[要約] RFC 3833は、ドメインネームシステム(DNS)が直面する脅威とセキュリティ上の問題を分析することを目的としています。この文書は、DNSの設計と運用における脆弱性を明らかにし、攻撃者がこれらの弱点を利用する可能性のある方法を詳述しています。利用場面としては、DNSのセキュリティ強化策を検討する際や、システム設計者がDNS関連のセキュリティリスクを理解するために参照されます。関連するRFCには、DNSセキュリティ拡張(DNSSEC)に関するRFC 4033、RFC 4034、RFC 4035があり、これらはDNSのセキュリティ問題に対処するための技術的な解決策を提供しています。
Network Working Group D. Atkins Request for Comments: 3833 IHTFP Consulting Category: Informational R. Austein ISC August 2004
Threat Analysis of the Domain Name System (DNS)
ドメイン名システム(DNS)の脅威分析
Status of this Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2004).
著作権(c)The Internet Society(2004)。
Abstract
概要
Although the DNS Security Extensions (DNSSEC) have been under development for most of the last decade, the IETF has never written down the specific set of threats against which DNSSEC is designed to protect. Among other drawbacks, this cart-before-the-horse situation has made it difficult to determine whether DNSSEC meets its design goals, since its design goals are not well specified. This note attempts to document some of the known threats to the DNS, and, in doing so, attempts to measure to what extent (if any) DNSSEC is a useful tool in defending against these threats.
DNSセキュリティエクステンション(DNSSEC)は過去10年間のほとんどの間開発中でしたが、IETFは、DNSSECが保護するように設計されている特定の脅威セットを書き留めたことはありません。他の欠点の中でも、この馬の前の状況は、設計目標が十分に指定されていないため、DNSSECが設計目標を達成するかどうかを判断することを困難にしました。このメモは、DNSに対する既知の脅威のいくつかを文書化しようとし、そうすることで、DNSSECがこれらの脅威を防御する上でどの程度(もしあれば)測定することを試みます。
The earliest organized work on DNSSEC within the IETF was an open design team meeting organized by members of the DNS working group in November 1993 at the 28th IETF meeting in Houston. The broad outlines of DNSSEC as we know it today are already clear in Jim Galvin's summary of the results of that meeting [Galvin93]:
IETF内のDNSSECで最も初期の組織化された作品は、1993年11月にヒューストンで開催された第28回IETF会議でDNSワーキンググループのメンバーが主催するオープンデザインチーム会議でした。今日私たちが知っているDNSSECの幅広い概要は、その会議の結果に関するジム・ガルビンの要約ですでに明らかです[Galvin93]:
- While some participants in the meeting were interested in protecting against disclosure of DNS data to unauthorized parties, the design team made an explicit decision that "DNS data is `public'", and ruled all threats of data disclosure explicitly out of scope for DNSSEC.
- 会議の一部の参加者は、不正な当事者へのDNSデータの開示から保護することに関心がありましたが、設計チームは「DNSデータは「公開」である」という明示的な決定を下し、DNSSECのデータ開示のすべての脅威を明示的に除外しました。
- While some participants in the meeting were interested in authentication of DNS clients and servers as a basis for access control, this work was also ruled out of scope for DNSSEC per se.
- 会議の一部の参加者は、アクセス制御の基礎としてDNSクライアントとサーバーの認証に関心がありましたが、この作業はDNSSEC自体の範囲から除外されました。
- Backwards compatibility and co-existence with "insecure DNS" was listed as an explicit requirement.
- 「不安定なDNS」との後方互換性と共存が明示的な要件としてリストされました。
- The resulting list of desired security services was 1) data integrity, and 2) data origin authentication.
- 得られた目的のセキュリティサービスのリストは、1)データの整合性、および2)データ起源の認証でした。
- The design team noted that a digital signature mechanism would support the desired services.
- 設計チームは、デジタル署名メカニズムが望ましいサービスをサポートすることに注目しました。
While a number of detail decisions were yet to be made (and in some cases remade after implementation experience) over the subsequent decade, the basic model and design goals have remained fixed.
その後の10年にわたって、多くの詳細な決定はまだ行われていませんが(および実装経験の後にリメイクされる場合もあります)、基本モデルと設計の目標は固定されたままです。
Nowhere, however, does any of the DNSSEC work attempt to specify in any detail the sorts of attacks against which DNSSEC is intended to protect, or the reasons behind the list of desired security services that came out of the Houston meeting. For that, we have to go back to a paper originally written by Steve Bellovin in 1990 but not published until 1995, for reasons that Bellovin explained in the paper's epilogue [Bellovin95].
ただし、DNSSECの作業は、DNSSECが保護することを目的としている種類の攻撃や、ヒューストン会議から出てきた望ましいセキュリティサービスのリストの背後にある理由を詳細に指定しようとする場所ではありません。そのために、1990年にSteve Bellovinが最初に書いた論文に戻る必要がありますが、Bellovinが論文のエピローグ[Bellovin95]で説明した理由から、1995年まで公開されていません。
While it may seem a bit strange to publish the threat analysis a decade after starting work on the protocol designed to defend against it, that is, nevertheless, what this note attempts to do. Better late than never.
それに対して防御するように設計されたプロトコルの作業を開始してから10年後に脅威分析を公開することは少し奇妙に思えるかもしれませんが、それにもかかわらず、このメモがしようとすることです。決して遅くないよりも良い。
This note assumes that the reader is familiar with both the DNS and with DNSSEC, and does not attempt to provide a tutorial on either. The DNS documents most relevant to the subject of this note are: [RFC1034], [RFC1035], section 6.1 of [RFC1123], [RFC2181], [RFC2308], [RFC2671], [RFC2845], [RFC2930], [RFC3007], and [RFC2535].
このメモは、読者がDNSとDNSSECの両方に精通しており、どちらにもチュートリアルを提供しようとしないことを前提としています。このメモの主題に最も関連するDNS文書は、[RFC1034]、[RFC1035]、[RFC1123]、[RFC2181]、[RFC2308]、[RFC2671]、[RFC2845]、[RFC2845]、[RFC2930]、[RFC3007]です。]、および[RFC2535]。
For purposes of discussion, this note uses the term "DNSSEC" to refer to the core hierarchical public key and signature mechanism specified in the DNSSEC documents, and refers to TKEY and TSIG as separate mechanisms, even though channel security mechanisms such as TKEY and TSIG are also part of the larger problem of "securing DNS" and thus are often considered part of the overall set of "DNS security extensions". This is an arbitrary distinction that in part reflects the way in which the protocol has evolved (introduction of a putatively simpler channel security model for certain operations such as zone transfers and dynamic update requests), and perhaps should be changed in a future revision of this note.
議論の目的のために、このメモは「DNSSEC」という用語を使用して、DNSSECドキュメントで指定されたコア階層公開キーと署名メカニズムを指し、TkeyとTSIGを別々のメカニズムと呼びます。また、「DNSの保護」のより大きな問題の一部であるため、「DNSセキュリティ拡張機能」の全体的なセットの一部と見なされることがよくあります。これは、プロトコルが進化した方法を部分的に反映しているarbitrary意的な区別です(ゾーン転送やダイナミック更新リクエストなどの特定の操作のための推定的に単純なチャネルセキュリティモデルの導入)、おそらくこれの将来の改訂で変更する必要があります。注記。
There are several distinct classes of threats to the DNS, most of which are DNS-related instances of more general problems, but a few of which are specific to peculiarities of the DNS protocol.
