|
|||||
|
DNSSECジャパン 運用技術WGでは、DNS運用担当者がDNSSECの運用を行っていくのにあたり、先達が解決してきた様々な技術的知見の集約、DNSSEC導入への課題の調査等を行っています。 活動の一環として、作成した報告書や資料等を 資料 – 運用技術WG のページにて公開しています。 今回、2つの文書を掲載しましたので、お知らせします。 失敗事例研究まとめ DNSSEC先行導入組織における失敗事例を調査および考察することで、将来DNSSECを導入する組織に対しての知見とすべく、失敗事例情報をまとめた。 (印刷用pdf形式, 720kB, 4p) DNSSEC運用失敗事例の研究 総括 DNSSEC先行導入組織における失敗事例から得られた知見の総括 (印刷用pdf形式, 243kB, 5p) こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。 DNSSECジャパン 技術検証WG では、DNSSECの導入・運用における課題の整理・検討を行っています。 活動の一環として、作成した報告書や資料等を 資料 - 技術検証WG のページにて公開しています。 今回、1つの文書を追加しましたので、お知らせします。 DNSSEC gTLD レジストラ移転実験報告 レジストラ移転ガイドライン に沿った形で実際に行ったレジストラ移転実験の報告を取りまとめました。(pdf形式, 163kB, 10p) こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。 DNSSECジャパン 運用技術WGでは、DNS運用担当者がDNSSECの運用を行っていくのにあたり、先達が解決してきた様々な技術的知見の集約、DNSSEC導入への課題の調査等を行っています。 活動の一環として、作成した報告書や資料等を 資料 – 運用技術WG のページにて公開しています。 今回、3つの文書を掲載しましたので、お知らせします。 DNSSECゾーン検証ツール調査報告 署名後のゾーンを正しく検証できるかどうかを公開前に事前テストすることの必要性と、それを行うためのツールの紹介 (印刷用pdf形式, 198kB, 6p) DNSSECジャパン 運用技術WGでは、DNS運用担当者がDNSSECの運用を行っていくのにあたり、先達が解決してきた様々な技術的知見の集約、DNSSEC導入への課題の調査等を行っています。 活動の一環として、作成した報告書や資料等を 資料 – 運用技術WG のページにて公開しています。 今回、1つの文書を掲載しましたので、お知らせします。 リリース5以前の RedHat Enterprise Linux およびその互換 OS をセカンダリサーバとして用いるゾーンへの DNSSEC の導入にあたっての注意喚起 リリース5以前のRedHat Enterprise Linuxおよびその互換OSをセカンダリサーバとして用いているゾーンでDNSSECを有効にしたときに観測された問題点の提示と注意喚起 (印刷用pdf形式, 152kB, 5p)) こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。 ISC が Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate ということでアナウンスを出しています。 JPRS からは日本語による情報の掲載がありました。 ■(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について – 9.7.3へのバージョンアップを強く推奨 – <http://jprs.jp/tech/security/bind97-vuln-ixfr-and-dynamic-update.html> 対象は 9.7.1 から 9.7.2-P2 までのバージョンの BIND9 です。一時的な回避策も提示されていますが、これを適用した場合サービス性能が低下します。 本質的な解決として、早急に 9.7.3 にアップデートすることを強く推奨します。 (2010/12/15 追記) ISC が Update to CVE 2010-3613 というアナウンスを出しました。 今回の脆弱性を持つ BIND9 のバージョンを 9.0.x 以降の全てに拡大するとのことです。バージョンを確認の上、必要な対処を行うことを推奨します。 JPRS のアナウンスも更新されていました。ご参照ください。 ISC が BIND 9.7.2-P3, 9.6.2-P3, 9.6-ESV-R3 and 9.4-ESV-R4 are now available ということでアナウンスを出しています。 JPRS からは日本語による情報の掲載がありました。 ■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した DoS攻撃について – 緊急のパッチ適用を強く推奨 – <http://jprs.jp/tech/security/bind9-vuln-ncache-and-rrsig.html> 対象は BIND 9.7.2-P2 以前のバージョン (9.6.2 – 9.6.2-P2, 9.6-ESV – 9.6-ESV-R2, 9.7.0 – 9.7.2-P2) のBINDです。 