[要約] RFC 4701は、DHCID RRと呼ばれるDNSリソースレコードのエンコーディングに関するものであり、DHCP情報をエンコードするために使用されます。このRFCの目的は、DHCP情報をDNSに保存するための標準化と、ネットワーク管理の効率化です。
Network Working Group M. Stapp
Request for Comments: 4701 Cisco Systems, Inc.
Category: Standards Track T. Lemon
Nominum, Inc.
A. Gustafsson
Araneus Information Systems Oy
October 2006
A DNS Resource Record (RR) for Encoding Dynamic Host Configuration Protocol (DHCP) Information (DHCID RR)
動的ホスト構成プロトコル(DHCP)情報(DHCID RR)をエンコードするためのDNSリソースレコード(RR)
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
It is possible for Dynamic Host Configuration Protocol (DHCP) clients to attempt to update the same DNS Fully Qualified Domain Name (FQDN) or to update a DNS FQDN that has been added to the DNS for another purpose as they obtain DHCP leases. Whether the DHCP server or the clients themselves perform the DNS updates, conflicts can arise. To resolve such conflicts, RFC 4703 proposes storing client identifiers in the DNS to unambiguously associate domain names with the DHCP clients to which they refer. This memo defines a distinct Resource Record (RR) type for this purpose for use by DHCP clients and servers: the "DHCID" RR.
動的ホスト構成プロトコル(DHCP)クライアントは、同じDNS完全資格のドメイン名(FQDN)を更新しようとするか、DHCPリースを取得するために別の目的でDNSに追加されたDNS FQDNを更新することができます。DHCPサーバーまたはクライアント自体がDNSアップデートを実行するかどうかにかかわらず、競合が発生する可能性があります。このような競合を解決するために、RFC 4703は、DNSにクライアント識別子を保存することを提案して、ドメイン名を紹介するDHCPクライアントと明確に関連付けることを提案しています。このメモは、DHCPクライアントとサーバーが使用するためのこの目的のための個別のリソースレコード(RR)タイプを定義します:「DHCID」RR。
Table of Contents
目次
1. Introduction ....................................................3
2. Terminology .....................................................3
3. The DHCID RR ....................................................3
3.1. DHCID RDATA Format .........................................3
3.2. DHCID Presentation Format ..................................4
3.3. The DHCID RR Identifier Type Codes .........................4
3.4. The DHCID RR Digest Type Code ..............................4
3.5. Computation of the RDATA ...................................5
3.5.1. Using the Client's DUID .............................5
3.5.2. Using the Client Identifier Option ..................6
3.5.3. Using the Client's htype and chaddr .................6
3.6. Examples ...................................................6
3.6.1. Example 1 ...........................................6
3.6.2. Example 2 ...........................................7
3.6.3. Example 3 ...........................................7
4. Use of the DHCID RR .............................................8
5. Updater Behavior ................................................8
6. Security Considerations .........................................8
7. IANA Considerations .............................................9
8. Acknowledgements ................................................9
9. References ......................................................9
9.1. Normative References .......................................9
9.2. Informative References ....................................10
A set of procedures to allow DHCP [7] [11] clients and servers to automatically update the DNS ([3], [4]) is proposed in [1].
DHCP [7] [11]クライアントとサーバーがDNS([3]、[4])を自動的に更新できるようにする一連の手順が[1]で提案されています。
Conflicts can arise if multiple DHCP clients wish to use the same DNS name or a DHCP client attempts to use a name added for another purpose. To resolve such conflicts, [1] proposes storing client identifiers in the DNS to unambiguously associate domain names with the DHCP clients using them. In the interest of clarity, it is preferable for this DHCP information to use a distinct RR type. This memo defines a distinct RR for this purpose for use by DHCP clients or servers: the "DHCID" RR.
複数のDHCPクライアントが同じDNS名を使用したい場合、またはDHCPクライアントが別の目的に追加された名前を使用しようとする場合、競合が発生する可能性があります。このような競合を解決するために、[1]は、DNSにクライアント識別子を保存することを提案して、ドメイン名を明確に関連付けてDHCPクライアントを使用して関連付けます。明確にするために、このDHCP情報が異なるRRタイプを使用することが望ましいです。このメモは、DHCPクライアントまたはサーバーによる使用のためのこの目的のための明確なRRを定義します:「DHCID」RR。
In order to obscure potentially sensitive client identifying information, the data stored is the result of a one-way SHA-256 hash computation. The hash includes information from the DHCP client's message as well as the domain name itself, so that the data stored in the DHCID RR will be dependent on both the client identification used in the DHCP protocol interaction and the domain name. This means that the DHCID RDATA will vary if a single client is associated over time with more than one name. This makes it difficult to 'track' a client as it is associated with various domain names.
