ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性
こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。 ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。 現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご
DNSが使えなくなるトラブル、9月19日に発生する恐れ
DNS(Domain Name System)は、インターネットの名前解決を担う重要なシステムだ。ところが、2017年9月19日にDNSのトラブルが発生する恐れが浮上している。そのキーになるのが「DNSSEC」(DNS SECurity extensions)という技術だ。 DNSSECは、DNSの安全性を高める技術である。電子署名を利用してDNSから送られているデータの信頼性を検証することで、送信元の偽装を見抜く。日本での普及率は1割程度だが、8割以上普及している国もある。 DNSSECは公開鍵暗号方式を利用する。ドメインの管理単位であるゾーンに署名するゾーン署名鍵の「ZSK」(Zone Signing Key)と、ZSKに署名する鍵署名鍵である「KSK」(Key Signing Key)の2種類の鍵を使う。DNSの委任の仕組みを利用し、ルートサーバー(ルートゾーン)を頂点として、上位の
Google Public DNS over HTTPS を試す | IIJ Engineers Blog
【2018/11/16 追記】 本記事は、2016 年 4 月に Google Public DNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後 IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年 10 月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか? Google Public DNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的な IP アドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開) - DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/07/08(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 該当
BIND DNSSEC Guide
AbstractThis is version 0.5 of the DNSSEC deployment guide for BIND.BIND is open source software that implements the Domain Name System (DNS) protocols for the Internet. It is a reference implementation of those protocols, but it is also production-grade software, suitable for use in high-volume and high-reliability applications.Domain Name System Security Extensions (DNSSEC) extends standard DNS
BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について
--------------------------------------------------------------------- ■BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2012/07/25(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xの高負荷環境下におけるキャッシュデータの取り扱いの不具合によ り、namedに対する外部からのサービス不能(DoS)攻撃が可能となることが、 開発元のISCから発表されました。本脆弱性により、提供者が意図しないサー ビスの停止が発生する可能性があります。 該当するBIND 9.xを利用してい
長さ0のrdataによってnamedが異常停止する | Internet Systems Consortium
RDATAフィールドの長さが0であるようなDNSのリソースレコードによって、それを処理するサーバに種々の障害が生じる可能性があります。 CVE: CVE-2012-1667 文書バージョン: 1.0 公開日付: 2012年6月4日 影響を受けるプログラム: ISC BIND 影響を受けるバージョン: すべてのバージョンの BIND 9 深刻度: 重大な(Critical) 攻撃方法: 遠隔から可能 詳細: 本問題は試験的なDNSのレコード型のテスト中に発見されました。BINDにはヌル(つまり長さが0の)RDATAを持つレコードを追加することが可能です。 このようなレコードを処理することで、想定外の結果が生じる可能性があります。キャッシュ(recursive)サーバの場合、サーバがクラッシュしたり、サーバメモリ内の情報がクライアントに開示されたりする可能性があります。セカンダリサーバの場合、
DNSOPS.JP BoF 資料
DNSOPS.JP BoF 資料 日本DNSオペレーターズグループ 公開: 2012年5月14日 BoF 名: DNSOPS.JP BoF 日 時: 2012年4月25日(水) 18:00-20:00 参加者: 約70名 - アジェンダ 1. DNSOPS.JP Update (JPIX 石田さん) [資料] 2. 10分でわかる幽霊ドメイン名...と浸透問題の関係 (JPRS森下さん) [資料] 3. GREEにおけるDNS運用とPRIMDNSについて (GREE恵比澤さん) 4. DNSSECのステータス地図とIDNの壁 (BBTOWER大本さん) [資料] 5. DNSSEC Ready? チェック3兄弟 (キヤノンITソリューションズ田中さん) [資料] 6. DNSSECの提供する信頼性に関する一考察+ root blackout対策案 (JPRS藤原さん) [資料] 7. バリ
