNSSECの運用ノウハウ共有を目的としたサブワーキンググループ

DNSSECジャパンメンバー企業を対象にワークショップを開催

実施内容 1. BINDを用いたDNSSEC導入 2. BINDを用いた鍵と署名の交換 3. OpenDNSSECを用いたDNSSEC運用

ワークショップ資料は近日一般公開予定

(5)

ワークショップ実施環境

jp.

xxxx.jp.

.(ルート)

dlv.isc.org

キャッシュサーバ DNSSECの信用の基点 DNSツリーの基点 問い合わせ sub*.

xxxx.jp

. 検証

x33

sub*.sub*.

xxxx.jp

xxxx.jp

..

35台のVPSを活用し一人一台ずつDNSSEC対応DNSを構築

(6)

1. DNSSEC運用技術SWG活動紹介 2. DNSSEC運用の困りどころ

3. 運用負荷軽減のために 4. まとめ

(7)

DNSSEC運用の困りどころ

1.

ベンダ提供のパッケージが使えない

2.

ミスオペレーションが致命的である

3.

作業ステップが多くコマンドも複雑

4.

鍵ファイルの数が多く管理が煩雑

5.

鍵交換時にはタイミングを考慮したオペレーションが必要

(8)

RFC5155(NSEC3)は9.6.0以上でサポート RFC5011(トラストアンカー自動更新)は9.7.0以上でサポート

1.ベンダ提供のパッケージが使えない

各OSで提供されているBINDのバージョン(情報源:distrowatch.com)

OS OSバージョン BINDバージョン RHEL/CentOS 5.5 9.3.7-P2 6.0-BETA2 9.7.0-P2 SUSE Linux Enterprise 11-SP1 9.5.0-P2

Solaris 10 9.2.4 openSUSE 11.3 9.7.1 Debian 5.0 lenny 9.5.1 Ubuntu 10.04 LTS lucid 9.7.0-P1 FreeBSD 8.0 RELEASE 9.6.1-P1

ソースコードからのインストールが必要(サポートは得られない)

(9)

2. ミスオペレーションが致命的である

署名の検証成功時

署名の検証失敗時

コンテンツサーバ キャッシュサーバ 検証 コンテンツサーバ キャッシュサーバ 検証 ServFail 認証済みデータ (AD)ビット有効 署名付き 応答 署名付き 応答 DNSSEC対応 (DO)ビット有効 DNSSEC対応 (DO)ビット有効

署名の検証失敗時には名前解決そのものが失敗する

(10)

3.作業ステップが多くコマンドも複雑

1.

鍵ファイルの生成

2.

ゾーンファイルへの鍵の登録

3.

ゾーンファイルへの署名

# dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom example.jp

# dnssec-keygen -a RSASHA256 -b 2048 -f ksk -q -r /dev/urandom example.jp

# cat Kexample.jp+xxxx.key >> example.jp # cat Kexample.jp+yyyy.key >> example.jp

# dnssec-signzone -k Kexample.jp+xxxx -k Kexample.jp+zzzz example.jp

(11)

4.鍵ファイルの数が多く管理が煩雑

DNSSEC導入後のゾーンファイルディレクトリ

鍵交換を考慮すると1ゾーンあたり8つの鍵ファイルが必要

さらにファイルの中身を確認しなければ役割がわからない

# ls -1|grep example.jp Kexample.jp.+008+09076.key Kexample.jp.+008+09076.private Kexample.jp.+008+12369.key Kexample.jp.+008+12369.private Kexample.jp.+008+22956.key Kexample.jp.+008+22956.private Kexample.jp.+008+50350.key Kexample.jp.+008+50350.private example.jp example.jp.signed # cat Kexample.jp.+008+09076.key

; This is a zone-signing key, keyid 09076, for example.jp.

; Created: Sun Jul 18 20:01:11 2010 ; Publish: Sun Jul 25 20:01:11 2010 ; Activate: Sun Jul 25 20:01:11 2010 ; Inactive: Sun Aug 1 20:01:11 2010 ; Delete: Sun Aug 20 22:25:11 2010 example.jp. IN DNSKEY 257 3 8 (略)

(12)

5.鍵交換時にはタイミングを考慮したオペレーションが必要

DNSのレコードはキャッシュされるため、

新しい鍵で署名する際にはTTLや署名の有効期限の考慮が必要

Published

鍵がゾーンに登録されたばかりで 登録以前のキャッシュが残っており 署名に使えない状態

Active

署名に使用されている状態

Retired

署名には用いられないが、 過去に作成された署名の 有効期限内の状態 [参考]draft-morris-dnsop-dnssec-key-timing-01.txt 鍵のTTL 署名の有効期限 or TTL 署名可能

Ready(Stand-by)

登録前のキャッシュが無く いつ署名に使用しても問題ないが まだ署名には用いられていない状態 署名不可 不使用

タイミングを誤ると検証に失敗し名前解決できない可能性有り

(13)

1. DNSSEC運用技術SWG活動紹介 2. DNSSEC運用の困りどころ

3. 運用負荷軽減のために 4. まとめ

(14)

運用負担軽減のために

1.

