DNSSECのインパクトは? オペレーター必携の「道具」とは? - @IT
2010/07/20 7月8日、9日の2日間に渡って、インターネット技術者やネットワークオペレーターの集う「JANOG 26 Meeting」が東京・恵比寿にて開催された。インターネットを運営するために必要な情報交換やネットワーク事業者の課題についてディスカッションする場として開催されてきたものだ。 26回目のミーティングとなるJANOG26では、IPv4アドレス在庫の枯渇を前にいよいよ注目が集まるIPv6の導入、運用にまつわる話題から、インターネットエクスチェンジ(IX、通信事業者の接続点)の取り組みを紹介するパネルディスカッション、あるいは国際化ドメイン名などネットワークオペレータ以外にもかかわってくる話題があれば、一方で国際通信を支える海底ケーブルをテーマにしたセッションがあるなど、多岐にわたった。 この記事ではその中から、導入が進みつつあるDNSSECが及ぼすインパクトを紹介した「
BINDのロギング機能
BINDのロギング機能を活用する事で、ネームサーバのログ出力から、より細かな情報を得ることができますので、BINDでDNSを運用している方はきちんとロギング機能を理解しておきましょう ■ロギング機能 BIND には、named.conf に logging ステートメントを記述しておくことでネームサーバのログ出力をより広範に制御することができるようになります。channel で出力先を選択し、category で出力フォーマットとseverity(重要度)を指示しています。named.conf にはデフォルトでは logging ステートメントが記述されていませんが、デフォルトでも logging の機能は設定されており、category と channel 共にデフォルト値が存在します。 まず、named.conf に何も設定しなかった時のデフォルトのログ設定を以下に記します。unmat
DNSサーバ - 架空線 はてな避難所
パッケージ確認 taskselでどのパッケージがインストールされているか確認。 $ tasksel --task-packages dns-server bind9-doc #BINDのドキュメント bind9utils #BINDのメンテナンス用ユーティリティ bind9 #BIND本体 シンプルにBIND関係のパッケージのみらしい。 プライマリDNSの設定 chroot仕様のCentOSと違って、Ubuntuは通常のディレクトリ構成になっているので、設定ファイルは/etc/bindにフラットに配置されている。 設定ファイルのnamed.confは事実上空っぽで、以下の三ファイルをインクルードする仕様。一つのファイルにいくつもの設定をごちゃごちゃ書くよりもわかりやすい。 ・named.conf.options # BINDの基本設定 ・named.conf.default-zones #
まぁるいしっぽ:DNSSECを学ぶ2(実践編)
2010年04月01日 DNSSECを学ぶ2(実践編) 前回は、理論編でした。 今回は、実際の設定をみていく。 4.DNSSECの導入手順 (1)BINDの入手 BINDは、9.3系列でDNSECのDS方式をサポートしている。 最新版は、ISCからbind9.7をダウンロードする。 http://www.isc.org/software/bind/970-p1/download/bind-970-p1targz (2)インストール DNSECを使うには、OpenSSLのライブラリを使用しているので、以下のパッケージを導入しておく。 openSSL libssl-dev (3)コンパイル 以下のように、上記のソースを展開しコンパイルする。 なおdigが +sigchase オプションを使えるように、シェルの環境変数に以下を設定しておく。 $ tar zxvf bind-9.7.0-P1.ta
DNSSECチュートリアル ~実践編~
2010-11-25 Copyright © 2010 株式会社日本レジストリサービス 1 Internet Week 2010 S10 DNSSECチュートリアル ~実践編~ 民田雅人 <minmin@jprs.co.jp> 株式会社日本レジストリサービス 2010-11-25 Copyright © 2010 株式会社日本レジストリサービス 2 目次 • DNSキャッシュへの毒入れ • DNSSECのしくみ • DNSSEC導入に向けて • DNSSECの鍵と信頼の連 鎖 • DNSSECのリソースレコー ド(RR) • 鍵更新と再署名 • BINDキャッシュサーバでの DNSSECの設定 • 鍵生成と署名作業 • BIND権威サーバでの DNSSECの設定 • スマート署名 (Smart signing) • 全自動ゾーン署名 • DNSSEC化による DNSデータの変化 • DNS