潜在的に機密性の高いクライアント識別情報を不明瞭にするために、保存されたデータは一元配置SHA-256ハッシュ計算の結果です。ハッシュには、DHCPクライアントのメッセージとドメイン名自体からの情報が含まれているため、DHCID RRに保存されているデータは、DHCPプロトコルインタラクションで使用されているクライアント識別とドメイン名の両方に依存します。これは、単一のクライアントが時間の経過とともに複数の名前に関連付けられている場合、DHCID RDATAが異なることを意味します。これにより、さまざまなドメイン名に関連付けられているため、クライアントを「追跡」することが困難になります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [2].
「必須」、「そうしない」、「必須」、「shall」、「shall "、" ingle "、" should "、" not "、" becommended "、" bay "、および「optional」は、[2]に記載されているように解釈される。
The DHCID RR is defined with mnemonic DHCID and type code 49. The DHCID RR is only defined in the IN class. DHCID RRs cause no additional section processing.
DHCID RRは、ニーモニックDHCIDおよびタイプコード49で定義されます。DHCIDRRは、クラスでのみ定義されます。DHCID RRSは追加のセクション処理を引き起こしません。
The RDATA section of a DHCID RR in transmission contains RDLENGTH octets of binary data. The format of this data and its interpretation by DHCP servers and clients are described below.
トランスミッションのDHCID RRのRDATAセクションには、バイナリデータのrdlengthオクテットが含まれています。このデータの形式とDHCPサーバーとクライアントによるその解釈については、以下に説明します。
DNS software should consider the RDATA section to be opaque. DHCP clients or servers use the DHCID RR to associate a DHCP client's identity with a DNS name, so that multiple DHCP clients and servers may deterministically perform dynamic DNS updates to the same zone. From the updater's perspective, the DHCID resource record RDATA consists of a 2-octet identifier type, in network byte order, followed by a 1-octet digest type, followed by one or more octets representing the actual identifier:
DNSソフトウェアは、RDATAセクションを不透明であると考える必要があります。DHCPクライアントまたはサーバーは、DHCID RRを使用してDHCPクライアントのIDをDNS名に関連付けるため、複数のDHCPクライアントとサーバーが同じゾーンに動的なDNS更新を決定的に実行できるようにします。Updaterの観点から見ると、DHCIDリソースレコードRDATAは、ネットワークバイトの順序で2-OCTET識別子タイプで構成され、その後1オクテットダイジェストタイプが続き、その後、実際の識別子を表す1つ以上のオクテットが続きます。
< 2 octets > Identifier type code
< 1 octet > Digest type code
< n octets > Digest (length depends on digest type)
In DNS master files, the RDATA is represented as a single block in base-64 encoding identical to that used for representing binary data in [8], Section 3. The data may be divided up into any number of white-space-separated substrings, down to single base-64 digits, which are concatenated to form the complete RDATA. These substrings can span lines using the standard parentheses.
DNSマスターファイルでは、RDATAは[8]、セクション3のバイナリデータを表現するために使用されるものと同一のベース64の単一ブロックとして表されます。、完全なrdataを形成するために連結されたシングルベース64桁までダウンします。これらのサブストリングは、標準の括弧を使用して線に及ぶことができます。
The DHCID RR Identifier Type Code specifies what data from the DHCP client's request was used as input into the hash function. The identifier type codes are defined in a registry maintained by IANA, as specified in Section 7. The initial list of assigned values for the identifier type code and that type's identifier is:
DHCID RR識別子タイプコードは、DHCPクライアントの要求からのデータがハッシュ関数への入力として使用されたものを指定します。識別子タイプコードは、セクション7で指定されているIANAが管理するレジストリで定義されます。識別子タイプコードの割り当てられた値の初期リストとそのタイプの識別子は次のとおりです。
+------------------+------------------------------------------------+
| Identifier Type | Identifier |
| Code | |
+------------------+------------------------------------------------+
| 0x0000 | The 1-octet 'htype' followed by 'hlen' octets |
| | of 'chaddr' from a DHCPv4 client's DHCPREQUEST |
| | [7]. |
| 0x0001 | The data octets (i.e., the Type and |
| | Client-Identifier fields) from a DHCPv4 |
| | client's Client Identifier option [10]. |
| 0x0002 | The client's DUID (i.e., the data octets of a |
| | DHCPv6 client's Client Identifier option [11] |
| | or the DUID field from a DHCPv4 client's |
| | Client Identifier option [6]). |
| 0x0003 - 0xfffe | Undefined; available to be assigned by IANA. |
| 0xffff | Undefined; RESERVED. |
+------------------+------------------------------------------------+
The DHCID RR Digest Type Code is an identifier for the digest algorithm used. The digest is calculated over an identifier and the canonical FQDN as described in the next section.
