[要約] RFC 3646は、IPv6の動的ホスト構成プロトコル(DHCPv6)のためのDNS構成オプションに関する情報を提供しています。このRFCの目的は、DHCPv6を使用してIPv6ネットワークでDNS構成を効果的に行うためのガイドラインを提供することです。
Network Working Group R. Droms, Ed.
Request for Comments: 3646 Cisco Systems
Category: Standards Track December 2003
DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
IPv6の動的ホスト構成プロトコルのDNS構成オプション(DHCPV6)
Status of this Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
Abstract
概要
This document describes Dynamic Host Configuration Protocol for IPv6 (DHCPv6) options for passing a list of available DNS recursive name servers and a domain search list to a client.
このドキュメントでは、利用可能なDNS再帰名サーバーのリストとドメイン検索リストのリストをクライアントに渡すためのIPv6(DHCPV6)オプションの動的ホスト構成プロトコルについて説明します。
This document describes two options for passing configuration information related to Domain Name Service (DNS) (RFC 1034 [6] and RFC 1035 [1]) in DHCPv6 (RFC 3315 [2]).
このドキュメントでは、DHCPv6(RFC 3315 [2])のドメイン名サービス(DNS)(RFC 1034 [6]およびRFC 1035 [1])に関連する構成情報を渡すための2つのオプションについて説明します。
The key words MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL in this document are to be interpreted as described in BCP 14, RFC 2119 [3].
キーワードは、このドキュメントでは、BCP 14、RFC 2119 [3]に記載されているように解釈されるように解釈する必要があります。
Throughout this document, unless otherwise specified, the acronym DHCP refers to DHCP for IPv6 (DHCPv6) as specified in RFC 3315.
このドキュメント全体で、特に指定がない限り、頭字語DHCPは、RFC 3315で指定されているIPv6(DHCPV6)のDHCPを指します。
This document uses terminology specific to IPv6 and DHCP as defined in section "Terminology" of RFC 3315.
このドキュメントでは、RFC 3315のセクション「用語」で定義されているように、IPv6およびDHCPに固有の用語を使用します。
The DNS Recursive Name Server option provides a list of one or more IPv6 addresses of DNS recursive name servers to which a client's DNS resolver MAY send DNS queries [1]. The DNS servers are listed in the order of preference for use by the client resolver.
DNS再帰名サーバーオプションは、クライアントのDNSリゾルバーがDNSクエリを送信できるDNS再帰名サーバーの1つ以上のIPv6アドレスのリストを提供します[1]。DNSサーバーは、クライアントリゾルバーが使用するための好みの順にリストされています。
The format of the DNS Recursive Name Server option is:
DNS再帰名サーバーオプションの形式は次のとおりです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_DNS_SERVERS | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| DNS-recursive-name-server (IPv6 address) |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| DNS-recursive-name-server (IPv6 address) |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
option-code: OPTION_DNS_SERVERS (23)
オプションコード:option_dns_servers(23)
option-len: Length of the list of DNS recursive name servers in octets; must be a multiple of 16
Option-Len:OctetsのDNS再帰名サーバーのリストの長さ。16の倍数でなければなりません
DNS-recursive-name-server: IPv6 address of DNS recursive name server
DNS-Recursive-Name-Server:DNS再帰名サーバーのIPv6アドレス
The Domain Search List option specifies the domain search list the client is to use when resolving hostnames with DNS. This option does not apply to other name resolution mechanisms.
ドメイン検索リストオプションは、DNSでホスト名を解決するときにクライアントが使用するドメイン検索リストを指定します。このオプションは、他の名前解決メカニズムには適用されません。
The format of the Domain Search List option is:
ドメイン検索リストオプションの形式は次のとおりです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_DOMAIN_LIST | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| searchlist |
| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
option-code: OPTION_DOMAIN_LIST (24)
オプションコード:option_domain_list(24)
option-len: Length of the 'searchlist' field in octets
オプションレン:オクテットの「検索リスト」フィールドの長さ
searchlist: The specification of the list of domain names in the Domain Search List
検索リスト:ドメイン検索リストのドメイン名のリストの指定
The list of domain names in the 'searchlist' MUST be encoded as specified in section "Representation and use of domain names" of RFC 3315.
