• Home

  • Documents

  • アプライアンスによるDNSSEC対応2013/05/29  ·...
31
日本インターネットエクスチェンジ株式会社 技術部 吉武保 アプライアンスによるDNSSEC対応

アプライアンスによるDNSSEC対応2013/05/29  · DNSSEC導入後のトラブル事象(その1) •署したドメインへのメール不達 –エラーを返すMTAがqmailで、エラーの内容

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

  • 日本インターネットエクスチェンジ株式会社技術部 吉武保

    アプライアンスによるDNSSEC対応

  • 最初に

    JPIXで行ったDNSアプライアンスを使ったDNSSEC対応について事例紹介したいと思います。

  • Agenda

    • DNSアプライアンスについて

    • DNSSEC対応の取り組み

    • DNSSEC導入作業について

    • DNSSEC運用について

    • DNSSEC導入後の障害事例

    • まとめ

  • DNSアプライアンスについて

    DNSSEC導入に使用したアプライアンスについて

  • 使用したDNSアプライアンス

    • Infoblox社製 DNS&DHCPアプライアンス

    Infoblox-1050A(販売終了)

    → 現行製品Trinzic 1410相当

    – NIOS5.xからDNSSEC対応

    – 2台構成(Primary/Secondary)

    – GRID機能未使用

    – recursive兼用(validation disable)

  • InfobloxのDNSSEC機能

    • 簡単なクリック操作でDNSSEC – WebベースのGUIによる操作

    – 標準規格(NIST 800-81)推奨構成

    – NSEC3対応

    • 暗号鍵や署名の管理 (自動化) – ゾーン情報変更時の自動再署名

    – ZSKの自動ロールオーバー(再署名も自動)

    – KSKのGUIでのロールオーバー

    – HSM(鍵管理)を標準サポート

    • DNSSEC バリデーション

    詳しくはベンダーさんに問い合わせてください

  • 質問

    1. Infobloxを使って権威DNSサーバを運用されている方はどれくらいいらっしゃいますか?

    2. InfobloxでDNSSEC署名されている方ってどれくらいいらっしゃいますか?

  • DNSアプライアンスでDNSSEC対応した理由

    • たまたま検証中のInfobloxが手元にあった

    – 社内DNSサーバ集約用にInfobloxを購入済だった

    – 本番環境に投入する前だったので導入前の試験も容易だった

    • 時間と稼働が無かった

    – OpenDNSSEC等を使って一から環境構築する時間が無かった..

    • InfobloxのDNSSEC対応が機能的に申し分無かった

  • DNSSEC対応の取り組み

    JPIXでのDNSSEC対応の取り組みについて

  • JPIXでのDNSSEC対応の取り組み

    •2011年下期- JPIX DNSサーバ更改準備

    •2012年3月9日? 石田社長から署名依頼

    •2012年3月15日 DNSSEC Readyロゴ&チェックリスト公開

    •2012年3月21日 DNSサーバをInfobloxに入れ替え

    •2012年3月27日 jpix.jpの署名

    •2012年4月5日 jpix.co.jpの署名

    •2012年4月12日 jpix.ad.jpの署名

    •2012年4月18日 DNSSEC Readyロゴ利用登録

    •2012年4月25日 DNSSEC 2012 Spring Forum

    •2013年3月25日 jpix. jp KSKロールオーバ

    •2013年4月1日 jpix.co.jp KSKロールオーバ

    •2013年4月9日 jpix.ad.jp KSKロールオーバ

    •2013年5月29日 DNSSEC 2013 Spring Forum

  • 導入作業

    DNSアプライアンスを用いたDNSSEC導入作業について

  • DNSSEC導入に必要な作業

    1. DNSSECパラメータの決定 2. KSK作成 3. ZSK作成 4. ゾーン署名 5. DSをエクスポートして上位ゾーンに登録 6. 定期的なゾーン再署名 7. RR追加時の署名 8. 定期的なZSKロールオーバ

    – ZSKの更新と再署名

    9. 定期的なKSKロールオーバ – KSKの更新と再署名 – DSをエクスポートして上位ゾーンに再登録

  • DNSSEC導入に必要な作業(Infobloxの場合)

    1. DNSSECパラメータの決定 2. KSK作成 3. ZSK作成 4. ゾーン署名 5. DSをエクスポートして上位ゾーンに登録 6. 定期的なゾーン再署名 7. RR追加時の署名 8. 定期的なZSKロールオーバ

    – ZSKの更新と再署名

    9. 定期的なKSKロールオーバ – KSKの更新と再署名 – DSをエクスポートして上位ゾーンに再登録

    Infobloxが自動でやってくれる

    Infobloxが自動でやってくれる

  • DNSSEC導入に必要な作業(Infobloxの場合)

