[要約] RFC 8598は、IKEv2のためのスプリットDNS構成に関する規格であり、VPN接続時に異なるDNSサーバーを使用するための手法を提供します。目的は、セキュリティとプライバシーを向上させながら、ユーザーが特定のトラフィックを特定のDNSサーバーにルーティングできるようにすることです。
Internet Engineering Task Force (IETF) T. Pauly
Request for Comments: 8598 Apple Inc.
Category: Standards Track P. Wouters
ISSN: 2070-1721 Red Hat
May 2019
Split DNS Configuration for the Internet Key Exchange Protocol Version 2 (IKEv2)
インターネットキーエクスチェンジプロトコルバージョン2(IKEv2)のスプリットDNS構成
Abstract
概要
This document defines two Configuration Payload Attribute Types (INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA) for the Internet Key Exchange Protocol version 2 (IKEv2). These payloads add support for private (internal-only) DNS domains. These domains are intended to be resolved using non-public DNS servers that are only reachable through the IPsec connection. DNS resolution for other domains remains unchanged. These Configuration Payloads only apply to split-tunnel configurations.
このドキュメントでは、インターネットキーエクスチェンジプロトコルバージョン2(IKEv2)の2つの構成ペイロード属性タイプ(INTERNAL_DNS_DOMAINおよびINTERNAL_DNSSEC_TA)を定義しています。これらのペイロードは、プライベート(内部のみ)DNSドメインのサポートを追加します。これらのドメインは、IPsec接続を介してのみ到達可能な非パブリックDNSサーバーを使用して解決されることを目的としています。他のドメインのDNS解決は変更されていません。これらの構成ペイロードは、スプリットトンネル構成にのみ適用されます。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8598.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8598で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2019 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2019 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Requirements Language . . . . . . . . . . . . . . . . . . 4
2. Applicability . . . . . . . . . . . . . . . . . . . . . . . . 4
3. Protocol Exchange . . . . . . . . . . . . . . . . . . . . . . 5
3.1. Configuration Request . . . . . . . . . . . . . . . . . . 5
3.2. Configuration Reply . . . . . . . . . . . . . . . . . . . 6
3.3. Mapping DNS Servers to Domains . . . . . . . . . . . . . 7
3.4. Example Exchanges . . . . . . . . . . . . . . . . . . . . 7
3.4.1. Simple Case . . . . . . . . . . . . . . . . . . . . . 7
3.4.2. Requesting Domains and DNSSEC Trust Anchors . . . . . 7
4. Payload Formats . . . . . . . . . . . . . . . . . . . . . . . 9
4.1. INTERNAL_DNS_DOMAIN Configuration Attribute Type Request
and Reply . . . . . . . . . . . . . . . . . . . . . . . . 9
4.2. INTERNAL_DNSSEC_TA Configuration Attribute . . . . . . . 9
5. INTERNAL_DNS_DOMAIN Usage Guidelines . . . . . . . . . . . . 11
6. INTERNAL_DNSSEC_TA Usage Guidelines . . . . . . . . . . . . . 12
7. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 13
8. Security Considerations . . . . . . . . . . . . . . . . . . . 14
9. References . . . . . . . . . . . . . . . . . . . . . . . . . 15
9.1. Normative References . . . . . . . . . . . . . . . . . . 15
9.2. Informative References . . . . . . . . . . . . . . . . . 16
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 16
Split-tunnel Virtual Private Network (VPN) configurations only send packets with a specific destination IP range, usually chosen from [RFC1918], via the VPN. All other traffic is not sent via the VPN. This allows an enterprise deployment to offer remote access VPN services without needing to accept and forward all the non-enterprise-related network traffic generated by their remote users. Resources within the enterprise can be accessed by the user via the VPN, while all other traffic generated by the user is not sent over the VPN.
スプリットトンネルバーチャルプライベートネットワーク(VPN)構成は、通常[RFC1918]から選択された特定の宛先IP範囲を持つパケットのみをVPN経由で送信します。他のすべてのトラフィックはVPN経由で送信されません。これにより、企業の展開では、リモートユーザーが生成した企業関連以外のすべてのネットワークトラフィックを受け入れて転送する必要なく、リモートアクセスVPNサービスを提供できます。企業内のリソースには、VPN経由でユーザーがアクセスできますが、ユーザーが生成した他のすべてのトラフィックはVPN経由で送信されません。
These internal resources tend to only have internal-only DNS names and require the use of special internal-only DNS servers to get resolved. Split DNS [RFC2775] is commonly configured as part of split-tunnel VPN configurations to allow remote access users to use special internal-only domain names.
これらの内部リソースは、内部専用のDNS名しか持たない傾向があり、解決するには特別な内部専用DNSサーバーを使用する必要があります。通常、スプリットDNS [RFC2775]はスプリットトンネルVPN構成の一部として構成され、リモートアクセスユーザーが特別な内部専用ドメイン名を使用できるようにします。
The IKEv2 protocol [RFC7296] negotiates configuration parameters using Configuration Payload Attribute Types. This document defines two Configuration Payload Attribute Types that add support for trusted Split DNS domains.
IKEv2プロトコル[RFC7296]は、構成ペイロード属性タイプを使用して構成パラメータをネゴシエートします。このドキュメントでは、信頼されたスプリットDNSドメインのサポートを追加する2つの構成ペイロード属性タイプを定義します。
The INTERNAL_DNS_DOMAIN attribute type is used to convey that the specified DNS domain MUST be resolved using the provided DNS nameserver IP addresses as specified in the INTERNAL_IP4_DNS and INTERNAL_IP6_DNS Configuration Payloads, causing these requests to use the IPsec connection.
INTERNAL_DNS_DOMAIN属性タイプは、指定されたDNSドメインが、INTERNAL_IP4_DNSおよびINTERNAL_IP6_DNS構成ペイロードで指定されている提供されたDNSネームサーバーIPアドレスを使用して解決されなければならないことを伝えるために使用され、これらの要求でIPsec接続を使用します。
The INTERNAL_DNSSEC_TA attribute type is used to convey a DNSSEC trust anchor for such a domain. This is required if the external view uses DNSSEC, which would prove the internal view does not exist or would expect a different DNSSEC key on the different versions (internal and external) of the enterprise domain.
INTERNAL_DNSSEC_TA属性タイプは、そのようなドメインのDNSSECトラストアンカーを伝達するために使用されます。これは、外部ビューがDNSSECを使用する場合に必要です。これは、内部ビューが存在しないことを証明するか、エンタープライズドメインの異なるバージョン(内部および外部)で異なるDNSSECキーを期待します。
If an INTERNAL_DNS_DOMAIN is sent by the responder, the responder MUST also include one or more INTERNAL_IP4_DNS or INTERNAL_IP6_DNS attributes that contain the IPv4 or IPv6 address of the internal DNS server.
