BINDにおけるトラストアンカーの取り扱いの不具合による脆弱性について(2015年2月) - JPNIC
2015年2月18日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。 この脆弱性は、DNSSECのバリデーションを有効にしたBINDにおいて、 ある複数の条件を満たした場合、BINDがクラッシュするというものです。 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。 記 ISCによって公開された脆弱性情報 CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash 脆弱性の概要 DNSSECのバリデーションを有効にしたBIND (managed-keysで鍵を指定、 "dnssec
インターネット用語1分解説~MTUとは~ - JPNIC
MTU (Maximum Transmission Unit)とは、 ノードが隣接したネットワークへ、1回の通信で転送可能な最大のデータグラムサイズです*1。 TCP/IPの階層モデル*2においては、 リンク層の通信メディア(Ethernetなど)の違いによってMTUのサイズが異なるため、 その上位のインターネット層におけるIPデータグラム(IPパケット)のサイズもこのMTUに合わせて決められます。 さらにトンネリングなどの追加ヘッダを利用する通信方式を利用する場合には、 増えたヘッダの分だけペイロードを減らす必要があるので、 MTUがネットワーク層において、より小さな値となります。 ある伝送区間でMTUを超えるサイズのデータグラムを伝送する場合には、 ホストやネットワーク機器が分割して送信可能な単位に変換する対応が必要です。 これをフラグメンテーションと呼びます。 また、送信元と送信先の
権威DNSサーバにおけるゾーン転送の設定に関する注意喚起 - JPNIC
日本国内に、 特定のホスト以外に対してゾーン転送できてしまう権威DNSサーバが多数存在しているという情報が入っています。 これらの権威DNSサーバは、不特定の第三者によって、 ホストの一覧などのDNSに関する情報が入手できる状態であり、 ネットワーク構成の推測などに使われてしまう可能性があります。 権威DNSサーバを運用されている場合には、 設定の確認と対策をお願いいたします。 確認が必要なDNSサーバ 権威DNSサーバ 正引きおよび逆引きのゾーンを保持しているすべての権威DNSサーバが対象です。 権威DNSサーバ(authoritative name server)は、 通常複数のサーバにおいて運用され、 ゾーン情報(ドメイン名に関する情報)を保持してDNSの問い合わせに応答すると共に、 権威DNSサーバ間でゾーン転送と呼ばれる仕組みによってゾーン情報をコピーします。 本来、ゾーン転送は
インターネット10分講座:IPv4/IPv6共存技術 - JPNIC
今回の10分間講座は、IPv4/IPv6共存技術について解説します。 今回は、IPv4とIPv6を共存させる、また、IPv4からIPv6への移行の際に用いられる技術である、「トンネリング」「デュアルスタック」「トランスレータ」について説明します。これらは、自組織ネットワークや接続先ISPがIPv4のみに対応している状況下でIPv6の通信を行う時、あるいは段階的なIPv6への移行の際に利用できる技術です。 トンネリング IPv6/IPv4トンネリング(以下、トンネリング)は、IPv4ネットワーク上でIPv6パケットをルーティングするための方式です。トンネリングは、カプセル化とも呼ばれており、IPv4ネットワークを通してIPv6ノード同士で通信ができるようにするものです。 トンネルの種類 トンネルにはいくつか方式があります。ここでは以下の二つの方式について説明します。 6to4(RFC 305
インターネット10分講座:DNSキャッシュ - JPNIC
今回の10分講座では、DNS(Domain Name System)の仕組みを理解するのに必要なDNSのキャッシュとそれに起因する脆弱性についてお話しします。 DNSのおさらい まずはじめに、DNSの仕組みについておさらいします。 DNSは、ルートゾーンを起点としたツリー構造を持つ、世界中に存在する多数のサーバが協調しあって動作する分散データベースです。これらのサーバ群にアクセスすることで、ホスト名からIPアドレスを検索したり、メールアドレスから送信先メールサーバを特定したりします。 DNSでは、ある特定のサーバ1台がドメイン名情報をすべて持っているわけではなく、「委任」と呼ばれる仕組みでデータを階層ごとに分散化し、併せてサーバの冗長化を実現しています。 DNSクライアントがデータを得るときは、この委任をルートゾーンから順次たどっていくことで、最終的に必要な情報を得ます。 DNS では、ド
インターネット用語1分解説~OP25B(Outbound Port 25 Blocking)とは~ - JPNIC
OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しようとする技術です。 spamメールやvirusメールは、 しばしば自ネットワーク(ISP)のメールサーバを用いず、 送信先メールサーバのTCP 25番ポートへ直接接続して配送されます。 こういった状況から、 外部のメールサーバへの通信をできなくすることでspamメールやvirusメールの送信が抑止されることを期待するものです。 しかし、 外部メールサーバのTCP 25番ポートへ直接接続する通信は、 メールの内容にかかわらずOP25Bにより全て遮断されるため、 同様の通信を用いた正規のメール送信も不可能になります。 そのため、 ISPのメールサーバを利用してメールを送信する一般的なユーザ
インターネット標準化過程 - JPNIC
