日常生活をちょっと快適にするIT

ITで普段の生活をほんのちょっとだけ便利に。情報格差を少しでも小さく。そんな目標を掲げて、のんびり記事を書いていきます。

DNSの運用変更とユーザーへの影響~暗号鍵の更改編~

2017
28
こんばんは、EPです。

いよいよ本記事で本題に入ろうと思います。

前回記事でDNSについての解説をしました。ものすごく大雑把にまとめると、DNSの役割は「名前とIPアドレスを対応させること」です。

DNSからの返答をキャッシュ(蓄積)してより高速に応答させようとする「DNSキャッシュサーバー」というものがあります。このキャッシュサーバーに改ざんした情報を与える攻撃手法があり、これをDNSキャッシュポイズニングと言います。解決したい名前に対し、正規のIPアドレスではなくどこか悪意ある攻撃目的のサーバーのIPアドレスを返すように、キャッシュサーバーを文字通り毒す攻撃手法です。

これを防ぐため、DNSSECというセキュリティ技術が多くのDNSには採用されています。

DNSSECは公開鍵暗号方式を利用しています。詳しい説明は複雑なので今回は省略しますが、DNSSECの根幹たる「KSK(Key Signing Key)」の更新が予定されています。

DNSKEY応答パケットというDNSSECの通信パケットには、ある時期においては新しいKSKと古いKSK、さらにZSK(Zone Signing Key)の3種類が含まれることになります。そうなると1400バイトという容量を超えることになり、ここで問題が発生します。

設定にもよりますが、1400バイトというの1個のパケットの最大値として指定されていることが多い数字で、これを超えるとパケットが分割され、IPフラグメンテーションが発生します。これによってDNSSECの認証が失敗する可能性が指摘されています。

DNSというのは前回記事の通り、伝言ゲームのように上位のDNSに名前解決を委任するわけですが、そのうち1個が倒れればそこから先は全て参照不可能になります。DNSSECの認証が通らなければその時点で通信が停止するわけですから、ダウンと同じような状態になることが想定され、そうなると名前解決ができない=URLを打ち込んでもネットにつながらないような状況が発生してくると考えられています。

最初にそうした現象が発生する確率が高い日が、2017年9月19日です。総務省が対応を呼びかけていますが、実際どうなるかは未知数です。

個人レベルではどうこうできるものではなく、ネットワークの管理者レベルでの対応となります。ユーザーへの影響は、所属しているネットワークによっては影響を受ける、つまり一時的にいつも通りのWebブラウジングができなくなる可能性はあります。

気をつけるも何もないですが、何事も起こらないことを祈るばかりです。

 ネットワーク インターネット LAN DNS DNSSEC 更改 影響

0 Comments

Add your comment