DHCID RRダイジェストタイプコードは、使用されるダイジェストアルゴリズムの識別子です。ダイジェストは、次のセクションで説明されているように、識別子と標準的なFQDNを介して計算されます。
The digest type codes are defined in a registry maintained by IANA, as specified in Section 7. The initial list of assigned values for the digest type codes is: value 0 is reserved, and value 1 is SHA-256. Reserving other types requires IETF standards action. Defining new values will also require IETF standards action to document how DNS updaters are to deal with multiple digest types.
ダイジェストタイプコードは、セクション7で指定されているように、IANAが管理するレジストリで定義されます。ダイジェストタイプコードの割り当てられた値の初期リストは次のとおりです。値0は予約され、値1はSHA-256です。他のタイプを予約するには、IETF標準アクションが必要です。新しい値を定義するには、DNSアップデーターが複数のダイジェストタイプを処理する方法を文書化するために、IETF標準アクションも必要です。
The DHCID RDATA is formed by concatenating the 2-octet identifier type code with variable-length data.
DHCID RDATAは、2-OCTET識別子タイプコードを変数長データと連結することにより形成されます。
The RDATA for all type codes other than 0xffff, which is reserved for future expansion, is formed by concatenating the 2-octet identifier type code, the 1-octet digest type code, and the digest value (32 octets for SHA-256).
< identifier-type > < digest-type > < digest >
The input to the digest hash function is defined to be:
ダイジェストハッシュ関数への入力は、次のように定義されます。
digest = SHA-256(< identifier > < FQDN >)
The FQDN is represented in the buffer in the canonical wire format as described in [9], Section 6.2. The identifier type code and the identifier are related as specified in Section 3.3: the identifier type code describes the source of the identifier.
FQDNは、[9]、セクション6.2に記載されているように、標準ワイヤ形式のバッファーで表されます。識別子タイプコードと識別子は、セクション3.3で指定されているように関連しています。識別子タイプコードは、識別子のソースを記述します。
A DHCPv4 updater uses the 0x0002 type code if a Client Identifier option is present in the DHCPv4 messages and it is encoded as specified in [6]. Otherwise, the updater uses 0x0001 if a Client Identifier option is present, and 0x0000 if not.
DHCPV4 Updaterは、クライアント識別子オプションがDHCPV4メッセージに存在し、[6]で指定されているようにエンコードされている場合、0x0002タイプコードを使用します。それ以外の場合、アップデーターはクライアント識別子オプションが存在する場合は0x0001を使用し、そうでない場合は0x0000を使用します。
A DHCPv6 updater always uses the 0x0002 type code.
DHCPV6 Updaterは常に0x0002タイプコードを使用します。
When the updater is using the Client's DUID (either from a DHCPv6 Client Identifier option or from a portion of the DHCPv4 Client Identifier option encoded as specified in [6]), the first two octets of the DHCID RR MUST be 0x0002, in network byte order. The third octet is the digest type code (1 for SHA-256). The rest of the DHCID RR MUST contain the results of computing the SHA-256 hash across the octets of the DUID followed by the FQDN.
アップデーターがクライアントのDUIDを使用している場合(DHCPV6クライアント識別子オプションから、または[6]で指定されているようにエンコードされたDHCPV4クライアント識別子オプションの一部から)、DHCID RRの最初の2つのオクテットはネットワークバイトの0x0002でなければなりません注文。3番目のオクテットは、ダイジェストタイプコード(SHA-256の場合は1)です。DHCID RRの残りの部分には、DUIDのオクテットに続いてFQDNが続くSHA-256ハッシュを計算する結果を含める必要があります。
When the updater is using the DHCPv4 Client Identifier option sent by the client in its DHCPREQUEST message, the first two octets of the DHCID RR MUST be 0x0001, in network byte order. The third octet is the digest type code (1 for SHA-256). The rest of the DHCID RR MUST contain the results of computing the SHA-256 hash across the data octets (i.e., the Type and Client-Identifier fields) of the option, followed by the FQDN.