DNSにはいくつかの異なるクラスの脅威があり、そのほとんどはより一般的な問題のDNS関連インスタンスですが、そのうちのいくつかはDNSプロトコルの特性に固有です。
Some of the simplest threats against DNS are various forms of packet interception: monkey-in-the-middle attacks, eavesdropping on requests combined with spoofed responses that beat the real response back to the resolver, and so forth. In any of these scenarios, the attacker can simply tell either party (usually the resolver) whatever it wants that party to believe. While packet interception attacks are far from unique to DNS, DNS's usual behavior of sending an entire query or response in a single unsigned, unencrypted UDP packet makes these attacks particularly easy for any bad guy with the ability to intercept packets on a shared or transit network.
DNSに対する最も単純な脅威のいくつかは、さまざまな形式のパケット傍受です。モンキーインザミドル攻撃、リクエストと組み合わせたリクエストに応じて盗聴して、リゾルバーへの実際の応答を打ち負かすなどです。これらのシナリオのいずれかで、攻撃者は、その当事者に信じたいことを何でも、どちらの当事者(通常はリゾルバー)を伝えることができます。パケットインターセプト攻撃はDNSとはほど遠いものとはほど遠いものの、DNSのクエリまたは応答全体を単一の署名しない、暗号化されていないUDPパケットで送信するという通常の動作により、これらの攻撃は、共有またはトランジットネットワークでパケットを傍受する機能を備えた悪人にとって特に簡単になります。。
To further complicate things, the DNS query the attacker intercepts may just be a means to an end for the attacker: the attacker might even choose to return the correct result in the answer section of a reply message while using other parts of the message to set the stage for something more complicated, for example, a name chaining attack (see section 2.3).
物事をさらに複雑にするために、DNSは攻撃者のインターセプトを照会するために攻撃者の終わりの手段かもしれません。攻撃者は、メッセージの他の部分を使用して設定する間、応答メッセージの回答セクションの正しい結果を返すことを選択することさえありますたとえば、より複雑なものの段階、たとえば、名前チェーン攻撃(セクション2.3を参照)。
While it certainly would be possible to sign DNS messages using a channel security mechanism such as TSIG or IPsec, or even to encrypt them using IPsec, this would not be a very good solution for interception attacks. First, this approach would impose a fairly high processing cost per DNS message, as well as a very high cost associated with establishing and maintaining bilateral trust relationships between all the parties that might be involved in resolving any particular query. For heavily used name servers (such as the servers for the root zone), this cost would almost certainly be prohibitively high. Even more important, however, is that the underlying trust model in such a design would be wrong, since at best it would only provide a hop-by-hop integrity check on DNS messages and would not provide any sort of end-to-end integrity check between the producer of DNS data (the zone administrator) and the consumer of DNS data (the application that triggered the query).
TSIGやIPSECなどのチャネルセキュリティメカニズムを使用してDNSメッセージに署名したり、IPSECを使用して暗号化することも確かに可能ですが、これは傍受攻撃のための非常に良いソリューションではありません。第一に、このアプローチは、DNSメッセージごとにかなり高い処理コストを課し、特定のクエリの解決に関与する可能性のあるすべての関係者間の両側の信頼関係の確立と維持に関連する非常に高いコストを課します。頻繁に使用される名前サーバー(ルートゾーンのサーバーなど)の場合、このコストはほぼ確実に高くなります。しかし、さらに重要なことは、このようなデザインの基礎となる信頼モデルが間違っていることです。せいぜいDNSメッセージにホップバイホップの整合性チェックを提供し、エンドツーエンドの種類を提供しないことです。DNSデータの生産者(ゾーン管理者)とDNSデータの消費者(クエリをトリガーしたアプリケーション)の間の整合性チェック。
By contrast, DNSSEC (when used properly) does provide an end-to-end data integrity check, and is thus a much better solution for this class of problems during basic DNS lookup operations.
対照的に、DNSSEC(適切に使用する場合)は、エンドツーエンドのデータ整合性チェックを提供するため、基本的なDNSルックアップ操作中のこのクラスの問題によりはるかに優れたソリューションです。
TSIG does have its place in corners of the DNS protocol where there's a specific trust relationship between a particular client and a particular server, such as zone transfer, dynamic update, or a resolver (stub or otherwise) that is not going to check all the DNSSEC signatures itself.
TSIGは、特定のクライアントと特定のサーバーの間に特定の信頼関係があるDNSプロトコルのコーナーにその場所を持っています。DNSSEC署名自体。
Note that DNSSEC does not provide any protection against modification of the DNS message header, so any properly paranoid resolver must:
DNSSECは、DNSメッセージヘッダーの変更に対する保護を提供しないため、適切に妄想的なリゾルバーは次のことであることに注意してください。
- Perform all of the DNSSEC signature checking on its own,
- 独自にDNSSEC署名チェックをすべて実行します。
- Use TSIG (or some equivalent mechanism) to ensure the integrity of its communication with whatever name servers it chooses to trust, or
- TSIG(または同等のメカニズム)を使用して、信頼することを選択した名前サーバーとの通信の整合性を確保するか、
- Resign itself to the possibility of being attacked via packet interception (and via other techniques discussed below).
- パケットインターセプトを介して(および以下で説明する他のテクニックを介して)攻撃される可能性に辞任します。
Since DNS is for the most part used over UDP/IP, it is relatively easy for an attacker to generate packets which will match the transport protocol parameters. The ID field in the DNS header is only a 16-bit field and the server UDP port associated with DNS is a well-known value, so there are only 2**32 possible combinations of ID and client UDP port for a given client and server. This is not a particularly large range, and is not sufficient to protect against a brute force search; furthermore, in practice both the client UDP port and the ID can often be predicted from previous traffic, and it is not uncommon for the client port to be a known fixed value as well (due to firewalls or other restrictions), thus frequently reducing the search space to a range smaller than 2**16.
DNSはUDP/IPで使用されているため、攻撃者がトランスポートプロトコルパラメーターと一致するパケットを生成するのは比較的簡単です。DNSヘッダーのIDフィールドは16ビットフィールドのみであり、DNSに関連付けられているサーバーUDPポートはよく知られているため、特定のクライアントのIDとクライアントUDPポートの組み合わせが2 ** 32しかありません。サーバ。これは特に大きな範囲ではなく、ブルートフォース検索から保護するのに十分ではありません。さらに、実際には、クライアントUDPポートとIDの両方が以前のトラフィックから予測されることがよくあり、クライアントポートが既知の固定値であることは珍しくありません(ファイアウォールまたはその他の制限により)。2 ** 16未満の範囲までスペースを検索します。
By itself, ID guessing is not enough to allow an attacker to inject bogus data, but combined with knowledge (or guesses) about QNAMEs and QTYPEs for which a resolver might be querying, this leaves the resolver only weakly defended against injection of bogus responses.