INTERNAL_DNS_DOMAINがレスポンダーによって送信される場合、レスポンダーは、内部DNSサーバーのIPv4またはIPv6アドレスを含む1つ以上のINTERNAL_IP4_DNSまたはINTERNAL_IP6_DNS属性も含める必要があります。
For the purposes of this document, DNS resolution servers accessible through an IPsec connection will be referred to as "internal DNS servers", and other DNS servers will be referred to as "external DNS servers".
このドキュメントでは、IPsec接続を介してアクセスできるDNS解決サーバーを「内部DNSサーバー」と呼び、その他のDNSサーバーを「外部DNSサーバー」と呼びます。
Other tunnel-establishment protocols already support the assignment of Split DNS domains. For example, there are proprietary extensions to IKEv1 that allow a server to assign Split DNS domains to a client.
他のトンネル確立プロトコルは、分割DNSドメインの割り当てをすでにサポートしています。たとえば、サーバーがクライアントにスプリットDNSドメインを割り当てることを可能にするIKEv1の独自の拡張機能があります。
However, the IKEv2 standard does not include a method to configure this option. This document defines a standard way to negotiate this option for IKEv2.
ただし、IKEv2標準には、このオプションを構成する方法は含まれていません。このドキュメントでは、IKEv2のこのオプションをネゴシエートする標準的な方法を定義しています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
If the negotiated IPsec connection is not a split-tunnel configuration, the INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA Configuration Payloads MUST be ignored. This prevents generic (non-enterprise) VPN services from overriding the public DNS hierarchy, which could lead to malicious overrides of DNS and DNSSEC.
ネゴシエートされたIPsec接続がスプリットトンネル構成でない場合、INTERNAL_DNS_DOMAINおよびINTERNAL_DNSSEC_TA構成ペイロードは無視する必要があります。これにより、一般的な(非エンタープライズ)VPNサービスがパブリックDNS階層を上書きすることが防止され、DNSおよびDNSSECの悪意のある上書きにつながる可能性があります。
Such configurations SHOULD instead use only the INTERNAL_IP4_DNS and INTERNAL_IP6_DNS Configuration Payloads to ensure all of the user's DNS traffic is sent through the IPsec connection and does not leak unencrypted information onto the local network, as the local network is often explicitly exempted from IPsec encryption.
そのような構成では、代わりにINTERNAL_IP4_DNSおよびINTERNAL_IP6_DNS構成ペイロードのみを使用して、ユーザーのすべてのDNSトラフィックがIPsec接続を介して送信され、暗号化されていない情報がローカルネットワークに漏洩しないようにする必要があります(ローカルネットワークはIPsec暗号化から明示的に除外されることが多いため)。
For split-tunnel configurations, an enterprise can require one or more DNS domains to be resolved via internal DNS servers. This can be a special domain, such as "corp.example.com" for an enterprise that is publicly known to use "example.com". In this case, the remote user needs to be informed what the internal-only domain names are and what the IP addresses of the internal DNS servers are. An enterprise can also run a different version of its public domain on its internal network. In that case, the VPN client is instructed to send DNS queries for the enterprise public domain (e.g., "example.com") to the internal DNS servers. A configuration for this deployment scenario is referred to as a Split DNS configuration.
スプリットトンネル構成の場合、企業は1つ以上のDNSドメインが内部DNSサーバーを介して解決されることを要求できます。これは、「example.com」を使用することが公に知られている企業の「corp.example.com」などの特別なドメインにすることができます。この場合、リモートユーザーには、内部専用ドメイン名と内部DNSサーバーのIPアドレスを通知する必要があります。企業は、内部ネットワーク上でパブリックドメインの異なるバージョンを実行することもできます。その場合、VPNクライアントは、エンタープライズパブリックドメイン(「example.com」など)のDNSクエリを内部DNSサーバーに送信するように指示されます。この展開シナリオの構成は、スプリットDNS構成と呼ばれます。
Split DNS configurations are often preferable to sending all DNS queries to the enterprise. This allows the remote user to only send DNS queries for the enterprise to the internal DNS servers. The enterprise remains unaware of all non-enterprise (DNS) activity of the user. It also allows the enterprise DNS servers to only be configured for the enterprise DNS domains, which removes the legal and technical responsibility of the enterprise to resolve every DNS domain potentially asked for by the remote user.
多くの場合、すべてのDNSクエリを企業に送信するよりも、分割DNS構成の方が適しています。これにより、リモートユーザーは企業のDNSクエリのみを内部DNSサーバーに送信できます。企業は、ユーザーのすべての非エンタープライズ(DNS)アクティビティを認識しません。また、エンタープライズDNSサーバーをエンタープライズDNSドメインに対してのみ構成できるため、リモートユーザーから要求される可能性のあるすべてのDNSドメインを解決するという、企業の法的および技術的責任がなくなります。
A client using these Configuration Payloads will be able to request and receive Split DNS configurations using the INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA configuration attributes. These attributes MUST be accompanied by one or more INTERNAL_IP4_DNS or INTERNAL_IP6_DNS configuration attributes. The client device can then use the internal DNS server(s) for any DNS queries within the assigned domains. DNS queries for other domains SHOULD be sent to the regular DNS service of the client unless it prefers to use the IPsec tunnel for all its DNS queries. For example, the client could trust the IPsec-provided DNS servers more than the locally provided DNS servers, especially in the case of connecting to unknown or untrusted networks (e.g., coffee shops or hotel networks). Or the client could prefer the IPsec-based DNS servers because they provide additional features compared to the local DNS servers.
これらの構成ペイロードを使用するクライアントは、INTERNAL_DNS_DOMAINおよびINTERNAL_DNSSEC_TA構成属性を使用して、スプリットDNS構成を要求および受信できます。これらの属性には、1つ以上のINTERNAL_IP4_DNSまたはINTERNAL_IP6_DNS構成属性が付随している必要があります。クライアントデバイスは、割り当てられたドメイン内のDNSクエリに内部DNSサーバーを使用できます。他のドメインのDNSクエリは、クライアントがすべてのDNSクエリにIPsecトンネルを使用することを希望しない限り、クライアントの通常のDNSサービスに送信する必要があります(SHOULD)。たとえば、クライアントは、特に不明または信頼されていないネットワーク(たとえば、コーヒーショップやホテルのネットワーク)に接続する場合に、ローカルで提供されたDNSサーバーよりもIPsec提供のDNSサーバーを信頼できます。または、クライアントは、ローカルDNSサーバーと比較して追加の機能を提供するため、IPsecベースのDNSサーバーを優先できます。
In order to negotiate which domains are considered internal to an IKEv2 tunnel, initiators indicate support for Split DNS in their CFG_REQUEST payloads, and responders assign internal domains (and DNSSEC trust anchors) in their CFG_REPLY payloads. When Split DNS has been negotiated, the INTERNAL_IP4_DNS and INTERNAL_IP6_DNS DNS server configuration attributes will be interpreted as internal DNS servers that can resolve hostnames within the internal domains.