UpdaterがDHCPRequestメッセージでクライアントから送信されたDHCPV4クライアント識別子オプションを使用している場合、DHCID RRの最初の2オクテットはネットワークバイトの順序で0x0001でなければなりません。3番目のオクテットは、ダイジェストタイプコード(SHA-256の場合は1)です。DHCID RRの残りの部分には、オプションのデータオクテット(つまり、タイプおよびクライアントIDENIDEIRフィールド)にSHA-256ハッシュを計算する結果を含める必要があり、その後FQDNが続きます。
When the updater is using the client's link-layer address as the identifier, the first two octets of the DHCID RDATA MUST be zero. The third octet is the digest type code (1 for SHA-256). To generate the rest of the resource record, the updater computes a one-way hash using the SHA-256 algorithm across a buffer containing the client's network hardware type, link-layer address, and the FQDN data. Specifically, the first octet of the buffer contains the network hardware type as it appeared in the DHCP 'htype' field of the client's DHCPREQUEST message. All of the significant octets of the 'chaddr' field in the client's DHCPREQUEST message follow, in the same order in which the octets appear in the DHCPREQUEST message. The number of significant octets in the 'chaddr' field is specified in the 'hlen' field of the DHCPREQUEST message. The FQDN data, as specified above, follows.
Updaterが識別子としてクライアントのリンク層アドレスを使用している場合、DHCID RDATAの最初の2オクテットはゼロでなければなりません。3番目のオクテットは、ダイジェストタイプコード(SHA-256の場合は1)です。リソースレコードの残りの部分を生成するために、Updaterは、クライアントのネットワークハードウェアタイプ、リンクレイヤーアドレス、FQDNデータを含むバッファーにSHA-256アルゴリズムを使用して、一方向ハッシュを計算します。具体的には、バッファーの最初のオクテットには、クライアントのDHCPRequestメッセージのDHCP「HTYPE」フィールドに表示されたネットワークハードウェアタイプが含まれています。クライアントのDHCPRequestメッセージの「Chaddr」フィールドの重要なオクテットはすべて、DHCPRequestメッセージにオクテットが表示されるのと同じ順序で続きます。「Chaddr」フィールドの重要なオクテットの数は、DHCPRequestメッセージの「HLEN」フィールドで指定されています。上記で指定したFQDNデータが続きます。
A DHCP server allocates the IPv6 address 2001:DB8::1234:5678 to a client that included the DHCPv6 client-identifier option data 00:01: 00:06:41:2d:f1:66:01:02:03:04:05:06 in its DHCPv6 request. The server updates the name "chi6.example.com" on the client's behalf and uses the DHCP client identifier option data as input in forming a DHCID RR. The DHCID RDATA is formed by setting the two type octets to the value 0x0002, the 1-octet digest type to 1 for SHA-256, and performing a SHA-256 hash computation across a buffer containing the 14 octets from the client-id option and the FQDN (represented as specified in Section 3.5).
DHCPサーバーは、IPv6アドレス2001:DB8 :: 1234:5678をDHCPV6クライアント識別子オプションデータを含むクライアントに割り当てます。:05:06 dhcpv6リクエスト。サーバーは、クライアントに代わって「chi6.example.com」という名前を更新し、DHCPクライアント識別子オプションデータをDHCID RRの形成で入力として使用します。DHCID RDATAは、2つのタイプのオクテットを値0x0002に、1-OCTETダイジェストタイプをSHA-256で1に設定し、クライアント-IDオプションから14オクテットを含むバッファー全体でSHA-256ハッシュ計算を実行することにより形成されます。およびFQDN(セクション3.5で指定されていると表現)。
chi6.example.com. AAAA 2001:DB8::1234:5678
chi6.example.com. DHCID ( AAIBY2/AuCccgoJbsaxcQc9TUapptP69l
OjxfNuVAA2kjEA= )
If the DHCID RR type is not supported, the RDATA would be encoded [13] as:
DHCID RRタイプがサポートされていない場合、RDATAは次のようにエンコードされます[13]
\# 35 ( 000201636fc0b8271c82825bb1ac5c41cf5351aa69b4febd94e8f17cd b95000da48c40 )
\#35(000201636FC0B8271C82825BB1AC5C41CF5351AA69B4FEBD94E8F17CD B95000DA48C40)
A DHCP server allocates the IPv4 address 192.0.2.2 to a client that included the DHCP client-identifier option data 01:07:08:09:0a:0b:0c in its DHCP request. The server updates the name "chi.example.com" on the client's behalf and uses the DHCP client identifier option data as input in forming a DHCID RR. The DHCID RDATA is formed by setting the two type octets to the value 0x0001, the 1-octet digest type to 1 for SHA-256, and performing a SHA-256 hash computation across a buffer containing the seven octets from the client-id option and the FQDN (represented as specified in Section 3.5).
