DNSSECの公開鍵更新でトラブルが発生する可能性、事前の検証を推奨 26
ストーリー by hylom
ご注意を 部門より
ご注意を 部門より
9月19日にDNSSECで使用されるゾーン署名鍵の更新が行われるのだが、その影響でネットワーク関連のトラブルが発生する可能性があるとし、総務省が注意喚起を行っている(ITmedia、ZDNet Japan)。
DNSSECは、インターネット上における名前解決を行うDNSにおいて、電子署名を用いた信頼性検証を実現する技術。これを利用することで、本来意図していないサーバーに気付かずにアクセスさせるような攻撃を防ぐことができる。
DNSSECではゾーン署名鍵(ZSK)と鍵署名鍵(KSK)の2つの公開鍵が使われており、ZSKは3か月ごと、KSKは5年ごとに更新される(日経ITpro)。KSKの更新は今回が初めてとのことだが、この更新のタイミングでDNSSECで使われる「DNSKEY応答パケット」という公開鍵が含まれるパケットに新旧のKSKおよびZSKが含まれることで、パケットサイズが1400バイトを超えてしまい、ネットワーク環境によってはIPパケットの分割(IPフラグメンテーション)が発生する可能性があるという。これによってパケットを受け取れず、通信障害が発生する可能性があるという。
対応策としてはDNS関連のソフトウェアを最新版に更新しておく、「NDSSECのトラストアンカーの自動更新」を有効にしておく、IPフラグメントによる名前解決の失敗が発生しないかを事前に確認しておく、などが提案されている。
この手の情報でいつも思うこと (スコア:0)
具体的な確認手法(コマンドラインとあるべき結果等)が提示されていない。
二次情報に頼らざるを得ないので、罠を混ぜた「対策」をばら撒かれると踏む奴が多発する。
Re:この手の情報でいつも思うこと (スコア:1)
注意喚起してくれるだけでもありがたいのに「関連情報がたりない、もっと充実しろ」とか言い出しちゃう人って
Re: (スコア:0)
でも言っておけば、IPAあたりが要望に応えてくれそうだし。
雑談サイトで言う意味は知らんけど。
Re: (スコア:0)
その辺の専門的なものを扱う組織ではとっくに確認方法などの情報公開してますよ。
今回はそういうのに関わっていなさそうな人たちに注意を喚起しただけです。
Re: (スコア:0)
具体的な手順が一番必要そうな人たちに対してだけ情報提供してないのか。無能極まりないな
Re: (スコア:0)
これは一般人は関係ないから
DNSを提供してるプロバイダーとかが対応すべき話だから
Re: (スコア:0)
DNSなんて簡単に構築できるし、別にプロバイダじゃなくても、その辺の一般の会社でも自前で建ててるとこ沢山あるでしょ。
……まあ、DNSSECにしてる会社は、皆無に近いような気がするけど。
Re: (スコア:0)
朝日新聞のこの件に関する記事、この文でDNSSECにたどり着けるユーザは何割くらいいるんだろうと思うくらいひどい。
これ読んだ管理職とかがわからないままに変なこと言い出して混乱引き起こすフラグだぞ……
企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ 上栗崇 2017年7月21日21時1分 [asahi.com]
ICANNの本拠がロサンゼルスだとか暗号鍵は256桁の数列(?)だとか瑣末な情報は詳しいのに、肝腎の「契約しているシステム管理業者などに確認を」するためのDNSSECという単語が全く出てこない。
Re: (スコア:0)
専門用語を使うな〜的な感じなんですかね。
括弧付きでいいから、書いておいてくれれば、一発でわかるのに。
Re: (スコア:0)
DNSSECは有効になってるところは多いんじゃないかな?RHELがデフォルトでONにしてるから。
だけど特に設定いじらなければオートアップデートで自動的に対処されてしまうので問題は起きない。
中途半端な管理者がいる会社はやばいよね。
自分オリジナルにカスタムすること=仕事をすることって勘違いしてるし、理解できない機能は
全部無効にしてしまうから、何もしない方がマシな状態に陥ってしまう。
Re: (スコア:0)
一般人の一次キャッシュDNSサーバーは大抵ルーターってことを忘れてないかね
Re: (スコア:0)
だよね。
中途半端に古いルータを使っていると「対応できませんので買い替えてください」で終わる可能性もある。
まぁ、最近はONUとルータを通信事業者が貸し出すパターンも多いから、その場合は任せちゃえばいいけどさ。
Re: (スコア:0)
ルータ内蔵のものはキャッシュしません。単なるフォワーダです。
フォワーダの通信相手はISPのキャッシュサーバであり、今回の鍵更新をおこなうルートサーバではありません。
よって、鍵更新の影響を受けることはありません。
Re: (スコア:0)
今回起きそうなトラブルとしては、
(1) 鍵更新それ自体によるトラブル
(2) 鍵更新によって応答パケットが大きくなってフラグメンテーションが起き、
正しく応答を受け取れなくなるトラブル
のふたつが考えられるという理解でいいのでしょうか?
元コメは、(2)の問題がルータ内蔵のDNS Proxyで起きる可能性について
だと思うのですが、これはゼロとは言えないのでは?
Re: (スコア:0)
地球上すべての家庭用ルータ内蔵DNSリゾルバが「絶対にキャッシュしない」と何故思った?
Re: (スコア:0)
一応JPRSが出してる。総務省もJPRSのサイトに誘導するとかあれば優しいんだけどね。
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf [jprs.jp]
Re: (スコア:0)
DNSサーバ運用してる人ならそれくらい問題ないのではという気もします。
対策なんてそれこそ実質的にVerUPでしょうし。
ちなみに、確認するなら、digで+dnssec付ければ、最後にメッセージサイズも出てきてくれます。
Re: (スコア:0)
フルリゾルバーサービスプログラムのバージョンアップだけではなくて
インターネットに出て行くまでのネットワーク機器(ルータ、NAPT装置、ロードバランサー)などの
調整が必要な場合がある
Re: (スコア:0)
意外とDNS PROXYを積んだルータでトラブルが起きたりして。
Re: (スコア:0)
「意外と」ではなく、一般的にもっとも障害要因に該当しそうなのがそれ
Re: (スコア:0)
下のリンクにあるが、
http://keysizetest.verisignlabs.com/ [verisignlabs.com]
にアクセスしてチェックすればよろしい。
一番下だけが「fail」になればOK。らしい。
違う場合は、誰かフォロー頼む。
KSKは何の略? (スコア:0)
KSKはKagi Shomei Kagiの略?
教えてエロい人
# Key Signing Keyの略だと知っているのでAC
Re: (スコア:0)
座布団一枚
Re: (スコア:0)
KSKについてkwsk
Re: (スコア:0)
スレが加速しそうな気しかしない
Re: (スコア:0)
KYKは瓦町洋裁研究所の略
とんかつ屋の創業者が喫茶店を開くときに
瓦町洋裁研究所の跡地を譲ってもらったので
屋号として使っているんだろ…