IKEv2トンネルの内部と見なされるドメインをネゴシエートするために、イニシエーターはCFG_REQUESTペイロードで分割DNSのサポートを示し、レスポンダはCFG_REPLYペイロードで内部ドメイン(およびDNSSECトラストアンカー)を割り当てます。スプリットDNSがネゴシエートされると、INTERNAL_IP4_DNSおよびINTERNAL_IP6_DNS DNSサーバー構成属性は、内部ドメイン内のホスト名を解決できる内部DNSサーバーとして解釈されます。
To indicate support for Split DNS, an initiator includes one or more INTERNAL_DNS_DOMAIN attributes as defined in Section 4 as part of the CFG_REQUEST payload. If an INTERNAL_DNS_DOMAIN attribute is included in the CFG_REQUEST, the initiator MUST also include one or more INTERNAL_IP4_DNS or INTERNAL_IP6_DNS attributes in the CFG_REQUEST.
スプリットDNSのサポートを示すために、イニシエーターには、CFG_REQUESTペイロードの一部としてセクション4で定義されている1つ以上のINTERNAL_DNS_DOMAIN属性が含まれています。 INTERNAL_DNS_DOMAIN属性がCFG_REQUESTに含まれている場合、イニシエーターはCFG_REQUESTに1つ以上のINTERNAL_IP4_DNSまたはINTERNAL_IP6_DNS属性も含める必要があります。
The INTERNAL_DNS_DOMAIN attribute sent by the initiator is usually empty but MAY contain a suggested domain name.
イニシエーターによって送信されたINTERNAL_DNS_DOMAIN属性は通常空ですが、提案されたドメイン名が含まれている場合があります。
The absence of INTERNAL_DNS_DOMAIN attributes in the CFG_REQUEST payload indicates that the initiator does not support or is unwilling to accept a Split DNS configuration.
CFG_REQUESTペイロードにINTERNAL_DNS_DOMAIN属性がない場合は、イニシエーターがスプリットDNS構成をサポートしていないか、受け入れたくないことを示しています。
To indicate support for receiving DNSSEC trust anchors for Split DNS domains, an initiator includes one or more INTERNAL_DNSSEC_TA attributes as defined in Section 4 as part of the CFG_REQUEST payload. If an INTERNAL_DNSSEC_TA attribute is included in the CFG_REQUEST, the initiator MUST also include one or more INTERNAL_DNS_DOMAIN attributes in the CFG_REQUEST. If the initiator includes an INTERNAL_DNSSEC_TA attribute but does not include an INTERNAL_DNS_DOMAIN attribute, the responder MAY still respond with both INTERNAL_DNSSEC_TA and INTERNAL_DNS_DOMAIN attributes.
スプリットDNSドメインのDNSSECトラストアンカーを受信するためのサポートを示すために、イニシエーターには、CFG_REQUESTペイロードの一部としてセクション4で定義されている1つ以上のINTERNAL_DNSSEC_TA属性が含まれています。 INTERNAL_DNSSEC_TA属性がCFG_REQUESTに含まれている場合、イニシエーターはCFG_REQUESTに1つ以上のINTERNAL_DNS_DOMAIN属性を含める必要があります。イニシエーターがINTERNAL_DNSSEC_TA属性を含むがINTERNAL_DNS_DOMAIN属性を含まない場合、レスポンダーは引き続きINTERNAL_DNSSEC_TAおよびINTERNAL_DNS_DOMAIN属性の両方で応答できます。
An initiator MAY convey its current DNSSEC trust anchors for the domain specified in the INTERNAL_DNS_DOMAIN attribute. A responder can use this information to determine that it does not need to send a different trust anchor. If the initiator does not wish to convey this information, it MUST use a length of 0.
イニシエーターは、INTERNAL_DNS_DOMAIN属性で指定されたドメインの現在のDNSSECトラストアンカーを伝達してもよい(MAY)。レスポンダはこの情報を使用して、別のトラストアンカーを送信する必要がないことを判断できます。イニシエーターがこの情報を伝えたくない場合は、長さ0を使用する必要があります。
The absence of INTERNAL_DNSSEC_TA attributes in the CFG_REQUEST payload indicates that the initiator does not support or is unwilling to accept the DNSSEC trust anchor configuration.
CFG_REQUESTペイロードにINTERNAL_DNSSEC_TA属性がない場合は、イニシエーターがDNSSECトラストアンカー構成をサポートしていないか、受け入れることを望んでいないことを示しています。
Responders MAY send one or more INTERNAL_DNS_DOMAIN attributes in their CFG_REPLY payload. If an INTERNAL_DNS_DOMAIN attribute is included in the CFG_REPLY, the responder MUST also include one or both of the INTERNAL_IP4_DNS and INTERNAL_IP6_DNS attributes in the CFG_REPLY. These DNS server configurations are necessary to define which servers can receive queries for hostnames in internal domains. If the CFG_REQUEST included an INTERNAL_DNS_DOMAIN attribute but the CFG_REPLY does not include an INTERNAL_DNS_DOMAIN attribute, the initiator MUST behave as if Split DNS configurations are not supported by the server, unless the initiator has been configured with local policy to define a set of Split DNS domains to use by default.
レスポンダは、CFG_REPLYペイロードで1つ以上のINTERNAL_DNS_DOMAIN属性を送信できます。 INTERNAL_DNS_DOMAIN属性がCFG_REPLYに含まれている場合、レスポンダはCFG_REPLYにINTERNAL_IP4_DNSおよびINTERNAL_IP6_DNS属性の一方または両方を含める必要があります。これらのDNSサーバー構成は、内部サーバーでホスト名のクエリを受信できるサーバーを定義するために必要です。 CFG_REQUESTにINTERNAL_DNS_DOMAIN属性が含まれていて、CFG_REPLYにINTERNAL_DNS_DOMAIN属性が含まれていない場合、イニシエーターが一連のスプリットDNSドメインを定義するローカルポリシーで構成されていない限り、イニシエーターはスプリットDNS構成がサーバーでサポートされていないかのように動作する必要があります。デフォルトで使用します。
Each INTERNAL_DNS_DOMAIN represents a domain that the DNS server addresses listed in INTERNAL_IP4_DNS and INTERNAL_IP6_DNS can resolve.
各INTERNAL_DNS_DOMAINは、INTERNAL_IP4_DNSおよびINTERNAL_IP6_DNSにリストされているDNSサーバーアドレスが解決できるドメインを表します。
If the CFG_REQUEST included INTERNAL_DNS_DOMAIN attributes with non-zero lengths, the content MAY be ignored or be interpreted as a suggestion by the responder.
CFG_REQUESTに長さがゼロ以外のINTERNAL_DNS_DOMAIN属性が含まれている場合、コンテンツは無視されるか、レスポンダによる提案として解釈される場合があります。
For each DNS domain specified in an INTERNAL_DNS_DOMAIN attribute, one or more INTERNAL_DNSSEC_TA attributes MAY be included by the responder. This attribute lists the corresponding internal DNSSEC trust anchor information of a DS record (see [RFC4034]). The INTERNAL_DNSSEC_TA attribute MUST immediately follow the INTERNAL_DNS_DOMAIN attribute that it applies to.
