ICANNが策定中の新gLTDの問題点:内部ネットワークとの衝突 34
ストーリー by hylom
ありそう 部門より
ありそう 部門より
あるAnonymous Coward 曰く、
ICANNは現在、gTLD(分野別トップレベルドメイン)と呼ばれる新しいTLDを追加する作業を進めており、すでに「.moe」など多くのgTLDが申請されている。これに対し、新たな問題点も危惧されている。その1つに、社内ネットワークなどの内部ネットワークで定義されているドメインとの衝突が挙げられている(本家/.)。
社内ネットワークなど、一般に公開されていないネットワークでは、勝手にドメインを定義して利用できる。そのため、場合によっては「.corp」や「.mail」、「.exchange 」といったドメインが使われている場合がある。しかし、これらがgLTDとして使われるようになると、社内ネットワークにアクセスするつもりが、社外のサーバーにアクセスしてしまう、という問題が発生する可能性がある。これらを利用した攻撃なども考えられるという。
あのぉ (スコア:5, おもしろおかしい)
.moe はわたしが使っている TLD ですので勝手に使わないで下さい。なおこの件については ICANN にも通報済みです。
人気TLD予想 (スコア:4, おもしろおかしい)
.local
Re:人気TLD予想 (スコア:5, 参考になる)
Special-Use Domain Namesとして予約済だそうです
http://www.iana.org/assignments/special-use-domain-names/special-use-d... [iana.org]
Re:人気TLD予想 (スコア:1)
おぉぉ、これは知らなかった。
昔、.local がプライベート用として Draft として出ていて [ietf.org]、結局 RFC にならずに失効していたのは知っていたんだけど、こんな最近になって、RFC になるとは...
でも、用途はプライベート用ではなくて、マルチキャスト用みたいですね。じゃぁ、特に Active Directory を構築しているケースで、既にアウトの状態が山ほどありそうな...。
余談:
今は、Microsoft も「自分の組織が持っているドメインのサブドメインを使って」と言っているはずなんだけど、未だに Active Directory のドメイン名を hoge.local と付ける人が後を絶たない気がするなぁ。
LLMNRは特定のTLDを想定しない (スコア:1)
Windowsで使われているLLNMRはRFC 4795 http://tools.ietf.org/html/rfc4795 [ietf.org] によると特定のTLDを対象としたものではないらしいですね。例えば「host1.」に対する名前解決にも答えると書いてある。LLMNRはNetBIOS over TCP/IPの名前解決の後継という扱いだから互換性のためにそうしているのかも。
屍体メモ [windy.cx]
Re: (スコア:0)
AD環境じゃないけど、LAN内のホストhogeにhogeでアクセスすると不通時にhoge.comとかを開かれてしまうので、
hoge.hogehoge.localみたいにしてるんですが、自前のドメインを持っていない場合はどうするものなんでしょーか?
# .localを選んだのは偶然
Re: (スコア:0)
.local でいいんじゃないの? mDNSと併用しなければ害はないし (LinuxのmDNS実装だと、.localが使われてるネットワークではmDNSのdaemonが自分で自分をdisableする)
Re:人気TLD予想 (スコア:4, 興味深い)
.local は Mac の内部ネットワークで使われているから、もし取れたら(主にMacユーザーで)問題が多発しそうですね。
Re:人気TLD予想 (スコア:2)
ところが、MacOSのOpenDirectory / Netinfo も暗黙で.localというネットワークが想定されているので、両者が混在した場合、ネットワーク上のマシンをホスト名で探す時に、ホスト名に勝手に.localがくっついちゃってAD側とごっちゃになって見えるはずのものが見えず混乱したりします。(IPアドレス直打ちなら通る)
Mac側に.localをつけないで探しなさいと環境設定のどこだかで教えてあげようというTipsがあったりします。
Re: (スコア:0)
確かに.localを上手に使う仕組みを作ったのはAppleの人間だけど、Macのドメインじゃねーよ。
サフィックスリスト (スコア:2)
たとえ閉じたネットワークだろうと、TLDを勝手につけたら駄目というかRFC違反だし自業自得だと思いますが…
(言ってしまえば、グローバルに使われる範囲なIPアドレスを、「インターネットと直接ルーティングしないから問題ない」といってLAN用専用としてプライベートに使う [srad.jp]ようなものでしょ。)
問題はサフィックスリストじゃないかなとか思う。ドメイン名の後半部分を省略可能にし、省略した場合は適当に補完してくれる機能。
そもそも「FQDN」=「Fully Qualified Domain Name」=「完全修飾ドメイン名」という用語があるぐらいで、部分的に省略したドメイン名を使うことはごく当たり前の用法です。
会社とかで事業部や部署毎にサブドメインを分ける運用をしていたら
server.moe.exchange.example.co.jp.