それ自体では、ID推測では、攻撃者が偽のデータを注入できるようにするには十分ではありませんが、リゾルバーがクエリする可能性のあるQNAMEとQTYPEに関する知識(または推測)と組み合わせることで、リゾルバーは偽の応答の注入に対して弱く擁護されます。
Since this attack relies on predicting a resolver's behavior, it's most likely to be successful when the victim is in a known state, whether because the victim rebooted recently, or because the victim's behavior has been influenced by some other action by the attacker, or because the victim is responding (in a predictable way) to some third party action known to the attacker.
この攻撃はリゾルバーの行動の予測に依存しているため、被害者が最近再起動したため、または被害者の行動が攻撃者による他の行動によって影響を受けたため、または既知の状態にある場合、または既知の状態にある場合、または成功する可能性が最も高くなります。被害者は(予測可能な方法で)攻撃者に知られているサードパーティの行動に(予測可能な方法で)応答しています。
This attack is both more and less difficult for the attacker than the simple interception attack described above: more difficult, because the attack only works when the attacker guesses correctly; less difficult, because the attacker doesn't need to be on a transit or shared network.
この攻撃は、攻撃者が正しく推測した場合にのみ機能するため、上記の単純な傍受攻撃よりも攻撃者にとって困難ではありません。攻撃者はトランジットまたは共有ネットワークを使用する必要がないため、それほど難しくありません。
In most other respects, this attack is similar to a packet interception attack. A resolver that checks DNSSEC signatures will be able to detect the forged response; resolvers that do not perform DNSSEC signature checking themselves should use TSIG or some equivalent mechanism to ensure the integrity of their communication with a recursive name server that does perform DNSSEC signature checking.
他のほとんどの点で、この攻撃はパケット傍受攻撃に似ています。DNSSECの署名をチェックするリゾルバーは、偽造された応答を検出できます。DNSSECの署名チェックを実行しないリゾルバーは、TSIGまたは同等のメカニズムを使用して、DNSSECの署名チェックを実行する再帰名サーバーとの通信の整合性を確保する必要があります。
Perhaps the most interesting class of DNS-specific threats are the name chaining attacks. These are a subset of a larger class of name-based attacks, sometimes called "cache poisoning" attacks. Most name-based attacks can be partially mitigated by the long-standing defense of checking RRs in response messages for relevance to the original query, but such defenses do not catch name chaining attacks. There are several variations on the basic attack, but what they all have in common is that they all involve DNS RRs whose RDATA portion (right hand side) includes a DNS name (or, in a few cases, something that is not a DNS name but which directly maps to a DNS name). Any such RR is, at least in principle, a hook that lets an attacker feed bad data into a victim's cache, thus potentially subverting subsequent decisions based on DNS names.
おそらく、DNS固有の脅威の最も興味深いクラスは、名前チェーン攻撃です。これらは、「キャッシュ中毒」攻撃と呼ばれることもある、名前ベースの攻撃の大規模なクラスのサブセットです。ほとんどの名前ベースの攻撃は、元のクエリに関連する応答メッセージでRRSをチェックするという長年の防御によって部分的に軽減できますが、そのような防御は名前チェーン攻撃をキャッチしません。基本攻撃にはいくつかのバリエーションがありますが、それらがすべて共通しているのは、rdata部分(右側)がDNS名(または、いくつかの場合、DNS名ではないものが含まれるDNS RRSを含むことです。ただし、DNS名に直接マップします)。そのようなRRは、少なくとも原則として、攻撃者が悪いデータを被害者のキャッシュに送り込むことができるフックであり、したがって、DNS名に基づいてその後の決定を破壊する可能性があります。
The worst examples in this class of RRs are CNAME, NS, and DNAME RRs because they can redirect a victim's query to a location of the attacker's choosing. RRs like MX and SRV are somewhat less dangerous, but in principle they can also be used to trigger further lookups at a location of the attacker's choosing. Address RR types such as A or AAAA don't have DNS names in their RDATA, but since the IN-ADDR.ARPA and IP6.ARPA trees are indexed using a DNS encoding of IPv4 and IPv6 addresses, these record types can also be used in a name chaining attack.
このクラスのRRの最悪の例は、攻撃者の選択の場所に被害者の質問をリダイレクトできるため、CNAME、NS、およびDNAME RRSです。MXやSRVなどのRRはやや危険ではありませんが、原則として、攻撃者の選択の場所をさらに検索するために使用することもできます。AやAAAAなどのアドレスRRタイプはRDATAにDNS名を持っていませんが、In-Addr.ArpaおよびIP6.ARPAツリーはIPv4およびIPv6アドレスのDNSエンコードを使用してインデックスが付けられているため、これらのレコードタイプも使用できます。名前チェーン攻撃で。
The general form of a name chaining attack is something like this:
名前チェーン攻撃の一般的な形式は次のようなものです。
- Victim issues a query, perhaps at the instigation of the attacker or some third party; in some cases the query itself may be unrelated to the name under attack (that is, the attacker is just using this query as a means to inject false information about some other name).
- 被害者は、おそらく攻撃者または一部の第三者の扇動で質問を発行します。場合によっては、クエリ自体が攻撃下の名前とは無関係になる可能性があります(つまり、攻撃者は、他の名前に関する誤った情報を注入するための手段としてこのクエリを使用しているだけです)。
- Attacker injects response, whether via packet interception, query guessing, or by being a legitimate name server that's involved at some point in the process of answering the query that the victim issued.
- 攻撃者は、パケットインターセプト、クエリ推測、または被害者が発行したクエリに答えるプロセスのある時点で関与する正当な名前サーバーであるかどうかにかかわらず、応答を注入します。
- Attacker's response includes one or more RRs with DNS names in their RDATA; depending on which particular form this attack takes, the object may be to inject false data associated with those names into the victim's cache via the Additional section of this response, or may be to redirect the next stage of the query to a server of the attacker's choosing (in order to inject more complex lies into the victim's cache than will fit easily into a single response, or in order to place the lies in the Authority or Answer section of a response where they will have a better chance of sneaking past a resolver's defenses).
- 攻撃者の応答には、RDATAにDNS名を持つ1つ以上のRRSが含まれます。この攻撃がどの特定のフォームにとるかによって、オブジェクトは、この応答の追加セクションを介して被害者のキャッシュにそれらの名前に関連付けられた誤ったデータを挿入するか、攻撃者のサーバーにクエリの次の段階をリダイレクトすることである可能性があります選択(より複雑な嘘を犠牲者のキャッシュに注入するために、単一の応答に簡単に適合するよりも、または嘘をつくことのある応答または回答セクションに配置するためには防御)。
Any attacker who can insert resource records into a victim's cache can almost certainly do some kind of damage, so there are cache poisoning attacks which are not name chaining attacks in the sense discussed here. However, in the case of name chaining attacks, the cause and effect relationship between the initial attack and the eventual result may be significantly more complex than in the other forms of cache poisoning, so name chaining attacks merit special attention.