SmartSigning

BIND-9.7で実装されたDNSSEC運用支援機能

2.

OpenDNSSEC+SoftHSM

DNSSEC運用の全課程を自動化することを目的として作られた運用支援ツール

ご参考までに二つの方法例をご紹介します

(15)

1.SmartSigning

鍵ファイル作成時に時間情報を付加し、

これに基づいて自動的に鍵と署名の登録を行う仕組み

1.

鍵の生成

例)1時間後にゾーンに登録、24時間後に署名に利用開始 10日後に署名に用いられなくなり、その1時間後にゾーンから削除される鍵

2.

ゾーンファイルへの鍵の登録と署名

# dnssec-signzone -S example.jp

鍵ファイルの生成が正しく行われていれば、

運用担当者は鍵ファイルや鍵交換のタイミングの考慮が不要

# dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom ¥

(16)

SmartSigning実行例

# dnssec-keygen -a RSASHA256 -b 1024 -q -f ksk -r /dev/urandom ¥

-P +0 -A +0 -I +864000 -D +867600 example.jp KSK鍵ペア作成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom ¥

-P +0 -A +0 -I +864000 -D +867600 example.jp ZSK鍵ペア作成 # dnssec-keygen -a RSASHA256 -b 1024 -q -r /dev/urandom ¥

-P +0 -A +300 -I +864000 -D +867600 example.jp ZSK鍵ペア作成 # dnssec-signzone -S example.jp SmartSigning

Fetching KSK 30169/RSASHA256 from key repository. Fetching ZSK 46638/RSASHA256 from key repository.

Key example.jp/RSASHA256/46638: Delaying activation to match the DNSKEY TTL. Fetching ZSK 9429/RSASHA256 from key repository.

Verifying the zone using the following algorithms: RSASHA256. Zone signing complete:

Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked

ZSKs: 1 active, 1 stand-by, 0 revoked example.jp.signed

(17)

2.OpenDNSSEC + SoftHSM

DNSSEC運用の全課程を自動化することを目的として作られた運用支援ツール 鍵の管理、ゾーンの再署名、鍵のロールオーバーをスケジューリングして自動実行 PKCS#11に準拠したHSMの利用を前提とし、代替となるSoftHSMも併せて提供 必要とするライブラリ類が新しく旧環境への導入は敷居が高い Enforcer Auditor Signer OpenDNSSEC 更新通知 ゾーン情報(署名済) DNS HSM ゾーン情報(未署名) (ファイル or ゾーン転送) ゾーン管理者 ゾーン情報の完全性確認 ゾーンへの署名とDNSへの通知 ポリシに基づくスケジューリング 鍵の生成と管理

ゾーン管理者はDNSSECを意識することなくゾーン管理が可能

(18)

1. DNSSEC運用技術SWG活動紹介 2. DNSSEC運用の困りどころ

3. 運用負荷軽減のために 4. まとめ

(19)

まとめ

DNSSEC導入にあたってはミスオペレーションを防ぐため

人間の手によるオペレーションを減らす工夫が必要

参照

今ダウンロードする ( PDF - 19 ページ - 563.00 KB )

関連したドキュメント

The relation of child’s behavior and

 そこで、本研究では断面的にも考慮された空間づくりに

規制影響分析の勧め

 IFI は,配電会社に配電システムの技術的な発展に関連する R&D 活動に対 し十分な資金調達を可能にする。また,RPDs は発電された電力の DG 連系を

GIS による鉄道用地・施設管理システムの開発 智頭急行株式会社

ザー独自の属性情報を登録できる簡易データベース機能を開発した。また、各種報告用に紙図面の作成が必要

Ver.3.1 品質管理検定 (QC 検定 ) 4 級の手引き 一般財団法人日本規格協会内品質管理検定センター

私たちの行動には 5W1H

慢性肝疾患症例に対する完全腹腔鏡下脾臓摘出術の検討:

にて優れることが報告された 5, 6) .しかし,同症例の中 でも巨脾症例になると PLS は HALS と比較して有意に

雑誌名 ENDOSCOPIC FORUM for digestive disease

部を観察したところ,3.5〜13.4% に咽頭癌を指摘 し得たという報告もある 5‒7)

Inspiron セットアップと仕様

題が検出されると、トラブルシューティングを開始するために必要なシステム状態の情報が Dell に送 信されます。SupportAssist は、 Windows

東京都における最終エネルギー消費及び温 室効果ガス排出量総合調査

(注)本報告書に掲載している数値は端数を四捨五入しているため、表中の数値の合計が表に示されている合計