BIND 9x - VIEWの利用
BIND 9x - VIEW機能を利用したDNSのNAT対応 Vers. 8.x 以降のBINDは、クエリーのソースアドレスに従って、回答を切り替える「VIEW機能」が提供されています。このVIEW機能を利用すると、ルータやファイアウォールのアドレス変換機能(NAT等)により、インターネットと組織内部のIPアドレスを分離している一般的な企業LANのDNSサービスをシンプルで統一のとれたものにすることができます。 VIEW機能の設定は、BINDの設定ファイルであるbind.conf内で行います。以下は、DNSクエリーのソースIPアドレスを基に、インターネットからのDNS参照とLANからのDNS参照を識別することによって、異なるゾーン情報を返送する場合のbind.confの設定のポイントを示しています。プライベートアドレス 172.18.X.XおよびDNSホスト自身のローカル・ループバ
DNSSECチュートリアル
2009-11-24 Copyright © 2009 株式会社日本レジストリサービス 1 DNSSECチュートリアル 民田雅人 株式会社日本レジストリサービス Internet Week 2009 - H3 2009-11-24 Copyright © 2009 株式会社日本レジストリサービス 2 目次 • DNS編 – BIND 9の設定 – DNSのIPv6対応 • DNSのリスク編 – DNSキャッシュポイズニング – 従来型の毒入れ攻撃手法 – 短いTTLのリスク – Kaminsky型の毒入れ攻撃 手法 • DNSSEC編 – DNSSECのしくみ – DNSSECの現状 • DNSSEC編(続き) – 電子署名とDNSSEC – DNSSECの鍵と信頼の連鎖 – DNSSECのリソースレコード – BINDキャッシュサーバでの DNSSECの設定 – BIND権威サーバでの
BIND 9.6.1でDNSSEC対応してみた - Soukaku's HENA-CHOKO Blog
ここの内容を参考にして、ウチのサーバでDNSSEC対応にしてみた。 DNS Security Extensions(略称DNSSEC)は、DNSにおける応答の正当性を保証するための拡張仕様である。サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改竄を検出することができる。 DNS Security Extensions - Wikipedia 日本でもJPRSが.jpドメインでのDNSSEC対応を2010年から始めると言う状況だし、対応が出来ていないレジストラも多いようなので、"DNSSEC Look-aside Validation Registry"サービスを利用するのが、現時点ではベターなようです。 JPRSが正式にサービスを開始したら、.jpドメインの方はJPRSに合わせた対応にする事になると思うんだけ
yebo blog: DNSSECの勉強 (3)
2007/01/06 DNSSECの勉強 (3) BIND 9.4.0-rc1を使ってDNSSECの設定を勉強。 鍵の生成 鍵の生成はdnssec-keygenコマンドを使い、主に下記をオプションを指定する。 オプション 説明 -a 使用するアルゴリズム -b key-size 鍵のサイズ -n nametype 鍵のオーナータイプ(ZONE) -f KSK KSK生成を指定 -r randomdev 乱数ファイル まず、ZSKを生成する。 # dnssec-keygen -a RSASHA1 -b 1024 -n ZONE example.com. Kexample.com.+005+40170 すると、Kexample.com.+005+40170.key と Kexample.com.+005+40170.private が生成される。接尾辞がkeyが公開鍵、privateが秘密鍵に
guro_chanの日記 » キャッシュDNSサーバをDNSSECに対応させたい
対応したいなあという心意気でありながらも、仕掛けが入り組んでいていまいち理解が及ばないために見ぬ振りをして過ごしてきた DNSSEC の導入であるが、去る2010年5月5日にすべてのルートサーバがテスト用の署名データ導入を完了、恙無く事が運べば7月には DNSSEC が本稼動する、というニュースを目にしたためにいよいよ重い腰を上げてすぐ下げた記録である。キャッシュサーバは bind で構築する。 $ wget -c http://ftp.isc.org/isc/bind9/9.7.0-P2/bind-9.7.0-P2.tar.gz $ tar zxvf bind-9.7.0-P2.tar.gz $ cd bind-9.7.0-P2/ DNSSEC をサポートするには configure オプションに with-openssl が必須であるというから付けた。あと環境変数 CFLAGS に D
