パスワードを忘れた? アカウント作成
13350766 story
インターネット

DNSSECの公開鍵更新でトラブルが発生する可能性、事前の検証を推奨 26

ストーリー by hylom
ご注意を 部門より

9月19日にDNSSECで使用されるゾーン署名鍵の更新が行われるのだが、その影響でネットワーク関連のトラブルが発生する可能性があるとし、総務省が注意喚起を行っている(ITmediaZDNet Japan)。

DNSSECは、インターネット上における名前解決を行うDNSにおいて、電子署名を用いた信頼性検証を実現する技術。これを利用することで、本来意図していないサーバーに気付かずにアクセスさせるような攻撃を防ぐことができる。

DNSSECではゾーン署名鍵(ZSK)と鍵署名鍵(KSK)の2つの公開鍵が使われており、ZSKは3か月ごと、KSKは5年ごとに更新される(日経ITpro)。KSKの更新は今回が初めてとのことだが、この更新のタイミングでDNSSECで使われる「DNSKEY応答パケット」という公開鍵が含まれるパケットに新旧のKSKおよびZSKが含まれることで、パケットサイズが1400バイトを超えてしまい、ネットワーク環境によってはIPパケットの分割(IPフラグメンテーション)が発生する可能性があるという。これによってパケットを受け取れず、通信障害が発生する可能性があるという。

対応策としてはDNS関連のソフトウェアを最新版に更新しておく、「NDSSECのトラストアンカーの自動更新」を有効にしておく、IPフラグメントによる名前解決の失敗が発生しないかを事前に確認しておく、などが提案されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年07月26日 9時22分 (#3250246)

    具体的な確認手法(コマンドラインとあるべき結果等)が提示されていない。
    二次情報に頼らざるを得ないので、罠を混ぜた「対策」をばら撒かれると踏む奴が多発する。

    • by Anonymous Coward on 2017年07月26日 11時26分 (#3250336)

      注意喚起してくれるだけでもありがたいのに「関連情報がたりない、もっと充実しろ」とか言い出しちゃう人って

      親コメント
      • by Anonymous Coward

        でも言っておけば、IPAあたりが要望に応えてくれそうだし。
        雑談サイトで言う意味は知らんけど。

        • by Anonymous Coward

          その辺の専門的なものを扱う組織ではとっくに確認方法などの情報公開してますよ。
          今回はそういうのに関わっていなさそうな人たちに注意を喚起しただけです。

          • by Anonymous Coward

            具体的な手順が一番必要そうな人たちに対してだけ情報提供してないのか。無能極まりないな

    • by Anonymous Coward

      これは一般人は関係ないから
      DNSを提供してるプロバイダーとかが対応すべき話だから

      • by Anonymous Coward

        DNSなんて簡単に構築できるし、別にプロバイダじゃなくても、その辺の一般の会社でも自前で建ててるとこ沢山あるでしょ。
        ……まあ、DNSSECにしてる会社は、皆無に近いような気がするけど。

        • by Anonymous Coward

          朝日新聞のこの件に関する記事、この文でDNSSECにたどり着けるユーザは何割くらいいるんだろうと思うくらいひどい。
          これ読んだ管理職とかがわからないままに変なこと言い出して混乱引き起こすフラグだぞ……

          企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ 上栗崇 2017年7月21日21時1分 [asahi.com]

          ICANNの本拠がロサンゼルスだとか暗号鍵は256桁の数列(?)だとか瑣末な情報は詳しいのに、肝腎の「契約しているシステム管理業者などに確認を」するためのDNSSECという単語が全く出てこない。

          • by Anonymous Coward

            専門用語を使うな〜的な感じなんですかね。
            括弧付きでいいから、書いておいてくれれば、一発でわかるのに。

        • by Anonymous Coward

          DNSSECは有効になってるところは多いんじゃないかな?RHELがデフォルトでONにしてるから。
          だけど特に設定いじらなければオートアップデートで自動的に対処されてしまうので問題は起きない。

          中途半端な管理者がいる会社はやばいよね。
          自分オリジナルにカスタムすること=仕事をすることって勘違いしてるし、理解できない機能は
          全部無効にしてしまうから、何もしない方がマシな状態に陥ってしまう。

      • by Anonymous Coward

        一般人の一次キャッシュDNSサーバーは大抵ルーターってことを忘れてないかね

        • by Anonymous Coward

          だよね。
          中途半端に古いルータを使っていると「対応できませんので買い替えてください」で終わる可能性もある。

          まぁ、最近はONUとルータを通信事業者が貸し出すパターンも多いから、その場合は任せちゃえばいいけどさ。

        • by Anonymous Coward

          ルータ内蔵のものはキャッシュしません。単なるフォワーダです。
          フォワーダの通信相手はISPのキャッシュサーバであり、今回の鍵更新をおこなうルートサーバではありません。
          よって、鍵更新の影響を受けることはありません。

          • by Anonymous Coward

            今回起きそうなトラブルとしては、

            (1) 鍵更新それ自体によるトラブル
            (2) 鍵更新によって応答パケットが大きくなってフラグメンテーションが起き、
            正しく応答を受け取れなくなるトラブル

            のふたつが考えられるという理解でいいのでしょうか?

            元コメは、(2)の問題がルータ内蔵のDNS Proxyで起きる可能性について
            だと思うのですが、これはゼロとは言えないのでは?

          • by Anonymous Coward

            地球上すべての家庭用ルータ内蔵DNSリゾルバが「絶対にキャッシュしない」と何故思った?

    • by Anonymous Coward

      一応JPRSが出してる。総務省もJPRSのサイトに誘導するとかあれば優しいんだけどね。
      https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf [jprs.jp]

    • by Anonymous Coward

      DNSサーバ運用してる人ならそれくらい問題ないのではという気もします。
      対策なんてそれこそ実質的にVerUPでしょうし。

      ちなみに、確認するなら、digで+dnssec付ければ、最後にメッセージサイズも出てきてくれます。

      • by Anonymous Coward

        フルリゾルバーサービスプログラムのバージョンアップだけではなくて
        インターネットに出て行くまでのネットワーク機器(ルータ、NAPT装置、ロードバランサー)などの
        調整が必要な場合がある

        • by Anonymous Coward

          意外とDNS PROXYを積んだルータでトラブルが起きたりして。

          • by Anonymous Coward

            「意外と」ではなく、一般的にもっとも障害要因に該当しそうなのがそれ

    • by Anonymous Coward

      下のリンクにあるが、

      http://keysizetest.verisignlabs.com/ [verisignlabs.com]

      にアクセスしてチェックすればよろしい。
      一番下だけが「fail」になればOK。らしい。

      違う場合は、誰かフォロー頼む。

  • by Anonymous Coward on 2017年07月26日 11時04分 (#3250320)

    KSKはKagi Shomei Kagiの略?
    教えてエロい人

    # Key Signing Keyの略だと知っているのでAC

    • by Anonymous Coward

      座布団一枚

    • by Anonymous Coward

      KSKについてkwsk

      • by Anonymous Coward

        スレが加速しそうな気しかしない

    • by Anonymous Coward

      KYKは瓦町洋裁研究所の略
      とんかつ屋の創業者が喫茶店を開くときに
      瓦町洋裁研究所の跡地を譲ってもらったので
      屋号として使っているんだろ…

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...