DHCPサーバーは、DHCPリクエストにDHCPクライアント-Identifierオプションデータ01:08:08:08:08:08:0A:0B:0Cを含むクライアントにIPv4アドレス192.0.2.2を割り当てます。サーバーは、クライアントに代わって「chi.example.com」という名前を更新し、DHCPクライアント識別子オプションデータをDHCID RRの形成で入力として使用します。DHCID RDATAは、2つのタイプのオクテットを値0x0001に設定し、1-OCTETダイジェストタイプをSHA-256で1に設定し、クライアント-IDオプションから7オクテットを含むバッファーでSHA-256ハッシュ計算を実行することにより形成されます。およびFQDN(セクション3.5で指定されていると表現)。
chi.example.com. A 192.0.2.2 chi.example.com. DHCID ( AAEBOSD+XR3Os/0LozeXVqcNc7FwCfQdW L3b/NaiUDlW2No= )
chi.example.com。A 192.0.2.2 chi.example.com。dhcid(aaebosd xr3os/0lozexvqcnc7fwcfqdw l3b/naiudlw2no =)
If the DHCID RR type is not supported, the RDATA would be encoded [13] as:
DHCID RRタイプがサポートされていない場合、RDATAは次のようにエンコードされます[13]
\# 35 ( 0001013920fe5d1dceb3fd0ba3379756a70d73b17009f41d58bddbfcd 6a2503956d8da )
\#35(0001013920FE5D1DCEB3FD0BA33379756A70D73B17009F41D58BDDBFCD 6A2503956D8DA)
A DHCP server allocating the IPv4 address 192.0.2.3 to a client with the Ethernet MAC address 01:02:03:04:05:06 using domain name "client.example.com" uses the client's link-layer address to identify the client. The DHCID RDATA is composed by setting the two type octets to zero, the 1-octet digest type to 1 for SHA-256, and performing an SHA-256 hash computation across a buffer containing the 1-octet 'htype' value for Ethernet, 0x01, followed by the six octets of the Ethernet MAC address, and the domain name (represented as specified in Section 3.5).
IPv4アドレス192.0.2.3をイーサネットMACアドレスを持つクライアントに割り当てるDHCPサーバー。DHCID RDATAは、2つのタイプのオクテットをゼロに設定し、1-OCTETダイジェストタイプをSHA-256の場合は1に設定し、イーサネットの1-OCTET「HType」値を含むバッファー全体でSHA-256ハッシュ計算を実行することで構成されています。0x01、イーサネットMACアドレスの6オクテットとドメイン名(セクション3.5で指定されていると表現)が続きます。
client.example.com. A 192.0.2.3 client.example.com. DHCID ( AAABxLmlskllE0MVjd57zHcWmEH3pCQ6V ytcKD//7es/deY= )
client.example.com。A 192.0.2.3 Client.example.com。dhcid(aaabxlmlsklle0mvjd57zhcwmeh3pcq6v ytckd // 7es/dey =)
If the DHCID RR type is not supported, the RDATA would be encoded [13] as:
DHCID RRタイプがサポートされていない場合、RDATAは次のようにエンコードされます[13]
\# 35 ( 000001c4b9a5b249651343158dde7bcc77169841f7a4243a572b5c283 fffedeb3f75e6 )
\#35(000001C4B9A5B249651343158DDE7BCC77169841F7A4243A572B5C283 FFFEDEB3F75E6)
This RR MUST NOT be used for any purpose other than that detailed in [1]. Although this RR contains data that is opaque to DNS servers, the data must be consistent across all entities that update and interpret this record. Therefore, new data formats may only be defined through actions of the DHC Working Group, as a result of revising [1].