該当するキャッシュDNSサーバーにおいてDNSSECによる検証を有効にしていない場合であっても対象となります。早急に 9.7.2-P3 にアップデートすることを強く推奨します。 . . . → Read More: [追記あり] 9.7.2-P2以前のBIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について – 緊急のパッチ適用を強く推奨 - DNSSECジャパン プロトコル理解SWGにて、各組織で作成いただいた解説資料を 資料 - RFC のページに順次掲載しています。 先週、先々週に引き続き、2つの解説文書を追加しましたので、お知らせします。 RFC4431 The DNSSEC Lookaside Validation (DLV) DNS Resource Record. DNSリソースレコード「DLV」 internet-draft DNSSEC Key Timing Considerations DNSSEC鍵運用タイミングの考察 (draft-ietf-dnsop-dnssec-key-timing-00) プロトコル理解SWGにて予定していた全てのドキュメントについての読み合わせと、解説記事の掲載が終了しました。プロトコル理解SWGのみなさま、お疲れさまでした! 今後はRFCの逐次訳の情報があり次第、リンクを貼っていくつもりです。 こちらの文書につきましては免責事項ページをご参照の上、ご利用くださいませ。 DNSSECジャパン プロトコル理解SWGにて、各組織で作成いただいた解説資料を 資料 - RFC のページに順次掲載しています。 先週に引き続き、4つの解説文書を追加しましたので、お知らせします。 RFC5155 DNS Security (DNSSEC) Hashed Authenticated Denial of Existence. (ハッシュ化された認証による存在否定 (NSEC3)) RFC5702 Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource. (DNSKEYとRRSIGSHA-2アルゴリズム) RFC4986 Requirements Related to DNS Security (DNSSEC) Trust Anchor Rollover. (DNSSECトラストアンカーロールオーバーに関する要件) RFC5074 DNSSEC Lookaside Validation (DLV). こちらの文書につきましては免責事項ページをご参照の上、ご利用くださいませ。 DNSSECジャパン プロトコル理解SWGでは、DNSSEC に関わる RFC の読み合わせを 2010年3月から概ね隔週で行っています。 各組織で作成いただいた解説資料を 資料 – RFC のページに順次掲載しています。 今回、4つの解説文書を追加しましたので、お知らせします。 RFC4034 Resource Records for the DNS Security Extensions. (DNSセキュリティ拡張で使用するリソースレコード) RFC5011 Automated Updates of DNS Security (DNSSEC) Trust Anchors. (DNSSECトラストアンカーの自動更新) RFC4641 DNSSEC Operational Practices. (DNSSEC運用上の慣行) internet-draft DNSSEC Operational Practices, Version 2. (DNSSEC運用上の慣行 バージョン2) (draft-ietf-dnsop-rfc4641bis-02) RFC4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource . . . → Read More: RFC資料掲載 JPRS から下記の情報が流れてきましたので掲載します。 ■(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について – ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を – <http://jprs.jp/tech/security/bind971-vuln-rrsig.html> DNS関連技術情報 <http://jprs.jp/tech/> ISC からも BIND 9.7.1-P2 is now available. ということでアナウンスが出ています。 対象は BIND 9.7.1 もしくは 9.7.1-P1 のみです。 トラストアンカーを設定し、キャッシュDNSサーバとしてDNSSEC検証を有効にした運用をされる場合は、必ず 9.7.1-P2 にアップデートをお願いします。 |
|
||||
|
Copyright © 2017 DNSSECジャパン - All Rights Reserved Powered by WordPress & Atahualpa |
|||||