リソースレコードを被害者のキャッシュに挿入できる攻撃者は、ほぼ確実に何らかの損害を与える可能性があるため、ここで説明する意味で名前を付けて攻撃を攻撃しないキャッシュ中毒攻撃があります。ただし、名前チェーン攻撃の場合、初期攻撃と最終的な結果との原因と結果の関係は、他の形態のキャッシュ中毒よりもはるかに複雑である可能性があるため、名前チェーン攻撃は特別な注意に値します。
The common thread in all of the name chaining attacks is that response messages allow the attacker to introduce arbitrary DNS names of the attacker's choosing and provide further information that the attacker claims is associated with those names; unless the victim has better knowledge of the data associated with those names, the victim is going to have a hard time defending against this class of attacks.
すべての名前チェーン攻撃の一般的なスレッドは、応答メッセージにより、攻撃者が攻撃者の選択の任意のDNS名を導入し、攻撃者がそれらの名前に関連付けられていると主張するさらなる情報を提供できることです。被害者がそれらの名前に関連付けられたデータの知識をよりよく持っていない限り、被害者はこのクラスの攻撃に対して防御するのに苦労するでしょう。
This class of attack is particularly insidious given that it's quite easy for an attacker to provoke a victim into querying for a particular name of the attacker's choosing, for example, by embedding a link to a 1x1-pixel "web bug" graphic in a piece of Text/HTML mail to the victim. If the victim's mail reading program attempts to follow such a link, the result will be a DNS query for a name chosen by the attacker.
このクラスの攻撃は、攻撃者が攻撃者が選択した特定の名前を採用することを非常に簡単であることを考えると、特に陰湿です。被害者へのテキスト/htmlメールの。被害者のメールリーディングプログラムがそのようなリンクに従うことを試みた場合、結果は攻撃者が選択した名前のDNSクエリになります。
DNSSEC should provide a good defense against most (all?) variations on this class of attack. By checking signatures, a resolver can determine whether the data associated with a name really was inserted by the delegated authority for that portion of the DNS name space. More precisely, a resolver can determine whether the entity that injected the data had access to an allegedly secret key whose corresponding public key appears at an expected location in the DNS name space with an expected chain of parental signatures that start with a public key of which the resolver has prior knowledge.
DNSSECは、このクラスの攻撃のほとんどの(すべて?)バリエーションに対して優れた防御を提供する必要があります。署名をチェックすることにより、リゾルバーは、名前に関連付けられたデータが、DNS名スペースのその部分の委任された当局によって実際に挿入されたかどうかを判断できます。より正確には、リゾルバーは、データを注入したエンティティが、対応する公開キーがDNS名空間の予想される場所に表示される秘密キーにアクセスできるかどうかを判断できます。リゾルバーには事前知識があります。
DNSSEC signatures do not cover glue records, so there's still a possibility of a name chaining attack involving glue, but with DNSSEC it is possible to detect the attack by temporarily accepting the glue in order to fetch the signed authoritative version of the same data, then checking the signatures on the authoritative version.
DNSSECの署名は接着剤の記録をカバーしていないため、接着剤を含む名前チェーン攻撃の可能性がまだありますが、DNSSECでは、同じデータの署名された権威あるバージョンを取得するために一時的に接着剤を受け入れることで攻撃を検出することができます。権威あるバージョンの署名を確認します。
Another variation on the packet interception attack is the trusted server that turns out not to be so trustworthy, whether by accident or by intent. Many client machines are only configured with stub resolvers, and use trusted servers to perform all of their DNS queries on their behalf. In many cases the trusted server is furnished by the user's ISP and advertised to the client via DHCP or PPP options. Besides accidental betrayal of this trust relationship (via server bugs, successful server break-ins, etc), the server itself may be configured to give back answers that are not what the user would expect, whether in an honest attempt to help the user or to promote some other goal such as furthering a business partnership between the ISP and some third party.
パケットインターセプト攻撃のもう1つのバリエーションは、偶然であろうと意図によるものであろうと、それほど信頼できないことが判明した信頼できるサーバーです。多くのクライアントマシンは、スタブリゾルバーでのみ構成されており、信頼できるサーバーを使用して、すべてのDNSクエリを代表して実行します。多くの場合、信頼できるサーバーはユーザーのISPによって提供され、DHCPまたはPPPオプションを介してクライアントに宣伝されます。この信頼関係の偶発的な裏切り(サーバーバグ、サーバーの侵入などを成功させるなど)に加えて、サーバー自体は、ユーザーが期待していないものではない回答を返すように構成されている場合があります。ISPと一部のサードパーティの間のビジネスパートナーシップを促進するなど、他の目標を促進する。
This problem is particularly acute for frequent travelers who carry their own equipment and expect it to work in much the same way wherever they go. Such travelers need trustworthy DNS service without regard to who operates the network into which their equipment is currently plugged or what brand of middle boxes the local infrastructure might use.
この問題は、自分の機器を運ぶ頻繁な旅行者にとって特に深刻であり、どこに行ってもほぼ同じ方法で機能することを期待しています。このような旅行者は、機器が現在プラグされているネットワークや、ローカルインフラストラクチャが使用する可能性のある中間ボックスのブランドを誰が操作するかに関係なく、信頼できるDNSサービスを必要とします。
While the obvious solution to this problem would be for the client to choose a more trustworthy server, in practice this may not be an option for the client. In many network environments a client machine has only a limited set of recursive name servers from which to choose, and none of them may be particularly trustworthy. In extreme cases, port filtering or other forms of packet interception may prevent the client host from being able to run an iterative resolver even if the owner of the client machine is willing and able to do so. Thus, while the initial source of this problem is not a DNS protocol attack per se, this sort of betrayal is a threat to DNS clients, and simply switching to a different recursive name server is not an adequate defense.
この問題の明らかな解決策は、クライアントがより信頼できるサーバーを選択することですが、実際には、これはクライアントにとって選択肢ではないかもしれません。多くのネットワーク環境では、クライアントマシンには、選択できる再帰名サーバーの限られたセットしかありません。極端な場合、ポートフィルタリングまたは他の形式のパケットインターセプトにより、クライアントマシンの所有者が喜んで実行できる場合でも、クライアントホストが反復リゾルバーを実行できなくなる可能性があります。したがって、この問題の最初のソースはDNSプロトコル攻撃自体ではありませんが、この種の裏切りはDNSクライアントにとって脅威であり、単に別の再帰名サーバーに切り替えることは適切な防御ではありません。
Viewed strictly from the DNS protocol standpoint, the only difference between this sort of betrayal and a packet interception attack is that in this case the client has voluntarily sent its request to the attacker. The defense against this is the same as with a packet interception attack: the resolver must either check DNSSEC signatures itself or use TSIG (or equivalent) to authenticate the server that it has chosen to trust. Note that use of TSIG does not by itself guarantee that a name server is at all trustworthy: all TSIG can do is help a resolver protect its communication with a name server that it has already decided to trust for other reasons. Protecting a resolver's communication with a server that's giving out bogus answers is not particularly useful.