このRRは、[1]で詳述されているもの以外の目的に使用してはなりません。このRRには、DNSサーバーに不透明なデータが含まれていますが、このレコードを更新および解釈するすべてのエンティティでデータは一貫している必要があります。したがって、新しいデータ形式は、改訂の結果として、DHCワーキンググループのアクションを通じてのみ定義できます[1]。
The data in the DHCID RR allows updaters to determine whether more than one DHCP client desires to use a particular FQDN. This allows site administrators to establish policy about DNS updates. The DHCID RR does not establish any policy itself.
DHCID RRのデータにより、アップデーターは、複数のDHCPクライアントが特定のFQDNを使用したいかどうかを判断できます。これにより、サイト管理者はDNSの更新に関するポリシーを確立できます。DHCID RRは、ポリシー自体を確立しません。
Updaters use data from a DHCP client's request and the domain name that the client desires to use to compute a client identity hash, and then compare that hash to the data in any DHCID RRs on the name that they wish to associate with the client's IP address. If an updater discovers DHCID RRs whose RDATA does not match the client identity that they have computed, the updater SHOULD conclude that a different client is currently associated with the name in question. The updater SHOULD then proceed according to the site's administrative policy. That policy might dictate that a different name be selected, or it might permit the updater to continue.
Updatersは、DHCPクライアントのリクエストとクライアントがクライアントIDのハッシュを計算するために使用したいドメイン名からのデータを使用し、クライアントのIPアドレスに関連付けたい名前のDHCID RRのデータと比較してください。。アップデーターがRDATAが計算したクライアントのIDと一致しないDHCID RRを発見した場合、アップデーターは、別のクライアントが現在問題の名前に関連付けられていると結論付ける必要があります。その後、アップデーターは、サイトの管理ポリシーに従って進行する必要があります。そのポリシーは、別の名前が選択されるか、アップデーターが継続できることを指示するかもしれません。
The DHCID record as such does not introduce any new security problems into the DNS. In order to obscure the client's identity information, a one-way hash is used. Further, in order to make it difficult to 'track' a client by examining the names associated with a particular hash value, the FQDN is included in the hash computation. Thus, the RDATA is dependent on both the DHCP client identification data and on each FQDN associated with the client.
DHCIDレコードは、DNSに新しいセキュリティ問題を導入しません。クライアントの身元情報を不明瞭にするために、一方向ハッシュが使用されます。さらに、特定のハッシュ値に関連付けられた名前を調べてクライアントを「追跡」することを困難にするために、FQDNはハッシュ計算に含まれます。したがって、RDATAは、DHCPクライアント識別データの両方と、クライアントに関連付けられた各FQDNの両方に依存します。
However, it should be noted that an attacker that has some knowledge, such as of MAC addresses commonly used in DHCP client identification data, may be able to discover the client's DHCP identify by using a brute-force attack. Even without any additional knowledge, the number of unknown bits used in computing the hash is typically only 48 to 80.
ただし、DHCPクライアント識別データで一般的に使用されるMACアドレスなどの知識を持つ攻撃者は、ブルートフォース攻撃を使用してクライアントのDHCP識別を発見できる可能性があることに注意する必要があります。追加の知識がなくても、ハッシュの計算に使用される未知のビットの数は、通常48〜80です。
Administrators should be wary of permitting unsecured DNS updates to zones, whether or not they are exposed to the global Internet. Both DHCP clients and servers SHOULD use some form of update authentication (e.g., [12]) when performing DNS updates.
管理者は、グローバルなインターネットにさらされているかどうかにかかわらず、ゾーンの無担保DNSの更新を許可することを警戒する必要があります。DHCPクライアントとサーバーの両方は、DNSアップデートを実行するときに、何らかの形の更新認証([12]など)を使用する必要があります。
IANA has allocated a DNS RR type number for the DHCID record type.
IANAは、DHCIDレコードタイプにDNS RRタイプ番号を割り当てました。
This specification defines a new number-space for the 2-octet identifier type codes associated with the DHCID RR. IANA has established a registry of the values for this number-space. Three initial values are assigned in Section 3.3, and the value 0xFFFF is reserved for future use. New DHCID RR identifier type codes are assigned through Standards Action, as defined in [5].