INTERNAL_DNS_DOMAIN属性で指定されたDNSドメインごとに、1つ以上のINTERNAL_DNSSEC_TA属性がレスポンダによって含まれる場合があります。この属性は、DSレコードの対応する内部DNSSECトラストアンカー情報をリストします([RFC4034]を参照)。 INTERNAL_DNSSEC_TA属性は、それが適用されるINTERNAL_DNS_DOMAIN属性の直後に続く必要があります。
All DNS servers provided in the CFG_REPLY MUST support resolving hostnames within all INTERNAL_DNS_DOMAIN domains. In other words, the INTERNAL_DNS_DOMAIN attributes in a CFG_REPLY payload form a single list of Split DNS domains that applies to the entire list of INTERNAL_IP4_DNS and INTERNAL_IP6_DNS attributes.
CFG_REPLYで提供されるすべてのDNSサーバーは、すべてのINTERNAL_DNS_DOMAINドメイン内のホスト名の解決をサポートする必要があります。つまり、CFG_REPLYペイロードのINTERNAL_DNS_DOMAIN属性は、INTERNAL_IP4_DNSおよびINTERNAL_IP6_DNS属性のリスト全体に適用される分割DNSドメインの単一のリストを形成します。
In this example exchange, the initiator requests INTERNAL_IP4_DNS, INTERNAL_IP6_DNS, and INTERNAL_DNS_DOMAIN attributes in the CFG_REQUEST but does not specify any value for either. This indicates that it supports Split DNS but has no preference for which DNS requests will be routed through the tunnel.
この交換例では、イニシエーターはCFG_REQUESTのINTERNAL_IP4_DNS、INTERNAL_IP6_DNS、およびINTERNAL_DNS_DOMAIN属性を要求しますが、どちらの値も指定していません。これは、それがスプリットDNSをサポートしているが、どのDNS要求がトンネルを介してルーティングされるかについて優先順位がないことを示しています。
The responder replies with two DNS server addresses and two internal domains, "example.com" and "city.other.test".
応答側は、2つのDNSサーバーアドレスと2つの内部ドメイン「example.com」と「city.other.test」で応答します。
Any subsequent DNS queries from the initiator for domains such as "www.example.com" SHOULD use 198.51.100.2 or 198.51.100.4 to resolve.
「www.example.com」などのドメインのイニシエーターからの後続のDNSクエリは、解決のために198.51.100.2または198.51.100.4を使用する必要があります(SHOULD)。
CP(CFG_REQUEST) = INTERNAL_IP4_ADDRESS() INTERNAL_IP4_DNS() INTERNAL_IP6_ADDRESS() INTERNAL_IP6_DNS() INTERNAL_DNS_DOMAIN()
CP(CFG_REQUEST)= INTERNAL_IP4_ADDRESS()INTERNAL_IP4_DNS()INTERNAL_IP6_ADDRESS()INTERNAL_IP6_DNS()INTERNAL_DNS_DOMAIN()
CP(CFG_REPLY) =
INTERNAL_IP4_ADDRESS(198.51.100.234)
INTERNAL_IP4_DNS(198.51.100.2)
INTERNAL_IP4_DNS(198.51.100.4)
INTERNAL_IP6_ADDRESS(2001:DB8:0:1:2:3:4:5/64)
INTERNAL_IP6_DNS(2001:DB8:99:88:77:66:55:44)
INTERNAL_DNS_DOMAIN(example.com)
INTERNAL_DNS_DOMAIN(city.other.test)
In this example exchange, the initiator requests INTERNAL_IP4_DNS, INTERNAL_IP6_DNS, INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA attributes in the CFG_REQUEST.
この交換例では、イニシエーターはCFG_REQUESTのINTERNAL_IP4_DNS、INTERNAL_IP6_DNS、INTERNAL_DNS_DOMAIN、およびINTERNAL_DNSSEC_TA属性を要求します。
Any subsequent DNS queries from the initiator for domains such as "www.example.com" or "city.other.test" would be DNSSEC validated using the DNSSEC trust anchor received in the CFG_REPLY.
「www.example.com」や「city.other.test」などのドメインのイニシエーターからの後続のDNSクエリは、CFG_REPLYで受信したDNSSECトラストアンカーを使用してDNSSEC検証されます。
In this example, the initiator has no existing DNSSEC trust anchors for the requested domain. The "example.com" domain has DNSSEC trust anchors that are returned, while the "other.test" domain has no DNSSEC trust anchors.
この例では、イニシエーターには、要求されたドメインの既存のDNSSECトラストアンカーがありません。 「example.com」ドメインにはDNSSECトラストアンカーが返されますが、「other.test」ドメインにはDNSSECトラストアンカーがありません。
CP(CFG_REQUEST) = INTERNAL_IP4_ADDRESS() INTERNAL_IP4_DNS() INTERNAL_IP6_ADDRESS() INTERNAL_IP6_DNS() INTERNAL_DNS_DOMAIN() INTERNAL_DNSSEC_TA()
CP(CFG_REQUEST)= INTERNAL_IP4_ADDRESS()INTERNAL_IP4_DNS()INTERNAL_IP6_ADDRESS()INTERNAL_IP6_DNS()INTERNAL_DNS_DOMAIN()INTERNAL_DNSSEC_TA()
CP(CFG_REPLY) =
INTERNAL_IP4_ADDRESS(198.51.100.234)
INTERNAL_IP4_DNS(198.51.100.2)
INTERNAL_IP4_DNS(198.51.100.4)
INTERNAL_IP6_ADDRESS(2001:DB8:0:1:2:3:4:5/64)
INTERNAL_IP6_DNS(2001:DB8:99:88:77:66:55:44)
INTERNAL_DNS_DOMAIN(example.com)
INTERNAL_DNSSEC_TA(43547,8,1,B6225AB2CC613E0DCA7962BDC2342EA4...)
INTERNAL_DNSSEC_TA(31406,8,2,F78CF3344F72137235098ECBBD08947C...)
INTERNAL_DNS_DOMAIN(city.other.test)
All multi-octet fields representing integers are laid out in big-endian order (also known as "most significant byte first" or "network byte order").