DNSプロトコルの観点から厳密に見ていると、この種の裏切りとパケット傍受攻撃の唯一の違いは、この場合、クライアントが自発的に攻撃者に要求を送信したことです。これに対する防御は、パケットインターセプト攻撃の場合と同じです。リゾルバーは、DNSSEC署名自体をチェックするか、TSIG(または同等)を使用して、信頼することを選択したサーバーを認証する必要があります。TSIGの使用は、名前サーバーがまったく信頼できることを保証するものではないことに注意してください。TSIGができることは、他の理由ですでに信頼することを決定した名前サーバーとの通信をリゾルバーが保護するのに役立ちます。偽の回答を提供しているサーバーとのリゾルバーの通信を保護することは、特に役に立ちません。
Also note that if the stub resolver does not trust the name server that is doing work on its behalf and wants to check the DNSSEC signatures itself, the resolver really does need to have independent knowledge of the DNSSEC public key(s) it needs in order to perform the check. Usually the public key for the root zone is enough, but in some cases knowledge of additional keys may also be appropriate.
また、Stub Resolverがそのために作業を行っている名前サーバーを信頼しておらず、DNSSECの署名自体をチェックしたい場合、Resolverは本当に必要なDNSSECの公開鍵について独立した知識を持っている必要があることに注意してください。チェックを実行します。通常、ルートゾーンの公開キーで十分ですが、場合によっては追加のキーの知識も適切かもしれません。
It is difficult to escape the conclusion that a properly paranoid resolver must always perform its own signature checking, and that this rule even applies to stub resolvers.
適切に妄想的なリゾルバーは常に独自の署名チェックを実行しなければならないという結論から逃れることは困難であり、このルールはスタブリゾルバーにも適用されるということです。
As with any network service (or, indeed, almost any service of any kind in any domain of discourse), DNS is vulnerable to denial of service attacks. DNSSEC does not help this, and may in fact make the problem worse for resolvers that check signatures, since checking signatures both increases the processing cost per DNS message and in some cases can also increase the number of messages needed to answer a query. TSIG (and similar mechanisms) have equivalent problems.
任意のネットワークサービス(または、実際には、談話のドメインにあるあらゆる種類のほとんどすべてのサービス)と同様に、DNSはサービス拒否攻撃に対して脆弱です。DNSSECはこれを助けません。実際、署名をチェックするリゾルバーの問題を悪化させる可能性があります。なぜなら、署名をチェックするとDNSメッセージごとの処理コストが増加し、場合によってはクエリに答えるために必要なメッセージの数も増加する可能性があるためです。TSIG(および同様のメカニズム)には、同等の問題があります。
DNS servers are also at risk of being used as denial of service amplifiers, since DNS response packets tend to be significantly longer than DNS query packets. Unsurprisingly, DNSSEC doesn't help here either.
DNS応答パケットはDNSクエリパケットよりも大幅に長くなる傾向があるため、DNSサーバーはサービスアンプの拒否として使用されるリスクもあります。当然のことながら、DNSSECもここでは役立ちません。
Much discussion has taken place over the question of authenticated denial of domain names. The particular question is whether there is a requirement for authenticating the non-existence of a name. The issue is whether the resolver should be able to detect when an attacker removes RRs from a response.
ドメイン名の認証された拒否の問題について多くの議論が行われました。特定の質問は、名前の存在を認証するための要件があるかどうかです。問題は、攻撃者が応答からRRを削除するときにリゾルバーが検出できるかどうかです。
General paranoia aside, the existence of RR types whose absence causes an action other than immediate failure (such as missing MX and SRV RRs, which fail over to A RRs) constitutes a real threat. Arguably, in some cases, even the absence of an RR might be considered a problem. The question remains: how serious is this threat? Clearly the threat does exist; general paranoia says that some day it'll be on the front page of some major newspaper, even if we cannot conceive of a plausible scenario involving this attack today. This implies that some mitigation of this risk is required.
一般的なパラノイアはさておき、即時障害以外のアクション(RRSに失敗するMXやSRV RRSなど)以外のアクションを引き起こすRRタイプの存在は、実際の脅威を構成します。おそらく、場合によっては、RRがないことでさえ問題と見なされる可能性があります。問題は残っています:この脅威はどれほど深刻ですか?明らかに脅威は存在します。パラノイア将軍は、今日のこの攻撃に関係するもっともらしいシナリオを想像できない場合でも、いつかそれはいくつかの主要な新聞のトップページにあると言います。これは、このリスクの緩和が必要であることを意味します。
Note that it's necessary to prove the non-existence of applicable wildcard RRs as part of the authenticated denial mechanism, and that, in a zone that is more than one label deep, such a proof may require proving the non-existence of multiple discrete sets of wildcard RRs.
認証された拒否メカニズムの一部として適用可能なワイルドカードRRSの存在を証明する必要があること、および複数のラベルディープのゾーンでは、そのような証拠は複数の個別のセットの非存在を証明する必要がある場合があることに注意してください。ワイルドカードRRSの。
DNSSEC does include mechanisms which make it possible to determine which authoritative names exist in a zone, and which authoritative resource record types exist at those names. The DNSSEC protections do not cover non-authoritative data such as glue records.
DNSSECには、ゾーンに存在する権威ある名前、およびそれらの名前にどの権威あるリソースレコードタイプが存在するかを決定することを可能にするメカニズムが含まれています。DNSSEC保護は、接着剤レコードなどの非承認データをカバーしていません。
Much discussion has taken place over whether and how to provide data integrity and data origin authentication for "wildcard" DNS names. Conceptually, RRs with wildcard names are patterns for synthesizing RRs on the fly according to the matching rules described in section 4.3.2 of RFC 1034. While the rules that control the behavior of wildcard names have a few quirks that can make them a trap for the unwary zone administrator, it's clear that a number of sites make heavy use of wildcard RRs, particularly wildcard MX RRs.
「WildCard」DNS名のデータの整合性とデータ起源の認証を提供するかどうか、およびどのように提供するかについて多くの議論が行われました。概念的には、ワイルドカード名を持つRRSは、RFC 1034のセクション4.3.2で説明されている一致するルールに従って、その場でRRを合成するためのパターンです。不注意なゾーン管理者は、多くのサイトがワイルドカードRR、特にワイルドカードMX RRSを豊富に使用していることは明らかです。
In order to provide the desired services for wildcard RRs, we need to do two things:
WildCard RRSに望ましいサービスを提供するには、2つのことを行う必要があります。
- We need a way to attest to the existence of the wildcard RR itself (that is, we need to show that the synthesis rule exists), and
- ワイルドカードRR自体の存在を証明する方法が必要です(つまり、合成ルールが存在することを示す必要があります)。
- We need a way to attest to the non-existence of any RRs which, if they existed, would make the wildcard RR irrelevant according to the synthesis rules that govern the way in which wildcard RRs are used (that is, we need to show that the synthesis rule is applicable).
- 存在した場合、ワイルドカードRRの使用方法を管理する合成ルールに従ってワイルドカードRRを無関係にするRRの存在を証明する方法が必要です(つまり、私たちはそれを示す必要があります。合成ルールが適用されます)。
Note that this makes the wildcard mechanisms dependent upon the authenticated denial mechanism described in the previous section.
これにより、前のセクションで説明されている認証された拒否メカニズムに依存するワイルドカードメカニズムがあることに注意してください。
DNSSEC includes mechanisms along the lines described above, which make it possible for a resolver to verify that a name server applied the wildcard expansion rules correctly when generating an answer.
