RSS

2018/04/19

[第1回] KSKロールオーバーへの備え

Category:

Tag:

ksk1

 

2017年10月に予定されていたルートゾーンKSKロールオーバーが延期されました。

ICANNは2018年10月11日に実施することを計画しています。

https://www.icann.org/news/blog/announcing-draft-plan-for-continuing-with-the-ksk-roll

 

KSKロールオーバーは対策をしなければ大きな問題となることが知られています。しかし誰が、何に、どのような対策をすればよいのかよく分からないという方もいらっしゃると思います。

 

本ブログではKSKロールオーバーへの対策、それらに関連する技術、そしてその基盤となるDNSについて複数回に分けて説明します。

 

 

1.KSKとは何なのか

 

◇ KSK(鍵署名鍵)とは

KSKはDNSSECという仕組みに利用される2種類の鍵のうちの1つです。DNSSECはDNSの名前解決に検証機能を導入し、信頼できる応答であるか確認する仕組みです。

 

20180410_ksk_1-1

 

DNSSECにはZSK(ゾーン署名鍵)とKSK(鍵署名鍵)の2種類の鍵があり、それぞれに秘密鍵、公開鍵が存在します。ZSKはゾーン内のリソースレコードを署名するために利用され、KSKはゾーン内の公開鍵を署名するために利用されます。KSKの役割は上位のゾーンと下位のゾーンの信頼を確立し、信頼の連鎖を構築することです。

 

 

◇ KSKロールオーバーとは

KSKは各ゾーンごとに存在し、それぞれのゾーン管理者が管理しています。

KSKロールオーバーはこのKSKの鍵を更新する作業のことです。

20180410_ksk_1-2

 

 

本稿で触れているKSKロールオーバーはルートゾーンのKSKの更新作業を指します。ルートゾーンのKSKはDNSSECを利用する多くのキャッシュDNSサーバに設定されています。ほとんどの場合、このルートゾーンKSKがトラストアンカー(信頼の基点)となるため、新しいルートゾーンKSKを設定しなければ、そのキャッシュDNSサーバを利用した名前解決ができなくなります。

 

 

2.誰が、何に、どのような対策をすればよいのか

 

誰が対策するのか

KSKロールオーバーの影響を受けるのはキャッシュDNSサーバです。そのため、対策が必要なのはキャッシュDNSサーバの管理者です。ゾーンを管理する権威DNSサーバの管理者の対応は不要です。

 

20180410_ksk_1-3

 

 

 ◇ 何に対策すればよいのか

キャッシュDNSサーバにKSKロールオーバーの対策がされているか確認する必要があります。

 

 

どのような対策すればよいのか

以下の2つの作業が必要です。

①キャッシュDNSサーバが新しいルートゾーンKSKを利用できる設定になっているか確認する(トラストアンカーの更新確認)

② キャッシュDNSサーバがDNS応答サイズ増大に対応しているか確認する

 

詳細は次回以降に記載します。

 

 

3.CDNetworksのサーバは影響を受けるのか

 

CDNetworksはキャッシュDNSサーバの提供をしていません。

そのため、CDNetworksが提供するサービスはKSKロールオーバーの影響を受けることはありません。

 

なお、配信システムに利用しているキャッシュDNSサーバはKSKロールオーバーの影響を受けないことを確認済です。

 

 

4.DNSの仕組み

 

KSKロールオーバーについて理解を深めるにはKSKを利用するDNSSEC、そしてDNSについての知識が必要です。本稿ではDNSの仕組みとDNSSECの役割ついて説明します。

 

◇DNSとは

DNS(Domain Name System)はインターネットにおける電話帳のような仕組みです。

 

20180410_ksk_1-4

 

インターネット上ではサーバへ接続する際にサーバへ割り当てされたIPアドレスに対して接続を試みます。DNSがなければクライアントは接続先のサーバのIPアドレスを事前に知っておく必要があります。

 

20180410_ksk_1-5

 

しかし数字の羅列であるIPアドレスは人間には覚えにくいものです。またサーバのIPアドレスが変わった時に、それをどうやって不特定多数のクライアントへ伝えるかという問題があります。DNSはこの問題を解決します。

 

DNSはドメイン名と呼ばれる人間が覚えやすい名前とIPアドレスを紐づけます。クライアントはドメイン名を利用してサーバへ接続するときに、そのドメイン名に紐づけられたIPアドレスをDNSサーバへ問い合わせします。

 

20180410_ksk_1-6

 

DNSサーバはドメイン名に紐づけられたIPアドレスをクライアントへ返し、クライアントはそのIPアドレスのサーバへ接続することができます。クライアントは前述の図のようにIPアドレスを直接指定してサーバへ接続することも可能です。その場合はDNSの仕組みは利用されません。

 

このドメイン名からIPアドレスを手に入れる処理を名前解決と呼びます。名前解決はIPアドレスを得ること以外にも、たとえば別名を返したり、IPアドレスからドメイン名を得ることにも使われます。

 

 

◇DNSサーバと名前解決

名前解決にはDNSサーバが必要です。

 

20180410_ksk_1-7

 

DNSサーバは大きく分けて2つの役割を持ちます。多くの場合、この2つの役割は別々のDNSサーバによって運用されています。

 

20180410_ksk_1-8

 

DNS情報はドメインをいくつかのゾーンに分けて複数の権威DNSサーバで管理されています。

 

図の例では「example.com」に対してrootゾーン、comゾーン、example.comゾーンを管理している権威DNSサーバがあり、順に名前解決の問い合わせを行います。名前解決の問い合わせを受けたとき、自身がそのゾーンを管理していない場合は次のゾーンを管理している権威DNSサーバ情報を応答します。これを繰り返すことで最終的に目的のドメイン名のゾーンを管理する権威DNSサーバへたどり着き、その権威DNSサーバからIPアドレスを得ることができます。

 

 

5.DNSキャッシュポイズニングとDNSSEC

 

キャッシュDNSサーバは権威DNSサーバにDNS情報を問い合わせして、その応答からDNS情報を得ます。しかしキャッシュDNSサーバは応答した権威DNSサーバが問い合わせをしたサーバであるか、その内容は正しいか、という確認をしません。

 

20180410_ksk_1-9

 

これを悪用して、横から勝手にキャッシュDNSサーバへ偽のDNS情報を応答し、不正なDNS情報をキャッシュDNSサーバに保持させることができます。この攻撃はDNSキャッシュポイズニングと呼ばれます。

 

20180410_ksk_1-10

 

DNSキャッシュポイズニングの攻撃を受けたキャッシュDNSサーバを利用するクライアントは、Webブラウザに正しいURLを入れても不正な偽物のWebサイトに誘導されるおそれがあります。クライアントは名前解決の処理を意識しないため、有名なSNSやポータルサイトを装った偽物のWebサイトへ知らぬ間にアクセスしてしまいます。この攻撃を防ぐ機能としてDNSSECという仕組みがあり、KSKはこのDNSSECに利用される鍵のひとつです。

 

 

 

第1回目の本稿ではKSKロールオーバーの概要、DNSの仕組み、DNSSECの役割について説明しました。

次回はDNSSECの仕組みとKSKロールオーバーの準備が必要な理由について説明します。

 

 

=====================================

>>CDNetworksのサービス全般についてはこちら

>> お問い合わせ、ご相談はこちら

 

株式会社シーディーネットワークス・ジャパン

TEL:03-5909-3373(営業部)

 

 

PAGE TOP