「検索リスト」のドメイン名のリストは、RFC 3315のセクション「ドメイン名の表現と使用」で指定されているようにエンコードする必要があります。
The DNS Recursive Name Server option MUST NOT appear in any other than the following messages: Solicit, Advertise, Request, Renew, Rebind, Information-Request, and Reply.
DNS Recursive Name Serverオプションは、次のメッセージ以外に表示されてはなりません。勧誘、広告、リクエスト、更新、Rebind、Information-Request、Reply。
The Domain Search List option MUST NOT appear in any other than the following messages: Solicit, Advertise, Request, Renew, Rebind, Information-Request, and Reply.
ドメイン検索リストオプションは、次のメッセージ以外に表示されてはなりません:勧誘、広告、リクエスト、更新、Rebind、Information-Request、および返信。
The DNS Recursive Name Server option may be used by an intruder DHCP server to cause DHCP clients to send DNS queries to an intruder DNS recursive name server. The results of these misdirected DNS queries may be used to spoof DNS names.
DNS Recursive Name Serverオプションは、侵入者DHCPサーバーによって使用され、DHCPクライアントがDNSクエリを侵入者DNS再帰名サーバーに送信することができます。これらの誤った方向のDNSクエリの結果は、DNS名をスプーフィングするために使用できます。
To avoid attacks through the DNS Recursive Name Server option, the DHCP client SHOULD require DHCP authentication (see section "Authentication of DHCP messages" in RFC 3315) before installing a list of DNS recursive name servers obtained through authenticated DHCP.
DNS再帰名サーバーオプションを介した攻撃を回避するには、DHCPクライアントには、認証されたDHCPを介して取得したDNS再帰名サーバーのリストをインストールする前に、DHCP認証(「RFC 3315のDHCPメッセージの認証」を参照)を参照してください。
The Domain Search List option may be used by an intruder DHCP server to cause DHCP clients to search through invalid domains for incompletely specified domain names. The results of these misdirected searches may be used to spoof DNS names. Note that support for DNSSEC [4] will not avert this attack, because the resource records in the invalid domains may be legitimately signed.
ドメイン検索リストオプションは、侵入者DHCPサーバーによって使用され、DHCPクライアントに無効なドメインを介して、指定されていないドメイン名を検索できます。これらの誤った方向の検索の結果は、DNS名をスプーフィングするために使用できます。DNSSEC [4]のサポートは、無効なドメインのリソースレコードが合法的に署名される可能性があるため、この攻撃を回避しないことに注意してください。
The degree to which a host is vulnerable to attack via an invalid domain search option is determined in part by DNS resolver behavior. RFC1535 [7] contains a discussion of security weaknesses related to implicit as well as explicit domain searchlists, and provides recommendations relating to resolver searchlist processing. Section 6 of RFC1536 [5] also addresses this vulnerability, and recommends that resolvers:
ホストが無効なドメイン検索オプションを介して攻撃に対して脆弱である程度は、DNSリゾルバーの動作によって部分的に決定されます。RFC1535 [7]には、暗黙的および明示的なドメイン検索リストに関連するセキュリティの弱点の議論が含まれており、Resolver SearchList処理に関連する推奨事項を提供します。RFC1536 [5]のセクション6は、この脆弱性にも対処し、そのリゾルバーを推奨しています。
1. Use searchlists only when explicitly specified; no implicit searchlists should be used.
1. SearchListsを使用して、明示的に指定した場合にのみ使用します。暗黙の検索リストを使用する必要はありません。
2. Resolve a name that contains any dots by first trying it as an FQDN and if that fails, with the names in the searchlist appended.
2. 最初にFQDNとして試してみることでドットを含む名前を解決し、それが失敗した場合、SeartListの名前が追加されています。
3. Resolve a name containing no dots by appending with the searchlist right away, but once again, no implicit searchlists should be used.
3. SeartListにすぐに追加することにより、ドットを含む名前を含む名前を解決しますが、もう一度、暗黙の検索リストを使用する必要はありません。
In order to minimize potential vulnerabilities it is recommended that:
潜在的な脆弱性を最小限に抑えるために、次のことをお勧めします。
1. Hosts implementing the domain search option SHOULD also implement the searchlist recommendations of RFC1536, section 6.