Yasuo's Weblog » BINDでDNSSEC対応しよう openSUSE 11.3編
DNSは、インターネットの基幹技術であるが故、長きに亙って古き良き時代の設計が生き続けてきた。IPv6実装の本格化と、DNSポイズニングなどのセキュリティー脅威に対抗するために、二つの技術が導入されつつある。その一つがDNS応答の長さ制限を打破するための「EDNS (Extension mechanism for DNS)」、そしてもう一つがDNS情報に電子署名を使った改竄防止の仕組みを提供する「DNSSEC (DNS Security Extensions)」である。 EDNSは、BIND 9系の場合、「明示的に使用を禁止」しなければ、有効化される。 server 0.0.0.0/0 { edns no; }; 一方で、DNSSECは、すぐに使えるわけではない。ちょっとした初期設定が必要だ。以下に、openSUSE 11.3のBINDパッケージを例に対応方法をまとめてみる。(bind,
名前解決の仕組みとゾーンファイルの設定
今回は、BINDの設定を行う。ゾーンファイルの編集を行って正引き・逆引きが行えるようにするほか、MX、CNAMEなど各種レコードの使い方を紹介する。また、名前解決の仕組みについてもここで理解しておいてほしい。 BINDの基本的な動作 前回、DNSサーバの代表的な実装であるBINDをインストールしました。今回は設定を行います。 しかしその前に、BINDの動作を簡単に理解しておく必要があります。そうせずに、単に資料の引き写しの設定ファイルを使う方法もありますが、予期せぬ動作をしたときに対処できなくなってしまいます。 前回、「DNSは分散型データベースである」と述べました。つまり、どこかにすべてのデータを持ったサーバがあるわけではなく、あちらこちらにサーバが分散しているわけです。問題は、どうやって目的のデータを持ったサーバを見つけだすかです。 さすがに手掛かりゼロではどうしようもないので、最初の
強いBIND DNSサーバを構築する 第二回 named.confの基本設定 | ユーロテック情報システム販売株式会社
前回は、BIND9をソースtarボールからビルドしてみました。今回からはBIND9のnamed.confの設定方法です。 name.confの基礎と作成 – ACL定義/options部 BINDの既定の設定ファイルはnamed.confです。歴史的に、named.confはデフォルトで/etcディレクトリに配置されます(ソースからビルドした場合、デフォルトでは/usr/local/etc/以下)。 ゾーンファイルの場所は、named.confで指定することができますが、これも歴史的には/var/namedディレクトリの下におかれるのが通例ですが、namedからアクセス可能であれば他のディレクトリでもまったくかまいません。ISCのBIND9のドキュメントの例では、/etc/namedbを設定している例もあります。 ACLでIPアドレスやネットワークに名前をつける 以下の書式で、ネットワーク
もめす屋 > Debianで自宅サーバ > DNSサーバの構築
はじめに bind9を使用してDNSサーバを構築します。 セカンダリネームサーバは マイハマネット に申し込みました。 登録には同じドメインのメールアドレスを使用するので、メールサーバ が必須です。 今は同じドメインのメールアドレスでなくても良いみたい。 固定IPとオリジナルのドメイン名を取得しており、自前で名前解決を行う場合です。 ぶっちゃけ、外向きはダイナミックDNSなど、外部のサービスに任せたほうが楽かもしれません(^^; 内部ネットワークからサーバに名前でアクセスしたい。 DNSキャッシュをしたい。 という場合は、 DNSキャッシュサーバの構築 を参照してください。 dnsmasqはbind9より軽く、簡単です。 設定 自身のzone設定はnamed.conf.local、option設定はnamed.conf.optionsというように分割するのがD
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
bindのアップデート
DNSの設定チェック
DNSSEC Key Timing Considerations
DNSSECの鍵管理
dnssec-keygenコマンドが終わらない « 旧SawanoBlog.
スマート署名(Smart signing) BIND 9.7での新機能