整数を表すすべてのマルチオクテットフィールドは、ビッグエンディアン順(「最上位バイトファースト」または「ネットワークバイトオーダー」とも呼ばれます)でレイアウトされます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-----------------------------+-------------------------------+
|R| Attribute Type | Length |
+-+-----------------------------+-------------------------------+
| |
~ Domain Name in DNS presentation format ~
| |
+---------------------------------------------------------------+
o Reserved (1 bit) - Defined in IKEv2 RFC [RFC7296].
o 予約済み(1ビット)-IKEv2 RFC [RFC7296]で定義されています。
o Attribute Type (15 bits) - set to value 25 for INTERNAL_DNS_DOMAIN.
o 属性タイプ(15ビット)-INTERNAL_DNS_DOMAINの値25に設定します。
o Length (2 octets) - Length of domain name.
o 長さ(2オクテット)-ドメイン名の長さ。
o Domain Name (0 or more octets) - A Fully Qualified Domain Name used for Split DNS rules, such as "example.com", in DNS presentation format and using an Internationalized Domain Names for Applications (IDNA) A-label [RFC5890]. Implementors need to be careful that this value is not null terminated.
o ドメイン名(0以上のオクテット)-「example.com」などのスプリットDNSルールに使用される完全修飾ドメイン名。DNSプレゼンテーション形式で、アプリケーション用の国際化ドメイン名(IDNA)Aラベル[RFC5890]を使用します。実装者は、この値がnullで終了しないように注意する必要があります。
An INTERNAL_DNSSEC_TA Configuration Attribute can either be empty, or it can contain one trust anchor by containing a non-zero Length with a DNSKEY Key Tag, DNSKEY Algorithm, Digest Type and Digest Data fields.
INTERNAL_DNSSEC_TA構成属性は空にすることも、DNSKEYキータグ、DNSKEYアルゴリズム、ダイジェストタイプ、ダイジェストデータフィールドにゼロ以外の長さを含めることで、1つのトラストアンカーを含めることもできます。
An empty INTERNAL_DNSSEC_TA CFG attribute:
空のINTERNAL_DNSSEC_TA CFG属性:
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-----------------------------+-------------------------------+
|R| Attribute Type | Length (set to 0) |
+-+-----------------------------+-------------------------------+
o Reserved (1 bit) - Defined in IKEv2 RFC [RFC7296].
o 予約済み(1ビット)-IKEv2 RFC [RFC7296]で定義されています。
o Attribute Type (15 bits) - set to value 26 for INTERNAL_DNSSEC_TA.
o 属性タイプ(15ビット)-INTERNAL_DNSSEC_TAの値26に設定。
o Length (2 octets) - Set to 0 for an empty attribute.
o 長さ(2オクテット)-空の属性の場合は0に設定します。
A non-empty INTERNAL_DNSSEC_TA CFG attribute:
空でないINTERNAL_DNSSEC_TA CFG属性:
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-----------------------------+-------------------------------+
|R| Attribute Type | Length |
+-+-----------------------------+---------------+---------------+
| DNSKEY Key Tag | DNSKEY Alg | Digest Type |
+-------------------------------+---------------+---------------+
| |
~ Digest Data ~
| |
+---------------------------------------------------------------+
o Reserved (1 bit) - Defined in IKEv2 RFC [RFC7296].
o 予約済み(1ビット)-IKEv2 RFC [RFC7296]で定義されています。
o Attribute Type (15 bits) - set to value 26 for INTERNAL_DNSSEC_TA.
o 属性タイプ(15ビット)-INTERNAL_DNSSEC_TAの値26に設定。
o Length (2 octets) - Length of DNSSEC trust anchor data (4 octets plus the length of the Digest Data).
o 長さ(2オクテット)-DNSSECトラストアンカーデータの長さ(4オクテット+ダイジェストデータの長さ)。
o DNSKEY Key Tag (2 octets) - Delegation Signer (DS) Key Tag as specified in Section 5.1 of [RFC4034].
o DNSKEYキータグ(2オクテット)-[RFC4034]のセクション5.1で指定されている委任署名者(DS)キータグ。
o DNSKEY Algorithm (1 octet) - DNSKEY algorithm value from the IANA DNS Security Algorithm Numbers Registry.
o DNSKEYアルゴリズム(1オクテット)-IANA DNSセキュリティアルゴリズム番号レジストリからのDNSKEYアルゴリズム値。
o Digest Type (1 octet) - DS algorithm value from the IANA Delegation Signer (DS) Resource Record (RR) Type Digest Algorithms Registry.
o ダイジェストタイプ(1オクテット)-IANA委任署名者(DS)リソースレコード(RR)タイプダイジェストアルゴリズムレジストリからのDSアルゴリズム値。
o Digest Data (1 or more octets) - The DNSKEY digest as specified in Section 5.1 of [RFC4034] in presentation format.
o ダイジェストデータ(1オクテット以上)-プレゼンテーション形式で[RFC4034]のセクション5.1で指定されているDNSKEYダイジェスト。
Each INTERNAL_DNSSEC_TA attribute in the CFG_REPLY payload MUST immediately follow a corresponding INTERNAL_DNS_DOMAIN attribute. As the INTERNAL_DNSSEC_TA format itself does not contain the domain name, it relies on the preceding INTERNAL_DNS_DOMAIN to provide the domain for which it specifies the trust anchor. Any INTERNAL_DNSSEC_TA attribute that is not immediately preceded by an INTERNAL_DNS_DOMAIN or another INTERNAL_DNSSEC_TA attribute applying to the same domain name MUST be ignored.
CFG_REPLYペイロードの各INTERNAL_DNSSEC_TA属性は、対応するINTERNAL_DNS_DOMAIN属性の直後に続く必要があります。 INTERNAL_DNSSEC_TA形式自体にはドメイン名が含まれていないため、トラストアンカーを指定するドメインを提供するには、前述のINTERNAL_DNS_DOMAINに依存します。同じドメイン名に適用されるINTERNAL_DNS_DOMAINまたは別のINTERNAL_DNSSEC_TA属性の直後にないINTERNAL_DNSSEC_TA属性は、無視する必要があります。
If a CFG_REPLY payload contains no INTERNAL_DNS_DOMAIN attributes, the client MAY use the provided INTERNAL_IP4_DNS or INTERNAL_IP6_DNS servers as the default DNS server(s) for all queries.
CFG_REPLYペイロードにINTERNAL_DNS_DOMAIN属性が含まれていない場合、クライアントは提供されたINTERNAL_IP4_DNSまたはINTERNAL_IP6_DNSサーバーをすべてのクエリのデフォルトDNSサーバーとして使用できます(MAY)。
If a client is configured by local policy to only accept a limited set of INTERNAL_DNS_DOMAIN values, the client MUST ignore any other INTERNAL_DNS_DOMAIN values.
クライアントがINTERNAL_DNS_DOMAIN値の限定されたセットのみを受け入れるようにローカルポリシーで構成されている場合、クライアントは他のINTERNAL_DNS_DOMAIN値を無視する必要があります。
For each INTERNAL_DNS_DOMAIN entry in a CFG_REPLY payload that is not prohibited by local policy, the client MUST use the provided INTERNAL_IP4_DNS or INTERNAL_IP6_DNS DNS servers as the only resolvers for the listed domains and its subdomains, and it MUST NOT attempt to resolve the provided DNS domains using its external DNS servers. Other domain names SHOULD be resolved using some other external DNS resolver(s) that are configured independently from IKE. Queries for these other domains MAY be sent to the internal DNS resolver(s) listed in that CFG_REPLY message, but they have no guarantee of being answered. For example, if the INTERNAL_DNS_DOMAIN attribute specifies "example.test", then "example.test", "www.example.test", and "mail.eng.example.test" MUST be resolved using the internal DNS resolver(s), but "otherexample.test" and "ple.test" MUST NOT be resolved using the internal resolver and MUST use the system's external DNS resolver(s).