1. ドメイン検索オプションを実装するホストは、RFC1536、セクション6の検索リストの推奨事項も実装する必要があります。
2. Where DNS parameters such as the domain searchlist or DNS servers have been manually configured, these parameters SHOULD NOT be overridden by DHCP.
2. ドメイン検索リストやDNSサーバーなどのDNSパラメーターが手動で構成されている場合、これらのパラメーターはDHCPによって無効にされるべきではありません。
3. A host SHOULD require the use of DHCP authentication (see section "Authentication of DHCP messages" in RFC 3315) prior to accepting a domain search option.
3. ホストは、ドメイン検索オプションを受け入れる前に、DHCP認証(RFC 3315の「DHCPメッセージの認証」を参照)を使用する必要があります。
IANA has assigned an option code to the DNS Recursive Name Server option (23) and to the Domain Search List option (24) from the DHCP option code space defined in section "IANA Considerations" of RFC 3315.
IANAは、RFC 3315のセクション「IANA考慮事項」で定義されているDHCPオプションコードスペースから、DNS再帰名サーバーオプション(23)およびドメイン検索リストオプション(24)にオプションコードを割り当てました。
This option was originally part of the DHCPv6 specification, written by Jim Bound, Mike Carney, Charlie Perkins, Ted Lemon, Bernie Volz and Ralph Droms.
このオプションはもともと、ジム・バウンド、マイク・カーニー、チャーリー・パーキンス、テッド・レモン、バーニー・ヴォルツ、ラルフ・ドロムによって書かれたDHCPV6仕様の一部でした。
The analysis of the potential attack through the domain search list is taken from the specification of the DHCPv4 Domain Search option, RFC3397 [8].
ドメイン検索リストを介した潜在的な攻撃の分析は、DHCPV4ドメイン検索オプションRFC3397 [8]の仕様から取得されます。
Thanks to Rob Austein, Alain Durand, Peter Koch, Tony Lindstrom and Pekka Savola for their contributions to this document.
この文書への貢献をしてくれたロブ・オーストイン、アラン・デュランド、ピーター・コッホ、トニー・リンドストローム、ペッカ・サヴォラに感謝します。
[1] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[1] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[2] Bound, J., Carney, M., Perkins, C., Lemon, T., Volz, B. and R. Droms (ed.), "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, May 2003.
[2] Bound、J.、Carney、M.、Perkins、C.、Lemon、T.、Volz、B。、およびR. Droms(ed。)、「IPv6(DHCPV6)の動的ホスト構成プロトコル」、RFC 3315、2003年5月。
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[3] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[4] Eastlake, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[4] EastLake、D。、「ドメイン名システムセキュリティ拡張機能」、RFC 2535、1999年3月。
[5] Kumar, A., Postel, J., Neuman, C., Danzig, P. and S. Miller, "Common DNS Implementation Errors and Suggested Fixes", RFC 1536, October 1993.
[5] Kumar、A.、Postel、J.、Neuman、C.、Danzig、P。、およびS. Miller、「一般的なDNS実装エラーと提案された修正」、RFC 1536、1993年10月。
[6] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[6] Mockapetris、P。、「ドメイン名 - 概念と施設」、STD 13、RFC 1034、1987年11月。
[7] Gavron, E., "A Security Problem and Proposed Correction With Widely Deployed DNS Software", RFC 1535, October 1993.
[7] Gavron、E。、「広く展開されているDNSソフトウェアによるセキュリティ問題と提案された修正」、RFC 1535、1993年10月。
[8] Aboba, B. and S. Cheshire, "Dynamic Host Configuration Protocol (DHCP) Domain Search Option", RFC 3397, November 2002.
[8] Aboba、B。およびS. Cheshire、「動的ホスト構成プロトコル(DHCP)ドメイン検索オプション」、RFC 3397、2002年11月。
Intellectual Property Statement
知的財産声明
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.
IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスがどの程度であるかについての程度に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を得ることができますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実践するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待します。情報をIETFエグゼクティブディレクターに宛ててください。
Author's Address
著者の連絡先
Ralph Droms, Editor Cisco Systems 1414 Massachusetts Ave. Boxboro, MA 01719 USA
Ralph Droms、編集者Cisco Systems 1414 Massachusetts Ave. Boxboro、MA 01719 USA
Phone: +1 978 936 1674
EMail: rdroms@cisco.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上記の限られた許可は永続的であり、インターネット社会やその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。