DNSSECには、上記の行に沿ったメカニズムが含まれており、解像度が名前サーバーが回答を生成するときにワイルドカード拡張ルールを正しく適用したことを確認することを可能にします。
DNSSEC has some problems of its own:
DNSSECには、それ自体の問題がいくつかあります。
- DNSSEC is complex to implement and includes some nasty edge cases at the zone cuts that require very careful coding. Testbed experience to date suggests that trivial zone configuration errors or expired keys can cause serious problems for a DNSSEC-aware resolver, and that the current protocol's error reporting capabilities may leave something to be desired.
- DNSSECは実装するのが複雑であり、非常に慎重なコーディングを必要とするゾーンカットにいくつかの厄介なエッジケースが含まれています。これまでのテストベッドエクスペリエンスは、些細なゾーン構成エラーまたは期限切れのキーがDNSSECを有するリゾルバーに深刻な問題を引き起こす可能性があり、現在のプロトコルのエラー報告機能が必要なものを残す可能性があることを示唆しています。
- DNSSEC significantly increases the size of DNS response packets; among other issues, this makes DNSSEC-aware DNS servers even more effective as denial of service amplifiers.
- DNSSECは、DNS応答パケットのサイズを大幅に増加させます。他の問題の中でも、これにより、DNSSECを有するDNSサーバーがサービスアンプの拒否としてさらに効果的になります。
- DNSSEC answer validation increases the resolver's work load, since a DNSSEC-aware resolver will need to perform signature validation and in some cases will also need to issue further queries. This increased workload will also increase the time it takes to get an answer back to the original DNS client, which is likely to trigger both timeouts and re-queries in some cases. Arguably, many current DNS clients are already too impatient even before taking the further delays that DNSSEC will impose into account, but that topic is beyond the scope of this note.
- DNSSECの回答検証は、DNSSECを有するリゾルバーが署名検証を実行する必要があり、場合によってはさらにクエリを発行する必要があるため、Resolverの作業負荷が増加します。このワークロードの増加は、元のDNSクライアントに回答を戻すのにかかる時間を増やします。おそらく、DNSSECが課すさらなる遅延を採用する前であっても、多くの現在のDNSクライアントはすでに焦りすぎていますが、そのトピックはこのメモの範囲を超えています。
- Like DNS itself, DNSSEC's trust model is almost totally hierarchical. While DNSSEC does allow resolvers to have special additional knowledge of public keys beyond those for the root, in the general case the root key is the one that matters. Thus any compromise in any of the zones between the root and a particular target name can damage DNSSEC's ability to protect the integrity of data owned by that target name. This is not a change, since insecure DNS has the same model.
- DNS自体と同様に、DNSSECの信頼モデルはほぼ完全に階層的です。DNSSECでは、リゾルバーがルートのものを超えたパブリックキーに関する特別な追加の知識を持つことができますが、一般的な場合、ルートキーは重要なものです。したがって、ルート名と特定のターゲット名の間のゾーンのいずれかの妥協は、そのターゲット名が所有するデータの完全性を保護するDNSSECの能力を損傷する可能性があります。不安定なDNSには同じモデルがあるため、これは変更ではありません。
- Key rollover at the root is really hard. Work to date has not even come close to adequately specifying how the root key rolls over, or even how it's configured in the first place.
- ルートでのキーロールオーバーは本当に難しいです。これまでの作業は、ルートキーがどのようにロールオーバーするか、またはそれがそもそもどのように構成されているかを適切に指定することにさえ近づいていません。
- DNSSEC creates a requirement of loose time synchronization between the validating resolver and the entity creating the DNSSEC signatures. Prior to DNSSEC, all time-related actions in DNS could be performed by a machine that only knew about "elapsed" or "relative" time. Because the validity period of a DNSSEC signature is based on "absolute" time, a validating resolver must have the same concept of absolute time as the zone signer in order to determine whether the signature is within its validity period or has expired. An attacker that can change a resolver's opinion of the current absolute time can fool the resolver using expired signatures. An attacker that can change the zone signer's opinion of the current absolute time can fool the zone signer into generating signatures whose validity period does not match what the signer intended.
- DNSSECは、検証済みのリゾルバーとDNSSEC署名を作成するエンティティとの間に、ゆるい時間同期の要件を作成します。DNSSECの前に、DNSのすべての時間関連アクションは、「経過」または「相対的な」時間のみを知っていたマシンによって実行できます。DNSSEC署名の有効期間は「絶対」時間に基づいているため、検証済みのリゾルバーは、署名がその有効期間内にあるか、有効期限が切れているかを判断するために、ゾーン署名者と同じ概念の概念を持つ必要があります。現在の絶対時間に関するリゾルバーの意見を変更できる攻撃者は、期限切れの署名を使用してリゾルバーを欺くことができます。現在の絶対時間に関するゾーン署名者の意見を変更できる攻撃者は、ゾーン署名者をだまして、署名者が意図したものと有効期間が一致しない署名を生成することができます。
- The possible existence of wildcard RRs in a zone complicates the authenticated denial mechanism considerably. For most of the decade that DNSSEC has been under development these issues were poorly understood. At various times there have been questions as to whether the authenticated denial mechanism is completely airtight and whether it would be worthwhile to optimize the authenticated denial mechanism for the common case in which wildcards are not present in a zone. However, the main problem is just the inherent complexity of the wildcard mechanism itself. This complexity probably makes the code for generating and checking authenticated denial attestations somewhat fragile, but since the alternative of giving up wildcards entirely is not practical due to widespread use, we are going to have to live with wildcards. The question just becomes one of whether or not the proposed optimizations would make DNSSEC's mechanisms more or less fragile.
- ゾーン内のワイルドカードRRの存在の可能性は、認証された拒否メカニズムを大幅に複雑にします。DNSSECが開発中である10年のほとんどにわたり、これらの問題はあまり理解されていませんでした。さまざまな時期に、認証された拒否メカニズムが完全に気密であるかどうか、およびゾーン内にワイルドカードが存在しない一般的なケースの認証された拒否メカニズムを最適化する価値があるかどうかについて疑問がありました。ただし、主な問題は、ワイルドカードメカニズム自体の固有の複雑さにすぎません。この複雑さにより、おそらく認証された拒否の証明を生成してチェックするためのコードがやや脆弱になりますが、ワイルドカードを完全に放棄する代替案は、広範囲に使用されるため実用的ではないため、ワイルドカードと一緒に暮らす必要があります。この問題は、提案された最適化がDNSSECのメカニズムを多かれ少なかれ脆弱にするかどうかの1つになります。
- Even with DNSSEC, the class of attacks discussed in section 2.4 is not easy to defeat. In order for DNSSEC to be effective in this case, it must be possible to configure the resolver to expect certain categories of DNS records to be signed. This may require manual configuration of the resolver, especially during the initial DNSSEC rollout period when the resolver cannot reasonably expect the root and TLD zones to be signed.
- DNSSECを使用しても、セクション2.4で説明されている攻撃のクラスを敗北させるのは簡単ではありません。この場合、DNSSECが効果的であるためには、特定のカテゴリのDNSレコードが署名されるようにリゾルバーを構成することが可能である必要があります。これには、特にリゾルバーがルートゾーンとTLDゾーンの署名を合理的に期待できない最初のDNSSECロールアウト期間中に、リゾルバーの手動構成が必要になる場合があります。
This section lists a few subjects not covered above which probably need additional study, additional mechanisms, or both.