    1. DNSSECパラメータの決定 2. KSK作成 3. ZSK作成 4. ゾーン署名 5. DSをエクスポートして上位ゾーンに登録 6. 定期的なゾーン再署名 7. RR追加時の署名 8. 定期的なZSKロールオーバ

    – ZSKの更新と再署名

    9. 定期的なKSKロールオーバ – KSKの更新と再署名 – DSをエクスポートして上位ゾーンに再登録

    ボタン押すだけ

    ボタン押すだけ

  • InfobloxによるDNSSEC導入作業

    1. DNSSECパラメータの決定

    4. ゾーン署名

    5. DSをエクスポートして上位ゾーンに登録

    9. 定期的なKSKロールオーバ

    – KSKの更新と再署名

    – DSをエクスポートして上位ゾーンに再登録

    1は初期設定。4、5はゾーン署名時のみ。

    9は定期的(年一回など)のみ。

  • 設定例) 1. DNSSECパラメータの決定

    DNSSECパラメータを入力して “Enable DNSSEC”をチェック

  • 設定例) 4. ゾーン署名

    1. ゾーンを選択して…

    2. DNSSECメニューの “Sign Zone”を選択する

  • 設定例) 9. KSKロールオーバ

    1. ゾーンを選択して…

    2. DNSSECメニューの “RollOver Key Signing Key”を選択する

    3. DNSSECメニューの “Export Trust Anchor”を選択して DSレコードをファイルに出力

  • 運用

    DNSアプライアンスによるDNSSEC導入後の運用について

  • DNSSEC導入後の運用について

    • DNSSEC署名前と基本的に変わらない

    • RR追加/削除時の作業手順もDNSSEC未署名ゾーンと全く同じ

    • 署名済ゾーンは年に一回KSKロールオーバを忘れずに実施するだけ

    • KSKのロールオーバタイミングはWeb GUIで通知

  • 監視について

    • DNSSECの常時監視は未実施

    – Nagios用のValidationプラグインを調査中

    – 何か良い監視ツールありません?

    • ゾーンの変更履歴をGitで管理

    – Stealth SlaveのLinuxサーバを立ててゾーン転送したファイルの変更履歴をGit+Gitwebで管理

    • 外部サイトのWebサービスを利用

    – http://dnsviz.net/がすごく便利

    – http://dnssec-debugger.verisignlabs.com/などと併用

  • (参考) DNSVizはすごく便利 DNSSECの信頼の連鎖をVisual化してくれるWebサービス

    通常時

    http://dnsviz.net/d/jpix.ad.jp/dnssec/

    異常時

  • 障害事例

    DNSSEC導入後のトラブル事象について

  • DNSSEC導入後のトラブル事象

    1. メールの受信トラブル

    2. ServFail発生

    3. ZSK署名ロールオーババグ

  • DNSSEC導入後のトラブル事象(その1)

    • 署名したドメインへのメール不達

    – エラーを返すMTAがqmailで、エラーの内容が”CNAME Lookup Failure”だった場合、送信側のqmailに512バイトUDPパッチが当たっていない

    – JPRSトピックス&コラム No.16 ■DNSSECに関するよくある質問と回答(技術仕様編)のQ6参照

    – 2社ほど申告あり

    参考: http://jprs.jp/tech/notice/2011-03-03-inappropriate-handling-for-long-dns-packet.html

    http://jpinfo.jp/topics-column/016.pdfhttp://jpinfo.jp/topics-column/016.pdfhttp://jpinfo.jp/topics-column/016.pdf

  • DNSSEC導入後のトラブル事象(その2)

    • www.jpix.ad.jpでServfailが返ると連絡

    – jpix.ad.jpドメインを署名したその日に連絡あり

    – 先方のキャッシュサーバはdnssec-validation yes;

    – 4台あるキャッシュサーバのうち2台で事象発生

    • キャッシュクリアで事象解消

    • 原因は不明。署名タイミング時に変な情報をキャッシュしてしまった?

    • 外部からの連絡は一件だけ

  • DNSSEC導入後のトラブル事例(その3)