『標準化過程(Standards Track)』とはインターネット標準を形成するプロセスである。 RFCの分類で説明したように標準化過程の発展段階は以下のようなRFCの分類の遷移によって表現される。 標準への提唱(PS - Proposed Standard) 標準への草稿(DS - Draft Standard) 標準(STD - Standard) これらのRFCがどのような基準で遷移していくのかを示すために、 標準化過程について簡単に紹介しよう。 ここではまず各標準化状態について説明していく。 2016年7月4日追記 RFC 6410により、 RFCの標準化過程は従来の3ステージから、 Proposed Standard (PS) -> Internet Standard (STD)の2ステージへと変更となった。 日本語による解説資料として、 IETFの構造とインターネット標準の標準
TLS1.3時代の新常識
TLS • TLS (reliable) endpoint endpoint CC BY 3.0 https://www.youtube.com/user/TheWikiLeaksChannel ClientHello+ ApplicationData end_of_early_data Finished ServerHello EncryptedExtension ServerConfiguration Certificate CertificateVerify Finished ApplicationData
インターネット10分講座:IPv6アドレス:
今回の10分講座では、次世代のプロトコルとしてその普及が注目されているIPv6アドレスについて技術的見地から解説します。 1. インターネットとIPアドレス インターネットに接続している機器には、インターネット内で一意の識別番号(=IPアドレス)がつくのが基本です(NAT等の機器を用いて、一つのIPアドレスを複数の機器で共有することはありえます)。インターネットを介して機器同士が通信をするためには、相手のIPアドレス宛にIPパケットを送ります。このIPアドレスは、現在広く利用されているIPv4(IPバージョン4)で32ビット幅、IPv6では128ビット幅となっています。 そもそもIPv6が開発された大きな理由は、IPv4においてIPアドレスが不足することが予想されたため、それを解決しようとしたことです。IPv4アドレスの絶対数は約43億個であり、インターネットが通信基盤の一つとなって世界中
インターネット用語1分解説~EDNS0とは~ - JPNIC
EDNS0とは、RFC2671で規定されるDNSの拡張プロトコルです。 DNSでやりとりされる、問い合わせや応答メッセージのプロトコルは、 RFC1035で規定されていますが、そのフォーマットは、 RFC1035が策定された1980年代当時におけるインターネットの状況が反映されており、 厳しく制約されたものとなっています。 例えば、OPCODEやRCODEと呼ばれるフィールドの大きさは4ビット(10進数で0~15)とされているなど、 いくつかのフィールドは長さが固定長として定義され、 指定できる数値の範囲が限定されています。また、数値を格納するフィールドだけでなく、 AAビットやTCビットのようなヘッダフラグの数も、 あらかじめ固定的に決められています。 RFC1035の策定時から年月がたつにつれ、 DNSメッセージにさまざまな情報を含めたいという要望が増え、 当初は空いていた予約・未割り
KSKロールオーバーについて - JPNIC
2018年10月17日更新 2016年10月から、 DNSの起点となるルートゾーンに対して重要な更新が行われています。 2017年9月には、 ルートゾーンからの一部のDNS応答のサイズが一時的に増加する変更作業が行われました。 また、2017年10月に予定されていたKSKの切り替え作業は延期となりましたが、 2018年2月1日付で発表された計画案では2018年10月11日に改めて実施されることとなりました。 この更新に対して問題なく対応するためには、DNSサーバ運用者だけではなく、 ネットワーク運用者も事前に調査し、 必要があれば準備しておくことが重要です。 (意図せずDNSSEC検証が有効になっている場合もありますので、 対象外とお考えの方もぜひご一読ください。) 2018年9月16日に開催されたICANN理事会において、KSKロールオーバーの最終的な実施可否について審議が行われ、 予定
/24より小さい割り当てに対する、ネームサーバの逆引きの設定方法 - JPNIC
社団法人日本ネットワークインフォメーションセンター 本文書について この文書は技術参考資料です。 本文書は/24より小さいIPアドレス割り当てに対する、 ネームサーバの逆引きの設定方法について解説したものです。 目次 はじめに ネームサーバの設定方法 2.1 概要 2.2 ISP側の設定 2.3 エンドユーザ側の設定 2.4 実際の動作 注意点 3.1 設定が有効になるタイミング 3.2 逆引きを柔軟に設定できないネームサーバ 終わりに 1. はじめに 現在のIPアドレスの割り当ては、 従来のIPアドレスのクラスに依存しない割り当てが行われています。 このうち24ビットプリフィクス(従来ClassCと呼んでいた)より小さい単位で割り当てが行われた場合の、 クラスレスなネームサーバの逆引き設定の方法について説明します。 この設定方法は、ネームサーバの設定方法だけで対処するため、 従来のDNS
DNS運用健全化タスクフォース - JPNIC
DNS運用健全化タスクフォースは、 現在活動を休止しています。 背景 DNS(Domain Name System)はドメイン名とIPアドレスの対応づけ(名前解決)を行うシステムで、 インターネットのさまざまなサービスはDNSによる名前解決を前提としています。 つまり、インターネットはDNSに非常に強く依存しており、 DNSが正しく機能することは、 インターネットの安定した運用のための基本的な要件といえます。 ところが、DNSに関する知識が十分ではないため、 DNSの運用に関して正しくない設定が行われている場合が多く見られ、 不必要なパケットの再送やタイムアウト待ちも発生しています。 多くの場合、 これらの不都合をDNS管理者自身が発見して修正することは難しいため、 それを発見した場合には通知をして修正をお願いすることが必要となります。 このような状況を改善するために、 現在の状況を観測し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