このセクションには、上記のカバーされていないいくつかの被験者が、おそらく追加の研究、追加のメカニズム、またはその両方が必要です。
The above discussion has concentrated exclusively on attacks within the boundaries of the DNS protocol itself, since those are (some of) the problems against which DNSSEC was intended to protect. There are, however, other potential problems at the boundaries where DNS interacts with other protocols.
上記の議論は、DNSプロトコル自体の境界内での攻撃のみに集中しています。これは、DNSSECが保護することを目的とした問題であるためです。ただし、DNSが他のプロトコルと相互作用する境界には、他の潜在的な問題があります。
DNS dynamic update opens a number of potential problems when combined with DNSSEC. Dynamic update of a non-secure zone can use TSIG to authenticate the updating client to the server. While TSIG does not scale very well (it requires manual configuration of shared keys between the DNS name server and each TSIG client), it works well in a limited or closed environment such as a DHCP server updating a local DNS name server.
DNSダイナミックアップデートは、DNSSECと組み合わせると、多くの潜在的な問題が開きます。非セキュアゾーンの動的更新では、TSIGを使用して、更新クライアントをサーバーに認証できます。TSIGはあまりうまくスケーリングされませんが(DNS名サーバーと各TSIGクライアントの間で共有キーの手動構成が必要です)が、ローカルDNS名サーバーを更新するDHCPサーバーなどの限られたまたは閉じた環境ではうまく機能します。
Major issues arise when trying to use dynamic update on a secure zone. TSIG can similarly be used in a limited fashion to authenticate the client to the server, but TSIG only protects DNS transactions, not the actual data, and the TSIG is not inserted into the DNS zone, so resolvers cannot use the TSIG as a way of verifying the changes to the zone. This means that either:
安全なゾーンで動的更新を使用しようとすると、主要な問題が発生します。TSIGも同様に、クライアントをサーバーに認証するために限られた方法で使用できますが、TSIGは実際のデータではなくDNSトランザクションのみを保護し、TSIGはDNSゾーンに挿入されていないため、リゾルバーはTSIGを使用することはできません。ゾーンの変更の確認。これは、次のことを意味します
a) The updating client must have access to a zone-signing key in order to sign the update before sending it to the server, or
a) アップデートをサーバーに送信する前に、更新に署名するために、更新クライアントはゾーン署名キーにアクセスする必要があります。
b) The DNS name server must have access to an online zone-signing key in order to sign the update.
b) DNS Name Serverは、更新に署名するためにオンラインゾーン署名キーにアクセスできる必要があります。
In either case, a zone-signing key must be available to create signed RRsets to place in the updated zone. The fact that this key must be online (or at least available) is a potential security risk.
いずれの場合も、ゾーン署名キーを使用できるようにして、更新されたゾーンに配置する署名付きRRSetsを作成する必要があります。このキーがオンライン(または少なくとも利用可能)でなければならないという事実は、潜在的なセキュリティリスクです。
Dynamic update also requires an update to the SERIAL field of the zone's SOA RR. In theory, this could also be handled via either of the above options, but in practice (a) would almost certainly be extremely fragile, so (b) is the only workable mechanism.
ダイナミックアップデートでは、ゾーンのSOA RRのシリアルフィールドへの更新も必要です。理論的には、これは上記のオプションのいずれかを介して処理することもできますが、実際には(a)はほぼ間違いなく非常に脆弱であるため、(b)唯一の実行可能なメカニズムです。
There are other threats in terms of describing the policy of who can make what changes to which RRsets in the zone. The current access control scheme in Secure Dynamic Update is fairly limited. There is no way to give fine-grained access to updating DNS zone information to multiple entities, each of whom may require different kinds of access. For example, Alice may need to be able to add new nodes to the zone or change existing nodes, but not remove them; Bob may need to be able to remove zones but not add them; Carol may need to be able to add, remove, or modify nodes, but only A records.
ゾーン内のどのrrsetsにどのような変更を加えることができるかというポリシーを説明するという点で、他の脅威があります。安全な動的アップデートの現在のアクセス制御スキームはかなり限られています。DNSゾーン情報を複数のエンティティに更新することに細粒のアクセスを提供する方法はありません。たとえば、アリスはゾーンに新しいノードを追加したり、既存のノードを変更したりする必要がある場合がありますが、それらを削除する必要はありません。ボブはゾーンを削除できる必要があるかもしれませんが、それらを追加しないでください。キャロルは、ノードを追加、削除、または変更できる必要がある場合がありますが、レコードのみが必要です。
Scaling properties of the key management problem here are a particular concern that needs more study.
主要な管理問題のスケーリングプロパティここでの特別な懸念は、より多くの研究が必要です。
As discussed in previous sections, DNSSEC per se attempts to provide data integrity and data origin authentication services on top of the normal DNS query protocol. Using the terminology discussed in [RFC3552], DNSSEC provides "object security" for the normal DNS query protocol. For purposes of replicating entire DNS zones, however, DNSSEC does not provide object security, because zones include unsigned NS RRs and glue at delegation points. Use of TSIG to protect zone transfer (AXFR or IXFR) operations provides "channel security", but still does not provide object security for complete zones. The trust relationships involved in zone transfer are still very much a hop-by-hop matter of name server operators trusting other name server operators rather than an end-to-end matter of name server operators trusting zone administrators.
以前のセクションで説明したように、DNSSEC自体は、通常のDNSクエリプロトコルの上にデータの整合性とデータの起源認証サービスを提供しようとします。[RFC3552]で説明した用語を使用して、DNSSECは通常のDNSクエリプロトコルに「オブジェクトセキュリティ」を提供します。ただし、DNSゾーン全体を複製するために、DNSSECはオブジェクトセキュリティを提供しません。ゾーンには署名されていないNS RRSが含まれ、委任ポイントで接着剤が含まれているためです。ゾーン転送(AXFRまたはIXFR)操作を保護するためにTSIGを使用すると、「チャネルセキュリティ」が提供されますが、完全なゾーンにオブジェクトセキュリティを提供していません。ゾーン転送に関係する信頼関係は、ゾーン管理者を信頼する名前のサーバーオペレーターのエンドツーエンドの問題ではなく、他の名前サーバーオペレーターを信頼する名前サーバーオペレーターのホップバイホップの問題です。
Zone object security was not an explicit design goal of DNSSEC, so failure to provide this service should not be a surprise. Nevertheless, there are some zone replication scenarios for which this would be a very useful additional service, so this seems like a useful area for future work. In theory it should not be difficult to add zone object security as a backwards compatible enhancement to the existing DNSSEC model, but the DNSEXT WG has not yet discussed either the desirability of or the requirements for such an enhancement.
ゾーンオブジェクトのセキュリティは、DNSSECの明示的な設計目標ではなかったため、このサービスを提供できないと驚くべきことではありません。それにもかかわらず、これが非常に有用な追加サービスになるゾーンレプリケーションシナリオがいくつかありますので、これは将来の作業にとって有用な領域のように思えます。理論的には、ゾーンオブジェクトセキュリティを既存のDNSSECモデルへの後方互換性の強化として追加することは難しくありませんが、DNSEXT WGは、そのような強化の望ましさまたは要件についてまだ議論していません。
Based on the above analysis, the DNSSEC extensions do appear to solve a set of problems that do need to be solved, and are worth deploying.