ローカルポリシーで禁止されていないCFG_REPLYペイロードのINTERNAL_DNS_DOMAINエントリごとに、クライアントは提供されたINTERNAL_IP4_DNSまたはINTERNAL_IP6_DNS DNSサーバーをリストされたドメインとそのサブドメインの唯一のリゾルバーとして使用する必要があり、提供されたDNSドメインの解決を試みてはなりません(MUST NOT)外部DNSサーバーを使用する。他のドメイン名は、IKEから独立して構成された他の外部DNSリゾルバーを使用して解決する必要があります(SHOULD)。これらの他のドメインのクエリは、そのCFG_REPLYメッセージにリストされている内部DNSリゾルバーに送信される場合がありますが、応答される保証はありません。たとえば、INTERNAL_DNS_DOMAIN属性が「example.test」を指定している場合、「example.test」、「www.example.test」、および「mail.eng.example.test」は、内部DNSリゾルバーを使用して解決する必要がありますただし、「otherexample.test」と「ple.test」は、内部リゾルバーを使用して解決してはならず、システムの外部DNSリゾルバーを使用する必要があります。
The initiator SHOULD allow the DNS domains listed in the INTERNAL_DNS_DOMAIN attributes to resolve to special IP address ranges, such as those of [RFC1918], even if the initiator host is otherwise configured to block a DNS answer containing these special IP address ranges.
イニシエーターホストは、これらの特別なIPアドレス範囲を含むDNS応答をブロックするように別の方法で構成されている場合でも、INTERNAL_DNS_DOMAIN属性にリストされているDNSドメインが[RFC1918]のような特別なIPアドレス範囲に解決できるようにする必要があります。
When an IKE Security Association (SA) is terminated, the DNS forwarding MUST be unconfigured. This includes deleting the DNS forwarding rules; flushing all cached data for DNS domains provided by the INTERNAL_DNS_DOMAIN attribute, including negative cache entries; removing any obtained DNSSEC trust anchors from the list of trust anchors; and clearing the outstanding DNS request queue.
IKE Security Association(SA)が終了するとき、DNS転送を構成解除する必要があります。これには、DNS転送ルールの削除が含まれます。負のキャッシュエントリを含む、INTERNAL_DNS_DOMAIN属性によって提供されるDNSドメインのすべてのキャッシュデータをフラッシュします。取得したDNSSECトラストアンカーをトラストアンカーのリストから削除する。未処理のDNS要求キューをクリアします。
INTERNAL_DNS_DOMAIN attributes SHOULD only be used on split-tunnel configurations where only a subset of traffic is routed into a private remote network using the IPsec connection. If all traffic is routed over the IPsec connection, the existing global INTERNAL_IP4_DNS and INTERNAL_IP6_DNS can be used without creating specific DNS or DNSSEC exemptions.
INTERNAL_DNS_DOMAIN属性は、トラフィックのサブセットのみがIPsec接続を使用してプライベートリモートネットワークにルーティングされるスプリットトンネル構成でのみ使用する必要があります(SHOULD)。すべてのトラフィックがIPsec接続経由でルーティングされる場合、既存のグローバルINTERNAL_IP4_DNSおよびINTERNAL_IP6_DNSは、特定のDNSまたはDNSSEC除外を作成せずに使用できます。
DNS records can be used to publish specific records containing trust anchors for applications. The most common record type is the TLSA record specified in [RFC6698]. This DNS record type publishes which Certification Authority (CA) certificate or End Entity (EE) certificate to expect for a certain host name. These records are protected by DNSSEC and thus are trustable by the application. Whether to trust TLSA records instead of the traditional Web PKI depends on the local policy of the client. By accepting an INTERNAL_DNSSEC_TA trust anchor via IKE from the remote IKE server, the IPsec client might be allowing the remote IKE server to override the trusted certificates for TLS. Similar override concerns apply to other public key or fingerprint-based DNS records, such as OPENPGPKEY, SMIMEA, or IPSECKEY records.
DNSレコードを使用して、アプリケーションのトラストアンカーを含む特定のレコードを公開できます。最も一般的なレコードタイプは、[RFC6698]で指定されているTLSAレコードです。このDNSレコードタイプは、特定のホスト名に対して予期する認証局(CA)証明書またはエンドエンティティ(EE)証明書を公開します。これらのレコードはDNSSECによって保護されているため、アプリケーションから信頼できます。従来のWeb PKIではなくTLSAレコードを信頼するかどうかは、クライアントのローカルポリシーによって異なります。リモートのIKEサーバーからIKEを介してINTERNAL_DNSSEC_TAトラストアンカーを受け入れることにより、IPsecクライアントは、リモートのIKEサーバーがTLSの信頼できる証明書を上書きできるようにする可能性があります。同様のオーバーライドの懸念が、OPENPGPKEY、SMIMEA、IPSECKEYレコードなど、他の公開キーまたは指紋ベースのDNSレコードに適用されます。
Thus, installing an INTERNAL_DNSSEC_TA trust anchor can be seen as the equivalent of installing an Enterprise CA certificate. It allows the remote IKE/IPsec server to modify DNS answers, including DNSSEC cryptographic signatures, by overriding existing DNS information with a trust anchor conveyed via IKE and (temporarily) installed on the IKE client. Of specific concern is the overriding of TLSA records based on [RFC6698], which represents a confirmation or override of an existing Web PKI TLS certificate. Other DNS record types that convey cryptographic materials (public keys or fingerprints) are OPENPGPKEY, SMIMEA, SSHP, and IPSECKEY records.
したがって、INTERNAL_DNSSEC_TAトラストアンカーのインストールは、エンタープライズCA証明書のインストールと同等と見なすことができます。リモートのIKE / IPsecサーバーは、既存のDNS情報を、IKEを介して(一時的に)IKEクライアントにインストールされたトラストアンカーで上書きすることにより、DNSSEC暗号署名を含むDNS回答を変更できます。特に懸念されるのは、既存のWeb PKI TLS証明書の確認または上書きを表す[RFC6698]に基づくTLSAレコードの上書きです。暗号化資料(公開鍵または指紋)を伝達する他のDNSレコードタイプは、OPENPGPKEY、SMIMEA、SSHP、およびIPSECKEYレコードです。
IKE clients willing to accept INTERNAL_DNSSEC_TA attributes MUST use a whitelist of one or more domains that can be updated out of band. IKE clients with an empty whitelist MUST NOT use any INTERNAL_DNSSEC_TA attributes received over IKE. Such clients MAY interpret receiving an INTERNAL_DNSSEC_TA attribute for a non-whitelisted domain as an indication that their local configuration may need to be updated out of band.
