26th JANOG Meeting in EBISU

動かしてみました

DNSSEC

ー

ブロードバンドルータ編

ー

2010年 7月 8日

ＮＥＣアクセステクニカ

アクセスネットワーク技術部

川島

正伸

2001:db8:café::2 26th JANOG Meeting in EBISU

JPRSさんのDNSSEC技術実験に参加して自社製ブロードバンドルータ（法人向け、民需向け）

の DNS Proxy 機能を動作検証してみました。

2001:db8:café::3 26th JANOG Meeting in EBISU

IPv4 InternetIPv4 Internet

192.168.1.0 / 24

JPRS DNSSEC技術実験用DNS Cache Server

DNS Query

Ｈｅｒｅ

検証構成

Routerwith DNS Proxy

CentOS 5.5

DNS Query

.1

.2IP Address

192.168.1.2Subnet Mask

255.255.255.0Gateway 192.168.1.1DNS Server 192.168.1.1

2001:db8:café::4 26th JANOG Meeting in EBISU

検証のポイント

▐

OPT RR (DO bit) や 各種 Flags (TC, AD, etc)を透過的に 扱っているか？

▐

EDNS0 に対応し、1,220 bytes の Packet を処理できるか？ ※Fragment されていない

▐

EDNS0 に対応し、4,000 bytes の Packet を処理できるか？ ※Fragment されている

▐

TCP を使用した

DNS Proxy 機能を提供しているか？

▐

DNS Cache を行っている場合、何か悪影響はないか？

2001:db8:café::5 26th JANOG Meeting in EBISU

検証結果

model Cache EDNS0 1220 4000 TCP53 Trans nic.cz

A NG OK NG NG NG OK 20/43

B NG OK NG NG NG OK 20/43

C NG OK NG NG NG OK 19/43

D － OK OK OK OK OK 43/43

E － OK OK OK OK OK 43/43

F － OK OK OK OK OK 43/43

▐

イケてる実装とイケてない実装がありました

でも具体的な説明はできません。ごめんなさい。。。

2001:db8:café::6 26th JANOG Meeting in EBISU

イケてない実装の話

その１

（512bytesへの異常な愛）

IPv4 InternetIPv4 Internet

JPRS DNSSEC技術実験用DNS Cache Server

Routerwith DNS Proxy

OPT RR

（DO=1）

OPT RR

（DO=1）

1,200bytes

・

512bytes でバッサリなので

Malformed Packet となる

・ しかも TC bit は 0 のままなので

TCP Fallback もできない

512bytes①

②

③

④

2001:db8:café::7 26th JANOG Meeting in EBISU

イケてない実装の話

その２

（なんちゃってキャッシュ）

IPv4 InternetIPv4 Internet

JPRS DNSSEC技術実験用DNS Cache Server

Routerwith DNS Proxy

www.example.jp

AOPT RR

（DO=1）

Cache A RR

Answer A RR RRSIG RR

Answer A RR RRSIG RR

検証OK

A RR検証できない

A

RR のみ Cache するので別の端末はTTL満了まで、DNSSEC検証を行えない

www.example.jp

AOPT RR

（DO=1）

www.example.jp

AOPT RR

（DO=1）

①

②

③

⑤

④

⑥

⑦

2001:db8:café::8 26th JANOG Meeting in EBISU

イケてる実装の話

▐

EDNS0 に対応

▐

Fragmented Packet を

Reassemble

▐

TCP にも対応

▐

各種 Flags も透過的に扱う

RFC5625 DNS Proxy Implementation Guideline に準拠した実装

2001:db8:café::9 26th JANOG Meeting in EBISU

イケてる実装の話

（続き）

▐

ついでに

nic.cz (チェコのTLDレジストリ) が提供しているツール

(DNSSEC Hardware Tester) を使ってDNSSECの適合性チェックを 実施してみました。[合計43のテスト項目]

Best 43/43 tests passed

全項目パス！

2001:db8:café::10 26th JANOG Meeting in EBISU

イケてる実装の話

（続き）

▐

そして、もちろんテスト結果を報告。

No.1 Get !

2010/07/08 00:55 From NIC.CZ

“NEC WA1020”

is the first appliance to achieve 100 % -

even none of tested appliances in our lab so far was

able to do so with default settings.

2001:db8:café::11 26th JANOG Meeting in EBISU

今後の対応

修正が必要な実装については、

良い実装をベースに計画的に展開していく予定です。

（でも、古い機種とかはごめんなさい。。。）

2001:db8:café::12 26th JANOG Meeting in EBISU

まとめ

▐

OPT RR (DO bit) や 各種 Flags (TC, AD, etc)を透過的に 扱う実装とすること

不要なトラブルを引き寄せないためにも

▐

EDNS0 に対応し、UDP 4,096bytes 迄をサポートすることFragmented Packet を Reassemble すること

▐

TCP に対応し、65,535bytes 迄をサポートすること多くの DNS Proxy は TCP に対応していない

▐

DNSSEC対応に限らず、応答Packet Size は肥大化傾向いずれにせよ EDNS0対応、TCP対応は必要

▐

DNS Cache は行わないのが得策Cache する場合、考慮事項は多いので覚悟して実装すること

2001:db8:café::13 26th JANOG Meeting in EBISU

参考情報

▐

DNS Proxy 開発時の参考ドキュメントRFC5625DNS Proxy Implementation GuidelineRFC4035Protocol Modifications for the DNS Security Extensionsdraft-ietf-dnsext-dns-tcp-requirements-03 (work in progress)DNS Transport over TCP - Implementation RequirementsIPv6普及・高度化推進協議会 IPv6家庭用ルータガイドライン2.0版Coming Soon !

▐

DNSSEC 動作検証JPRS DNSSEC技術実験への参加DNSSEC Hardware Tester （http://www.nic.cz/dnssectests/）

•

現状、Windows 7 では

Bug （結果報告できない）

があるので注意。

テスト自体は問題ありません。

プレゼンタープレゼンテーションのノート“Empowered by Innovation”は、「イノベーションを、あなたのチカラに。そして、あなたと共に歩むNECグループの原動力に。」という意味を込めたNECグループのブランドステートメントです。私たちが活動するあらゆる分野におけるイノベーションを通じて、お客さまと共に理想を実現するNECグループのあくなき情熱を、ここに表しています。

動かしてみました DNSSEC��ー ブロードバンドルータ編 ースライド番号 2　検証構成　検証のポイント　検証結果　イケてない実装の話　その１ （512bytesへの異常な愛）　イケてない実装の話　その２ （なんちゃってキャッシュ）　イケてる実装の話　イケてる実装の話 （続き）　イケてる実装の話 （続き）　今後の対応　まとめ　参考情報スライド番号 14