上記の分析に基づいて、DNSSEC拡張機能は、解決する必要があり、展開する価値がある一連の問題を解決するように見えます。
Security Considerations
セキュリティに関する考慮事項
This entire document is about security considerations of the DNS. The authors believe that deploying DNSSEC will help to address some, but not all, of the known threats to the DNS.
このドキュメント全体は、DNSのセキュリティ上の考慮事項に関するものです。著者らは、DNSSECを展開することは、DNSに対する既知の脅威のすべてではなく、いくつかのいくつかに対処するのに役立つと考えています。
Acknowledgments
謝辞
This note is based both on previous published works by others and on a number of discussions both public and private over a period of many years, but particular thanks go to
このメモは、他の人が以前に公開された作品と、長年にわたって公的および私的の両方の議論の両方に基づいていますが、特に感謝します
Jaap Akkerhuis, Steve Bellovin, Dan Bernstein, Randy Bush, Steve Crocker, Olafur Gudmundsson, Russ Housley, Rip Loomis, Allison Mankin, Paul Mockapetris, Thomas Narten Mans Nilsson, Pekka Savola, Paul Vixie, Xunhua Wang, and any other members of the DNS, DNSSEC, DNSIND, and DNSEXT working groups whose names and contributions the authors have forgotten, none of whom are responsible for what the authors did with their ideas.
Jaap Akkerhuis、Steve Bellovin、Dan Bernstein、Randy Bush、Steve Crocker、Olafur Gudmundsson、Russ Housley、Rip Loomis、Allison Mankin、Paul Mockapetris、Thomas Narten Mans Nilsson、Pekka Savola、Paul Vixie、その他のメンバーのメンバー著者が忘れている名前と貢献を忘れたDNS、DNSSEC、DNSIND、およびDNSEXTワーキンググループは、著者が自分のアイデアで行ったことに責任を負いません。
As with any work of this nature, the authors of this note acknowledge that we are standing on the toes of those who have gone before us. Readers interested in this subject may also wish to read [Bellovin95], [Schuba93], and [Vixie95].
この性質の他の仕事と同様に、このメモの著者は、私たちが私たちの前に行った人々のつま先の上に立っていることを認めています。この主題に興味のある読者は、[Bellovin95]、[Schuba93]、および[Vixie95]を読みたいと思うかもしれません。
Normative References
引用文献
[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[RFC1034] Mockapetris、P。、「ドメイン名 - 概念と施設」、STD 13、RFC 1034、1987年11月。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[RFC1123] Braden, R., "Requirements for Internet Hosts - Application and Support", STD 3, RFC 1123, October 1989.
[RFC1123] Braden、R。、「インターネットホストの要件 - アプリケーションとサポート」、STD 3、RFC 1123、1989年10月。
[RFC2181] Elz, R. and R. Bush, "Clarifications to the DNS Specification", RFC 2181, July 1997.
[RFC2181] Elz、R。およびR. Bush、「DNS仕様の説明」、RFC 2181、1997年7月。
[RFC2308] Andrews, M., "Negative Caching of DNS Queries (DNS NCACHE)", RFC 2308, March 1998.
[RFC2308] Andrews、M。、「DNSクエリの負のキャッシュ(DNS NCACHE)」、RFC 2308、1998年3月。
[RFC2671] Vixie, P., "Extension Mechanisms for DNS (EDNS0)", RFC 2671, August 1999.
[RFC2671] Vixie、P。、「DNSの拡張メカニズム(EDNS0)」、RFC 2671、1999年8月。
[RFC2845] Vixie, P., Gudmundsson, O., Eastlake 3rd, D., and B. Wellington, "Secret Key Transaction Authentication for DNS (TSIG)", RFC 2845, May 2000.
[RFC2845] Vixie、P.、Gudmundsson、O.、Eastlake 3rd、D。、およびB. Wellington、「DNSのシークレットキートランザクション認証」、2000年5月、RFC 2845。
[RFC2930] Eastlake 3rd, D., "Secret Key Establishment for DNS (TKEY RR)", RFC 2930, September 2000.
[RFC2930] EastLake 3rd、D。、「DNSの秘密の鍵設立(TKEY RR)」、RFC 2930、2000年9月。
[RFC3007] Wellington, B., "Secure Domain Name System (DNS) Dynamic Update", RFC 3007, November 2000.
[RFC3007]ウェリントン、B。、「セキュアドメイン名システム(DNS)動的更新」、RFC 3007、2000年11月。
[RFC2535] Eastlake 3rd, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[RFC2535] EastLake 3rd、D。、「ドメイン名システムセキュリティ拡張機能」、RFC 2535、1999年3月。
Informative References
参考引用
[RFC3552] Rescorla, E. and B. Korver, "Guidelines for Writing RFC Text on Security Considerations", BCP 72, RFC 3552, July 2003.
[RFC3552] Rescorla、E。およびB. Korver、「セキュリティに関する考慮事項に関するRFCテキストを書くためのガイドライン」、BCP 72、RFC 3552、2003年7月。
[Bellovin95] Bellovin, S., "Using the Domain Name System for System Break-Ins", Proceedings of the Fifth Usenix Unix Security Symposium, June 1995.
[Bellovin95] Bellovin、S。、「システム侵入にドメイン名システムを使用」、1995年6月、第5回USENIX UNIXセキュリティシンポジウムの議事録。
[Galvin93] Design team meeting summary message posted to dns-security@tis.com mailing list by Jim Galvin on 19 November 1993.
[Galvin93]デザインチームミーティングの要約メッセージ1993年11月19日にJim GalvinによるDNS-security@tis.comに投稿されました。
[Schuba93] Schuba, C., "Addressing Weaknesses in the Domain Name System Protocol", Master's thesis, Purdue University Department of Computer Sciences, August 1993.
[Schuba93] Schuba、C。、「ドメイン名システムプロトコルの弱点への対処」、修士論文、パデュー大学コンピュータサイエンス局、1993年8月。
[Vixie95] Vixie, P, "DNS and BIND Security Issues", Proceedings of the Fifth Usenix Unix Security Symposium, June 1995.
[Vixie95] Vixie、P、「DNSおよびBind Security Issues」、第5回USENIX UNIXセキュリティシンポジウムの議事録、1995年6月。
Authors' Addresses
著者のアドレス
Derek Atkins IHTFP Consulting, Inc. 6 Farragut Ave Somerville, MA 02144 USA
Derek Atkins IHTFP Consulting、Inc。6 Farragut Ave Somerville、MA 02144 USA
EMail: derek@ihtfp.com
Rob Austein Internet Systems Consortium 950 Charter Street Redwood City, CA 94063 USA
ロブオーストインインターネットシステムコンソーシアム950チャーターストリートレッドウッドシティ、カリフォルニア94063 USA
EMail: sra@isc.org
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2004). This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
著作権(c)The Internet Society(2004)。この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。