権威DNSサーバのDNSSEC対応
インターネットの重要な基盤技術の1つであるDNSに対して新たな攻撃手法が公開され、その安全性が脅かされている。DNSにセキュリティ機能を提供するための技術であり、普及が進んでいるDNSSECについて、仕組みと運用方法を紹介する。(編集部) 古くから検討されてきたDNSSEC 近年注目を集めているDNSSECだが、実はその検討は1993年ごろから始まっている。また、最初の標準としてRFC 2065が発行されたのは1997年のことである。 それから継続して検討が進められ、現在のDNSSECの技術仕様は、2005年に発行されたRFC 4033、RFC 4034、RFC 4035(注1)がベースとなっている。これに加え、第3回でも触れたキャッシュDNSサーバにおけるトラストアンカーの自動更新の仕様を定めたRFC 5011が2007年に、またゾーンの列挙を困難にするためのNSEC3拡張を定めたRFC
JP DNSサーバーに設定されるDNSSEC関連情報の内容一部変更について
--------------------------------------------------------------------- ■JP DNSサーバーに設定されるDNSSEC関連情報の内容一部変更について 株式会社日本レジストリサービス(JPRS) 2011/07/29(Fri) --------------------------------------------------------------------- JPRSではJP DNSサーバーに設定されるDNSSEC関連情報について、以下の通り、 その内容を一部変更しました。 ▼変更の内容 1)DNSKEY RRSetに付加されるRRSIG RRの内容の変更 2011年6月18日(土)より、.jpゾーンのDNSKEYリソースレコードセット(以 下、DNSKEY RRSet)に付加される署名(RRSIGリソースレコード:以
キャッシュDNSサーバのDNSSEC対応
今回は、DNSSECの検証機能を有効にしたキャッシュDNSサーバを構築・運用する方法について解説する。 DNSSECにおけるキャッシュDNSサーバの役割 キャッシュDNSサーバは、名前解決を依頼するクライアントと権威DNSサーバの間に立ち、反復検索を行うサーバである。DNSSECにおいて検証を担当するものを「バリデータ(Validator)」と呼び、多くの場合キャッシュDNSサーバがバリデータを担当する。 第2回でも簡単に説明したが、DNSSECの検証を行うためには信頼の連鎖の起点となる情報が必要となる。これを「トラストアンカー(Trust Anchor)」と呼ぶ。バリデータとなるキャッシュDNSサーバは、トラストアンカーを起点に、DNSSECの信頼の連鎖を検証していくことになる。 DNSの階層構造における委任の起点がルートゾーンであることから、一般的にはルートゾーンの公開鍵情報をトラスト
DNSSECの役割と動作の概要
DNSSECが提供するもの 第1回で説明したとおり、DNSSEC(Domain Name System Security Extensions:DNSセキュリティ拡張)を導入すれば、DNSの応答が「本当に正しい」ことを検証できる。 「本当に正しい」とは、どういう状態を意味するのだろうか? 正しいことを検証するには、以下の2つの事項を検証できればよい。 ・データの出自認証(Data origin authentication) →ゾーンの管理者が登録したとおりの内容であること ・データの完全性(Data integrity) →通信途中で応答が書き換えられたり、応答の一部が損失したりしていないこと DNSSECの機能は、従来のDNSの仕組みを拡張する形で実装しており、従来のDNSと上位互換性を保っている。具体的な仕組みは後述するが、DNSSECに対応した権威DNSサーバおよびゾーンの検証は、
DNSCurveの紹介
2011/02/08 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 DNSCurveの紹介 こんにちは、ネットエージェント株式会社、大阪支社の山口です。今回は DNSCurve について軽く紹介したいと思います。 ----- DNS のレコード改竄対策として DNSSEC が少しずつ認知されつつありますが、とはいえ、その複雑さから導入にいまひとつ踏み切れない管理者の方も多いかと思います。このような懸念に対して DNS サーバの djbdns や HTTP サーバの publicfile などで知られるイリノイ大学の D. J. Bernstein 氏が、DNSSEC の諸問題を指摘するとともに、対案として DNSCurve を提案していま
JP DPSの公開について | 2011年 | JPドメイン名についてのお知らせ | 新着情報一覧 | JPRS
2011/01/14公開 JPRSは2011年1月14日、「JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)」を公開しました。 DPS(DNSSEC Practice Statement)は、管理対象ドメイン名におけるDNSSECサービスの安全性や運用のポリシー、考え方、手順などについて網羅的にまとめた文書で、そのドメイン名のDNSSEC運用者が必要に応じて作成・公開します。 DPSはPKI(*1)におけるCPS(*2)を元にしており、その作成のための枠組みはIETFにおいて標準化が進められています。JP DPSはその記述に、draft-ietf-dnsop-dnssec-dps-framework-03(参考URLを参照)で定められる方式を採用しています。 JP DPSの全文は、以下のURIで公開されています。 日本語https://jprs.jp/doc/dnsse
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
ドメイン名やDNSの解説 | ドメイン名関連情報 | JPRS