INTERNAL_DNSSEC_TA属性を受け入れる用意があるIKEクライアントは、帯域外で更新できる1つ以上のドメインのホワイトリストを使用する必要があります。空のホワイトリストを持つIKEクライアントは、IKEを介して受信したINTERNAL_DNSSEC_TA属性を使用してはなりません(MUST NOT)。このようなクライアントは、ホワイトリストに登録されていないドメインのINTERNAL_DNSSEC_TA属性の受信を、ローカル構成を帯域外で更新する必要があることを示すものと解釈する場合があります。
IKE clients should take care to only whitelist domains that apply to internal or managed domains rather than to generic Internet traffic. The DNS root zone (".") MUST be ignored if it appears in a whitelist. Other generic or public domains, such as Top-Level Domains (TLDs), similarly MUST be ignored if they appear in a whitelist unless the entity actually is the operator of the TLD. To determine this, an implementation MAY interactively ask the user when a VPN profile is installed or activated to confirm this. Alternatively, it MAY provide a special override keyword in its provisioning configuration to ensure non-interactive agreement can be achieved only by the party provisioning the VPN client, who presumably is a trusted entity by the end user. Similarly, an entity might be using a special domain name, such as ".internal", for its internal-only view and might wish to force its provisioning system to accept such a domain in a Split DNS configuration.
IKEクライアントは、一般的なインターネットトラフィックではなく、内部または管理対象ドメインに適用されるホワイトリストドメインのみに注意を払う必要があります。 DNSルートゾーン( "。")がホワイトリストに表示される場合は、無視する必要があります。トップレベルドメイン(TLD)などの他の一般的なドメインまたはパブリックドメインも、エンティティが実際にTLDのオペレーターでない限り、ホワイトリストに表示される場合は同様に無視する必要があります。これを決定するために、実装は、VPNプロファイルがインストールまたはアクティブ化されたときにこれを確認するようにユーザーに対話的に要求する場合があります。または、プロビジョニング構成に特別なオーバーライドキーワードを提供して、VPNクライアントをプロビジョニングする当事者のみが確実に非対話的な合意を達成できるようにします。同様に、エンティティは内部のみのビューに「.internal」などの特別なドメイン名を使用していて、プロビジョニングシステムにスプリットDNS構成でそのようなドメインを受け入れるように強制したい場合があります。
Any updates to this whitelist of domain names MUST happen via explicit human interaction or by a trusted automated provision system to prevent malicious invisible installation of trust anchors in case of an IKE server compromise.
ドメイン名のこのホワイトリストへの更新は、IKEサーバーが侵害された場合に悪意のあるトラストアンカーの目に見えないインストールを防ぐために、明示的な人間の相互作用または信頼できる自動プロビジョニングシステムによって行われる必要があります。
IKE clients SHOULD accept any INTERNAL_DNSSEC_TA updates for subdomain names of the whitelisted domain names. For example, if "example.net" is whitelisted, then INTERNAL_DNSSEC_TA received for "antartica.example.net" SHOULD be accepted.
IKEクライアントは、ホワイトリストに登録されたドメイン名のサブドメイン名のINTERNAL_DNSSEC_TA更新を受け入れる必要があります(SHOULD)。たとえば、「example.net」がホワイトリストに登録されている場合、「antartica.example.net」に対して受信されたINTERNAL_DNSSEC_TAは受け入れられる必要があります(SHOULD)。
IKE clients MUST ignore any received INTERNAL_DNSSEC_TA attributes for a Fully Qualified Domain Name (FQDN) for which it did not receive and accept an INTERNAL_DNS_DOMAIN Configuration Payload.
IKEクライアントは、INTERNAL_DNS_DOMAIN構成ペイロードを受信および受け入れなかった完全修飾ドメイン名(FQDN)の受信されたINTERNAL_DNSSEC_TA属性を無視する必要があります。
In most deployment scenarios, the IKE client has an expectation that it is connecting to a specific organization or enterprise using a split-network setup. A recommended policy would be to only accept INTERNAL_DNSSEC_TA directives from that organization's DNS names. However, this might not be possible in all deployment scenarios, such as one where the IKE server is handing out a number of domains that are not within one parent domain.
ほとんどの展開シナリオでは、IKEクライアントは、分割ネットワークセットアップを使用して特定の組織または企業に接続していることを想定しています。推奨されるポリシーは、その組織のDNS名からのINTERNAL_DNSSEC_TAディレクティブのみを受け入れることです。ただし、これは、IKEサーバーが1つの親ドメイン内にない多数のドメインを配っている場合など、すべての展開シナリオで可能とは限りません。
This document defines two new IKEv2 Configuration Payload Attribute Types, which are allocated from the "IKEv2 Configuration Payload Attribute Types" namespace.
このドキュメントでは、「IKEv2構成ペイロード属性タイプ」名前空間から割り当てられる2つの新しいIKEv2構成ペイロード属性タイプを定義します。
Multi-
Value Attribute Type Valued Length Reference
------ ------------------- ------ ---------- ---------------
25 INTERNAL_DNS_DOMAIN YES 0 or more RFC 8598
26 INTERNAL_DNSSEC_TA YES 0 or more RFC 8598
Figure 1
図1
As stated in Section 2, if the negotiated IPsec connection is not a split-tunnel configuration, the INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA Configuration Payloads MUST be ignored. Otherwise, generic VPN service providers could maliciously override DNSSEC-based trust anchors of public DNS domains.
セクション2で述べたように、ネゴシエートされたIPsec接続がスプリットトンネル構成でない場合、INTERNAL_DNS_DOMAINおよびINTERNAL_DNSSEC_TA構成ペイロードは無視する必要があります。そうしないと、一般的なVPNサービスプロバイダーが、パブリックDNSドメインのDNSSECベースのトラストアンカーを悪意を持って上書きする可能性があります。
An initiator MUST only accept INTERNAL_DNSSEC_TAs for which it has a whitelist, since this mechanism allows the credential used to authenticate an IKEv2 association to be leveraged into authenticating credentials for other connections. Initiators should ensure that they have sufficient trust in the responder when using this mechanism. An initiator MAY treat a received INTERNAL_DNSSEC_TA for a non-whitelisted domain as a signal to update the whitelist via a non-IKE provisioning mechanism. See Section 6 for additional security considerations for DNSSEC trust anchors.