    • ZSK署名ロールオーババグ

    – ロールオーバ時に本来削除されるべき古いRRSIGがゴミとして残る

    – バリデーション的には問題なし

    – ただし各種チェックツールで警告がでる

    • dnsviz.netはWarning表示

    • jprsからRRSIG validation errorの通知メールが届く

    – 修正ファームリリース予定

  • まとめ

  • まとめ

    • InfobloxによるDNSSEC環境構築/運用の敷居は低い

    – 初期導入時は「DNSSECパラメータ決定」「ゾーン署名」「上位ゾーンにDSを登録」するだけ

    – 運用は定期的に「KSKのロールオーバ」のみ

    – ZSKの更新を意識しなくてよい

    – 署名作業を意識する必要が無い

    – 複雑なコマンドを覚える必要が無い

    – 障害対応はベンダーに丸投げ可能

  • まとめ

    • アプライアンスだからといって良いことばかりではありません… – Web GUIによるゾーンの一覧性が非常に悪い

    • RRSIGでRR数が増えるのでなおさら…

    – アプライアンス独自の情報が少ない

    – ベンダのDNSSEC関係障害経験値が低い? • 他の問い合わせに比べて対応が遅い気がする

    • そもそもDNSSECの障害切り分け大変ですけど…

    – アプライアンス独自のバグだけでなくBIND/OSの脆弱性も… • BIND脆弱性祭りに参加可能(もちろんアプライアンス独自の対策も施されてます...

    • 昨年はntpのうるう秒で高負荷になるバグに遭遇..

  • ご清聴ありがとうございました


第 2 章 第 2 節  情報通信の効率的な方法 1  情報の容量と伝送の特性 2  データの圧縮 3  エラー検出とエラー訂正

第 2 章 第 2 節  情報通信の効率的な方法 1  情報の容量と伝送の特性 2  データの圧縮 3  エラー検出とエラー訂正

Documents
Tutorial Dnssec

Tutorial Dnssec

Documents
DNSSEC im (Münchner) Wissenschaftsnetz

DNSSEC im (Münchner) Wissenschaftsnetz

Documents
Dnssec Mcmc Amir

Dnssec Mcmc Amir

Documents
BSAシリーズ・データ・シート ビット・エラー・ …½“社特許のError Location Analysis 機能により、迅速 なBER性能限界の確認、デターミニスティック・エラー

BSAシリーズ・データ・シート ビット・エラー・ …½“社特許のError Location Analysis 機能により、迅速 なBER性能限界の確認、デターミニスティック・エラー

Documents
Kurzvorstellung DNSSEC (Lightning-Talk)

Kurzvorstellung DNSSEC (Lightning-Talk)

Documents
DNSSEC - ENOG · dnssec РУКОВОДСТВО ОПЕРАТОРА dns Что надо знать. Что требуется. Как сделать. ВЕРСИЯ 1 Филипп Кулин,

DNSSEC - ENOG · dnssec РУКОВОДСТВО ОПЕРАТОРА dns Что надо знать. Что требуется. Как сделать. ВЕРСИЯ 1 Филипп Кулин,

Documents
Internet Week 2010 S10 DNSSECチュートリアル ~実践編~ · – 2010年7月15日よりDNSSECの正式運用開始 • DNSSEC導入済TLD – rootゾーンにある全294のTLDのうち

Internet Week 2010 S10 DNSSECチュートリアル ~実践編~ · – 2010年7月15日よりDNSSECの正式運用開始 • DNSSEC導入済TLD – rootゾーンにある全294のTLDのうち

Documents
IIJ Technical WEEK 2011 - DNSSECの現状とIIJでの …...DNSSECの現状 とIIJでの導入事例 2 DNSSECの現状 DNSSECとは 3 • DNS Security Extension – RFC4033,4034,4035(他)

IIJ Technical WEEK 2011 - DNSSECの現状とIIJでの …...DNSSECの現状 とIIJでの導入事例 2 DNSSECの現状 DNSSECとは 3 • DNS Security Extension – RFC4033,4034,4035(他)

Documents
DNSSEC 活動報告dnssec.jp/wp-content/uploads/2010/07/20100721-dnssec-techwg-toy… · DNSSECジャパン DNSSEC 技術検証WG 活動報告 技術検証WG Chair 豊野剛 toyono@mfeed.ad.jp

DNSSEC 活動報告dnssec.jp/wp-content/uploads/2010/07/20100721-dnssec-techwg-toy… · DNSSECジャパン DNSSEC 技術検証WG 活動報告 技術検証WG Chair 豊野剛 [email protected]

Documents
Dnssec Dominio Es Gore v4

Dnssec Dominio Es Gore v4

Documents
Déployer DNSSEC, comment, quoi, où ?

Déployer DNSSEC, comment, quoi, où ?