この仕様では、DHCID RRに関連付けられた2-OCTET識別子タイプコードの新しい数値スペースを定義します。IANAは、この数値スペースの値のレジストリを確立しました。セクション3.3で3つの初期値が割り当てられ、値0xffffは将来の使用のために予約されています。[5]で定義されているように、新しいDHCID RR識別子タイプコードは標準アクションを通じて割り当てられます。
This specification defines a new number-space for the 1-octet digest type codes associated with the DHCID RR. IANA has established a registry of the values for this number-space. Two initial values are assigned in Section 3.4. New DHCID RR digest type codes are assigned through Standards Action, as defined in [5].
この仕様では、DHCID RRに関連付けられた1-OCTETダイジェストタイプコードの新しい数値スペースを定義します。IANAは、この数値スペースの値のレジストリを確立しました。セクション3.4で2つの初期値が割り当てられています。[5]で定義されているように、新しいDHCID RRダイジェストタイプコードは標準アクションを通じて割り当てられます。
Many thanks to Harald Alvestrand, Ralph Droms, Olafur Gudmundsson, Sam Hartman, Josh Littlefield, Pekka Savola, and especially Bernie Volz for their review and suggestions.
Harald Alvestrand、Ralph Droms、Olafur Gudmundsson、Sam Hartman、Josh Littlefield、Pekka Savola、特にBernie Volzのレビューと提案に感謝します。
[1] Stapp, M. and B. Volz, "Resolution of Fully Qualified Domain Name (FQDN) Conflicts among Dynamic Host Configuration Protocol (DHCP) Clients", RFC 4703, October 2006.
[1] Stapp、M。およびB. Volz、「ダイナミックホスト構成プロトコル(DHCP)クライアント間の完全資格のドメイン名(FQDN)の解像度」、RFC 4703、2006年10月。
[2] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[2] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[3] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[3] Mockapetris、P。、「ドメイン名 - 概念と施設」、STD 13、RFC 1034、1987年11月。
[4] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[4] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[5] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[5] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[6] Lemon, T. and B. Sommerfeld, "Node-specific Client Identifiers for Dynamic Host Configuration Protocol Version Four (DHCPv4)", RFC 4361, February 2006.
[6] Lemon、T。and B. Sommerfeld、「動的ホスト構成プロトコル4(DHCPV4)のノード固有のクライアント識別子」、RFC 4361、2006年2月。
[7] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[7] DROMS、R。、「動的ホスト構成プロトコル」、RFC 2131、1997年3月。
[8] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 3548, July 2003.
[8] Josefsson、S。、「Base16、Base32、およびBase64データエンコーディング」、RFC 3548、2003年7月。
[9] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[9] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張のリソースレコード」、RFC 4034、2005年3月。
[10] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.
[10] Alexander、S。およびR. Droms、「DHCPオプションとBOOTPベンダー拡張機能」、RFC 2132、1997年3月。
[11] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[11] Droms、R.、Bound、J.、Volz、B.、Lemon、T.、Perkins、C。、およびM. Carney、「IPv6(DHCPV6)の動的ホスト構成プロトコル」、RFC 3315、2003年7月。
[12] Vixie, P., Gudmundsson, O., Eastlake, D., and B. Wellington, "Secret Key Transaction Authentication for DNS (TSIG)", RFC 2845, May 2000.
[12] Vixie、P.、Gudmundsson、O.、Eastlake、D。、およびB. Wellington、「DNSのSecret Key Transaction Authentication(TSIG)」、RFC 2845、2000年5月。
[13] Gustafsson, A., "Handling of Unknown DNS Resource Record (RR) Types", RFC 3597, September 2003.
[13] Gustafsson、A。、「不明なDNSリソースレコード(RR)タイプの取り扱い」、RFC 3597、2003年9月。
Authors' Addresses
著者のアドレス
Mark Stapp Cisco Systems, Inc. 1414 Massachusetts Ave. Boxborough, MA 01719 USA
Mark Stapp Cisco Systems、Inc。1414 Massachusetts Ave. Boxborough、MA 01719 USA
Phone: 978.936.1535 EMail: mjs@cisco.com
電話:978.936.1535メール:mjs@cisco.com
Ted Lemon Nominum, Inc. 950 Charter St. Redwood City, CA 94063 USA
Ted Lemon Nominum、Inc。950 Charter St. Redwood City、CA 94063 USA
EMail: mellon@nominum.com
Andreas Gustafsson Araneus Information Systems Oy Ulappakatu 1 02320 Espoo Finland
Andreas Gustafsson Araneus Information Systems Oy Ulappakatu 1 02320 Espoo Finland
EMail: gson@araneus.fi
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。