動かしてみました DNSSEC - JANOG...CentOS 5.5 DNS Query.1 IP Address .2 192.168.1.2 Subnet...
Transcript of 動かしてみました DNSSEC - JANOG...CentOS 5.5 DNS Query.1 IP Address .2 192.168.1.2 Subnet...
-
26th JANOG Meeting in EBISU
動かしてみました
DNSSEC
ー
ブロードバンドルータ編
ー
2010年 7月 8日
NECアクセステクニカ
アクセスネットワーク技術部
川島
正伸
-
2001:db8:café::2 26th JANOG Meeting in EBISU
JPRSさんのDNSSEC技術実験に参加して自社製ブロードバンドルータ(法人向け、民需向け)
の DNS Proxy 機能を動作検証してみました。
-
2001:db8:café::3 26th JANOG Meeting in EBISU
IPv4 InternetIPv4 Internet
192.168.1.0 / 24
JPRS DNSSEC技術実験用DNS Cache Server
DNS Query
Here
検証構成
Routerwith DNS Proxy
CentOS 5.5
DNS Query
.1
.2IP Address
192.168.1.2Subnet Mask
255.255.255.0Gateway 192.168.1.1DNS Server 192.168.1.1
-
2001:db8:café::4 26th JANOG Meeting in EBISU
検証のポイント
▐
OPT RR (DO bit) や 各種 Flags (TC, AD, etc)を透過的に 扱っているか?
▐
EDNS0 に対応し、1,220 bytes の Packet を処理できるか? ※Fragment されていない
▐
EDNS0 に対応し、4,000 bytes の Packet を処理できるか? ※Fragment されている
▐
TCP を使用した
DNS Proxy 機能を提供しているか?
▐
DNS Cache を行っている場合、何か悪影響はないか?
-
2001:db8:café::5 26th JANOG Meeting in EBISU
検証結果
model Cache EDNS0 1220 4000 TCP53 Trans nic.cz
A NG OK NG NG NG OK 20/43
B NG OK NG NG NG OK 20/43
C NG OK NG NG NG OK 19/43
D - OK OK OK OK OK 43/43
E - OK OK OK OK OK 43/43
F - OK OK OK OK OK 43/43
▐
イケてる実装とイケてない実装がありました
でも具体的な説明はできません。ごめんなさい。。。
-
2001:db8:café::6 26th JANOG Meeting in EBISU
イケてない実装の話
その1
(512bytesへの異常な愛)
IPv4 InternetIPv4 Internet
JPRS DNSSEC技術実験用DNS Cache Server
Routerwith DNS Proxy
OPT RR
(DO=1)
OPT RR
(DO=1)
1,200bytes
・
512bytes でバッサリなので
Malformed Packet となる
・ しかも TC bit は 0 のままなので
TCP Fallback もできない
512bytes①
②
③
④
-
2001:db8:café::7 26th JANOG Meeting in EBISU
イケてない実装の話
その2
(なんちゃってキャッシュ)
IPv4 InternetIPv4 Internet
JPRS DNSSEC技術実験用DNS Cache Server
Routerwith DNS Proxy
www.example.jp
AOPT RR
(DO=1)
Cache A RR
Answer A RR RRSIG RR
Answer A RR RRSIG RR
検証OK
A RR検証できない
A
RR のみ Cache するので別の端末はTTL満了まで、DNSSEC検証を行えない
www.example.jp
AOPT RR
(DO=1)
www.example.jp
AOPT RR
(DO=1)
①
②
③
⑤
④
⑥
⑦
-
2001:db8:café::8 26th JANOG Meeting in EBISU
イケてる実装の話
▐
EDNS0 に対応
▐
Fragmented Packet を
Reassemble
▐
TCP にも対応
▐
各種 Flags も透過的に扱う
RFC5625 DNS Proxy Implementation Guideline に準拠した実装
-
2001:db8:café::9 26th JANOG Meeting in EBISU
イケてる実装の話
(続き)
▐
ついでに
nic.cz (チェコのTLDレジストリ) が提供しているツール
(DNSSEC Hardware Tester) を使ってDNSSECの適合性チェックを 実施してみました。[合計43のテスト項目]
Best 43/43 tests passed
全項目パス!
-
2001:db8:café::10 26th JANOG Meeting in EBISU
イケてる実装の話
(続き)
▐
そして、もちろんテスト結果を報告。
No.1 Get !
2010/07/08 00:55 From NIC.CZ
“NEC WA1020”
is the first appliance to achieve 100 % -
even none of tested appliances in our lab so far was
able to do so with default settings.
-
2001:db8:café::11 26th JANOG Meeting in EBISU
今後の対応
修正が必要な実装については、
良い実装をベースに計画的に展開していく予定です。
(でも、古い機種とかはごめんなさい。。。)
-
2001:db8:café::12 26th JANOG Meeting in EBISU
まとめ
▐
OPT RR (DO bit) や 各種 Flags (TC, AD, etc)を透過的に 扱う実装とすること
不要なトラブルを引き寄せないためにも
▐
EDNS0 に対応し、UDP 4,096bytes 迄をサポートすることFragmented Packet を Reassemble すること
▐
TCP に対応し、65,535bytes 迄をサポートすること多くの DNS Proxy は TCP に対応していない
▐
DNSSEC対応に限らず、応答Packet Size は肥大化傾向いずれにせよ EDNS0対応、TCP対応は必要
▐
DNS Cache は行わないのが得策Cache する場合、考慮事項は多いので覚悟して実装すること
-
2001:db8:café::13 26th JANOG Meeting in EBISU
参考情報
▐
DNS Proxy 開発時の参考ドキュメントRFC5625DNS Proxy Implementation GuidelineRFC4035Protocol Modifications for the DNS Security Extensionsdraft-ietf-dnsext-dns-tcp-requirements-03 (work in progress)DNS Transport over TCP - Implementation RequirementsIPv6普及・高度化推進協議会 IPv6家庭用ルータガイドライン2.0版Coming Soon !
▐
DNSSEC 動作検証JPRS DNSSEC技術実験への参加DNSSEC Hardware Tester (http://www.nic.cz/dnssectests/)
•
現状、Windows 7 では
Bug (結果報告できない)
があるので注意。
テスト自体は問題ありません。
-
プレゼンタープレゼンテーションのノート“Empowered by Innovation”は、「イノベーションを、あなたのチカラに。そして、あなたと共に歩むNECグループの原動力に。」という意味を込めたNECグループのブランドステートメントです。私たちが活動するあらゆる分野におけるイノベーションを通じて、お客さまと共に理想を実現するNECグループのあくなき情熱を、ここに表しています。
動かしてみました DNSSEC��ー ブロードバンドルータ編 ースライド番号 2 検証構成 検証のポイント 検証結果 イケてない実装の話 その1 (512bytesへの異常な愛) イケてない実装の話 その2 (なんちゃってキャッシュ) イケてる実装の話 イケてる実装の話 (続き) イケてる実装の話 (続き) 今後の対応 まとめ 参考情報スライド番号 14