Documents
DNSSEC Technology Experiment Report - JPドメイ …jprs.jp/dnssec/doc/DNSSEC-testbed-report-fpv1.0-E.pdfVerification item : Digest of the DS record should be hash of

DNSSEC Technology Experiment Report - JPドメイ …jprs.jp/dnssec/doc/DNSSEC-testbed-report-fpv1.0-E.pdfVerification item : Digest of the DS record should be hash of

Documents
Kobe University Repository : Thesis1.3.3 操船者エラーの発生形態 62 1.4 その他の行動・作業による衝突海難 63 1.4.1 操船者エラーをもたらした原因とエラー

Kobe University Repository : Thesis1.3.3 操船者エラーの発生形態 62 1.4 その他の行動・作業による衝突海難 63 1.4.1 操船者エラーをもたらした原因とエラー

Documents
DNSSec - Viestintävirasto · DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimen

DNSSec - Viestintävirasto · DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimen

Documents
DNSSECジャパン アップデート...DNSSECジャパン •2009/11/24設立 •DNSSECの導入と普及のため •DNSSECに関わるプレイヤーの集う場 ... 4033 DNS Security

DNSSECジャパン アップデート...DNSSECジャパン •2009/11/24設立 •DNSSECの導入と普及のため •DNSSECに関わるプレイヤーの集う場 ... 4033 DNS Security

Documents
Magic xpi...3 エラー処理の順序 Magic xpi は以下の順序でエラー処理を行います。: 1. ステップでエラーが発生した際、Magic xpi はエラー処理メカニズムに従い、ステップとトリガー

Magic xpi...3 エラー処理の順序 Magic xpi は以下の順序でエラー処理を行います。: 1. ステップでエラーが発生した際、Magic xpi はエラー処理メカニズムに従い、ステップとトリガー

Documents
権威DNSのDNSSEC対応...2012/11/21 株式会社インターネットイニシアティブ 山口崇徳 権威DNSのDNSSEC対応 2 アジェンダ • 基礎編 – DNSSECにおける権威DNSの役割

権威DNSのDNSSEC対応...2012/11/21 株式会社インターネットイニシアティブ 山口崇徳 権威DNSのDNSSEC対応 2 アジェンダ • 基礎編 – DNSSECにおける権威DNSの役割

Documents
DNSSEC 技術と運用• ただし、最近だと9.7.1-p1にDNSSECにバグがあるので使わないように。• DNSSECだけではなくDNSのバグもあるので9.7.1-p2以降推奨。•9.7からはSmart

DNSSEC 技術と運用• ただし、最近だと9.7.1-p1にDNSSECにバグがあるので使わないように。• DNSSECだけではなくDNSのバグもあるので9.7.1-p2以降推奨。•9.7からはSmart

Documents
DNSSECの導入にむけて ~課題と検証~dnsops.jp/bof/20090904/DNSSEC-introduction.pdf2009/09/04  · "XXX.XXX.XXX.XXX DNS reply size limit is at least 4023 bytes" "XXX.XXX.XXX.XXX

DNSSECの導入にむけて ~課題と検証~dnsops.jp/bof/20090904/DNSSEC-introduction.pdf2009/09/04  · "XXX.XXX.XXX.XXX DNS reply size limit is at least 4023 bytes" "XXX.XXX.XXX.XXX

Documents
DNSSEC en .ES

DNSSEC en .ES

Documents
エラー処理方法解説ガイド · 2020-04-27 · エラー処理方法解説ガイド 2020年4月 8 先ほどのエラーの例をtry-catch構文で記述してみます。

エラー処理方法解説ガイド · 2020-04-27 · エラー処理方法解説ガイド 2020年4月 8 先ほどのエラーの例をtry-catch構文で記述してみます。

Documents
คู มือการติดตั้ง DNSSEC, ประกาย นาดี ......ค ม อการต ดต ง DNSSEC, ประกาย นาด , มทร.อ

คู มือการติดตั้ง DNSSEC, ประกาย นาดี ......ค ม อการต ดต ง DNSSEC, ประกาย นาด , มทร.อ

Documents
Tutorial Dnssec 1.7.4

Tutorial Dnssec 1.7.4

Documents
Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação

Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação

Documents
Cachéエラー・リファレンス...1 オブジェクト・エラー・メッセージ このドキュメントでは、以下の表でオブジェクト・エラー・メッセージを示しています。CSPに関連する

Cachéエラー・リファレンス...1 オブジェクト・エラー・メッセージ このドキュメントでは、以下の表でオブジェクト・エラー・メッセージを示しています。CSPに関連する

Documents
DNSSEC - core-it.wwsi.edu.pl

DNSSEC - core-it.wwsi.edu.pl

Documents
Dnssec root-lacnog

Dnssec root-lacnog

Documents
Cloud Foundry にアプリケーションを push する際の典型的な10のエラー

Cloud Foundry にアプリケーションを push する際の典型的な10のエラー

Software
エラー・ベクトル振幅(EVM)を利用した ベクトル変調信号の解 …literature.cdn.keysight.com/litweb/pdf/5965-2898J.pdf · エラー・ベクトル振幅(evm)測

エラー・ベクトル振幅(EVM)を利用した ベクトル変調信号の解 …literature.cdn.keysight.com/litweb/pdf/5965-2898J.pdf · エラー・ベクトル振幅(evm)測

Documents