みたいなFQDNが割り当てられることもありえるでしょう。これを、サフィックスリストに example.co.jp. や exchange.example.co.jp. を設定しておけば、
server.moe
とか
server.moe.exchange
といった省略記法が使えるようになります。TLDがmoeやexchangeのFQDNととても紛らわしい。
#というわけで、まあ、TLDが乱立しやすくなったため問題が発生しやすくなっただけで、昔から時々発生する全然新しくない問題だと思うんだよなぁ。
Re:サフィックスリスト (スコア:1)
> TLDを勝手につけたら駄目というかRFC違反
間違い。
RFC 920などでgTLDが定義されたことはあるが、その他のTLDの使用に関する制限がRFCで規定されたことはない。
Re: (スコア:0)
>たとえ閉じたネットワークだろうと、TLDを勝手につけたら駄目というかRFC違反だし自業自得だと思いますが…
激しく同意。
私が勤めた会社では、ローカルドメインは社内DNSを建てて管理、
インターネットへのアクセスはproxyを経由してアクセスする、
(proxyは社内DNSを参照)という運用だったので、いまいち
「内部ネットワークとの衝突」が想像できません……。
1つのDNSで、グローバルのドメインと社内ローカルドメインを
両方管理している場合って、そんなに多いのでしょうか。
Re:サフィックスリスト (スコア:2)
LAN内部はADと統合したDNSで所属するPCの名前を自動登録して内部用の名前解決。でDMZや外側に置いてあるホストは個別に登録してあげる。AD統合のDNSは内向きに専念してドメインの外(含インターネット)から内側に対する名前解決の場合は返答させない構成。
当然インターネット側にはよそ様向きに設置したホスト用に別途DNSサーバを立てます。
外資系の会社はこれに忠実みたいで、ワールドワイドでインターネットもADも同一のドメイン名という事例をいくつか知ってます。
Re:サフィックスリスト (スコア:1)
私が勤めた会社では、ローカルドメインは社内DNSを建てて管理、インターネットへのアクセスはproxyを経由してアクセスする、(proxyは社内DNSを参照)という運用だったので、いまいち「内部ネットワークとの衝突」が想像できません……。
内部ネットワーク上にウェブサーバがあった場合には、「内部ネットワークとの衝突」を容易に想像する事はできるのでは?
Re: (スコア:0)
内と外、どっちを優先するか
やりたいようにやれば良いんじゃねーの?
Re:サフィックスリスト (スコア:1)
内と外、どっちを優先するかやりたいようにやれば良いんじゃねーの
どちらかを優先すればいい、という整理ができるなら、それでいいだろうね。
でも、そうでないこともあるね。だから問題になってるんだ。よく考えてごらん。
Re:サフィックスリスト (スコア:1)
どちらかというと、proxyサーバは外部DNSを参照するように設定して、社内システムへはproxyを介さずにアクセスする、という切り分けの方がこの問題に対しては強そうです。
Re:サフィックスリスト (スコア:1)
>どちらかというと、proxyサーバは外部DNSを参照するように設定して、社内システムへはproxyを介さずにアクセスする、という切り分けの方がこの問題に対しては強そうです。
そういう構成で社内か社外か判断するためには、普通名前解決を行うわけで、結局その時どっちを見たいのかわからなくなりませんか?
Re:サフィックスリスト (スコア:1)
例えば社内システムはproxy無しに設定したIEで、インターネットで調べものをする場合にはfirefoxで、という使い分けをユーザが意識して行う必要がありますが、落としどころとしてはその辺りが妥協できるラインかなぁ、と。
Re: (スコア:0)
> TLDを勝手につけたら駄目というかRFC違反
参考までにどのRFCで禁止されているのか教えてください。
現実的には (スコア:1)
実際に衝突することが発覚しちゃったら、内部でDNSサーバー立ててそれを参照させ、ついでに外向けのUDP 53を塞いで……あたりになるんでしょうか。
あるいは衝突しちゃうドメインを全部リネームするか。どちらにしても結構な手間になりそうです。
安全性で言えば後者ですが、コストで言うと前者の方がマシなこともあるかもしれません。
.config とか見かけたことありますけど、この辺はすぐには衝突は来ない……かな?
Re:現実的には (スコア:1)
about.config
でいろいろ釣るとか?
なんかのサービスで (スコア:1)
特殊なTLDが利用可能になるのあったんだけど、なんだったかな...
# なおTorではない(onion)
M-FalconSky (暑いか寒い)
痛TLD (スコア:0)
新たな問題点、なの? (スコア:0)
とありますが、gTLDの検討では最初から見えていた問題ではないの?
Re: (スコア:0)
それはタレコみ子が翻訳時に組み込んだだけなんでその文章は無視して
example.comのように (スコア:0)
何か専用のドメイン名をRFCで定義するとか。
#ドメイン名持ちの企業なら、社内LANはそのサブドメインにするんじゃないのかな
ひかり電話ルータ (スコア:0)
ひかり電話ルーターは"ntt.setup"で自分のローカルアドレスを返す(少なくともウチのは)ので、.setupができたら、問題になりそう・・・
Re: (スコア:0)
atermシリーズだと"aterm.me"とかもありますね・・・と思ったら モンテネグロのccTLDだったのか。買ってるのかな?
Re:ひかり電話ルータ (スコア:3, 参考になる)
買ってあるみたい。
http://domain.me/whois/?output=nice&query=aterm [domain.me]
NECちゃんと仕事してる
Re: (スコア:0)
うちのAtermはweb.setupでした
Re: (スコア:0)
つ http://aterm.me/ [aterm.me]
TDL (スコア:0)
突っ込みたがりの人の楽しみを取っちゃ申し訳ないとスルーしてたけど、
そのままずっと残るのもどうかと思ったのでいまさらだけど。