イニシエーターは、IKEv2アソシエーションの認証に使用される資格情報を他の接続の認証資格情報に活用できるため、ホワイトリストがあるINTERNAL_DNSSEC_TAのみを受け入れる必要があります。イニシエーターは、このメカニズムを使用する場合、レスポンダーに十分な信頼があることを確認する必要があります。イニシエーターは、ホワイトリストに登録されていないドメインの受信されたINTERNAL_DNSSEC_TAを、非IKEプロビジョニングメカニズムを介してホワイトリストを更新するシグナルとして扱うことができます。 DNSSECトラストアンカーのセキュリティに関するその他の考慮事項については、セクション6を参照してください。
The use of Split DNS configurations assigned by an IKEv2 responder is predicated on the trust established during IKE SA authentication. However, if IKEv2 is being negotiated with an anonymous or unknown endpoint (such as for Opportunistic Security [RFC7435]), the initiator MUST ignore Split DNS configurations assigned by the responder.
IKEv2レスポンダによって割り当てられたスプリットDNS構成の使用は、IKE SA認証中に確立された信頼に基づいています。ただし、IKEv2が匿名または不明のエンドポイントと交渉されている場合(日和見セキュリティ[RFC7435]など)、イニシエーターはレスポンダーによって割り当てられたスプリットDNS構成を無視する必要があります。
If a host connected to an authenticated IKE peer is connecting to another IKE peer that attempts to claim the same domain via the INTERNAL_DNS_DOMAIN attribute, the IKE connection SHOULD only process the DNS information if the two connections are part of the same logical entity. Otherwise, the client SHOULD refuse the DNS information and potentially warn the end user. For example, if a VPN profile for "Example Corporation" is installed that provides two IPsec connections, one covering 192.168.100.0/24 and one covering 10.13.14.0/24, it could be that both connections negotiate the same INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA values. Since these are part of the same remote organization (or provisioning profile), the Configuration Payloads can be used. However, if a user installs two VPN profiles from two different unrelated independent entities, both could be configured to use the same domain -- for example, ".internal". These two connections MUST NOT be allowed to be active at the same time.
認証されたIKEピアに接続されているホストが、INTERNAL_DNS_DOMAIN属性を介して同じドメインを要求しようとする別のIKEピアに接続している場合、IKE接続は、2つの接続が同じ論理エンティティの一部である場合にのみDNS情報を処理する必要があります。それ以外の場合、クライアントはDNS情報を拒否し、エンドユーザーに警告する必要があります(SHOULD)。たとえば、192.168.100.0 / 24をカバーする1つと10.13.14.0/24をカバーする2つのIPsec接続を提供する「Example Corporation」のVPNプロファイルがインストールされている場合、両方の接続が同じINTERNAL_DNS_DOMAINとINTERNAL_DNSSEC_TAの値をネゴシエートする可能性があります。これらは同じリモート組織(またはプロビジョニングプロファイル)の一部であるため、構成ペイロードを使用できます。ただし、ユーザーが2つの異なる無関係な独立したエンティティから2つのVPNプロファイルをインストールする場合、両方が同じドメインを使用するように設定される可能性があります(たとえば、 "。internal")。これら2つの接続は、同時にアクティブであってはなりません。
If the initiator is using DNSSEC validation for a domain in its public DNS view and it requests and receives an INTERNAL_DNS_DOMAIN attribute without an INTERNAL_DNSSEC_TA, it will need to reconfigure its DNS resolver to allow for an insecure delegation. It SHOULD NOT accept insecure delegations for domains that are DNSSEC signed in the public DNS view for which it has not explicitly requested such delegation, i.e., for which it has not used an INTERNAL_DNS_DOMAIN request to specify the domain.
イニシエーターがパブリックDNSビューでドメインのDNSSEC検証を使用していて、INTERNAL_DNSSEC_TAなしでINTERNAL_DNS_DOMAIN属性を要求して受信する場合、安全でない委任を許可するようにDNSリゾルバーを再構成する必要があります。そのような委任を明示的に要求していない、つまりドメインを指定するためにINTERNAL_DNS_DOMAIN要求を使用していないパブリックDNSビューでDNSSECで署名されたドメインの安全でない委任は受け入れないでください。
Deployments that configure INTERNAL_DNS_DOMAIN domains should pay close attention to their use of indirect reference RRtypes in their internal-only domain names. Examples of such RRtypes are NS, CNAME, DNAME, MX, or SRV records. For example, if the MX record for "internal.example.com" points to "mx.internal.example.net", then both "internal.example.com" and "internal.example.net" should be sent using an INTERNAL_DNS_DOMAIN Configuration Payload.
INTERNAL_DNS_DOMAINドメインを構成するデプロイメントでは、内部専用ドメイン名での間接参照RRtypeの使用に細心の注意を払う必要があります。そのようなRRtypeの例は、NS、CNAME、DNAME、MX、またはSRVレコードです。たとえば、「internal.example.com」のMXレコードが「mx.internal.example.net」を指している場合、「internal.example.com」と「internal.example.net」の両方をINTERNAL_DNS_DOMAINを使用して送信する必要があります設定ペイロード。
IKE clients MAY want to require whitelisted domains for Top-Level Domains (TLDs) and Second-Level Domains (SLDs) to further prevent malicious DNS redirections for well-known domains. This prevents users from unknowingly giving DNS queries to third parties. This is even more important if those well-known domains are not deploying DNSSEC, as the VPN service provider could then even modify the DNS answers without detection.
IKEクライアントは、既知のドメインに対する悪意のあるDNSリダイレクトをさらに防ぐために、トップレベルドメイン(TLD)およびセカンドレベルドメイン(SLD)のホワイトリストドメインを要求することができます。これにより、ユーザーが知らないうちにサードパーティにDNSクエリを送信することを防ぎます。 VPNサービスプロバイダーがDNS応答を検出せずに変更する可能性があるため、これらの既知のドメインがDNSSECを展開していない場合、これはさらに重要です。
The content of INTERNAL_DNS_DOMAIN and INTERNAL_DNSSEC_TA may be passed to another (DNS) program for processing. As with any network input, the content SHOULD be considered untrusted and handled accordingly.
INTERNAL_DNS_DOMAINおよびINTERNAL_DNSSEC_TAの内容は、処理のために別の(DNS)プログラムに渡される場合があります。他のネットワーク入力と同様に、コンテンツは信頼できないものと見なされ、適切に処理される必要があります。
[RFC1918] Rekhter, Y., Moskowitz, B., Karrenberg, D., de Groot, G., and E. Lear, "Address Allocation for Private Internets", BCP 5, RFC 1918, DOI 10.17487/RFC1918, February 1996, <https://www.rfc-editor.org/info/rfc1918>.
[RFC1918] Rekhter、Y.、Moskowitz、B.、Karrenberg、D.、de Groot、G。、およびE. Lear、「プライベートインターネットのアドレス割り当て」、BCP 5、RFC 1918、DOI 10.17487 / RFC1918、1996年2月、<https://www.rfc-editor.org/info/rfc1918>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, DOI 10.17487/RFC4034, March 2005, <https://www.rfc-editor.org/info/rfc4034>.
[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、DOI 10.17487 / RFC4034、2005年3月、< https://www.rfc-editor.org/info/rfc4034>。
[RFC5890] Klensin, J., "Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework", RFC 5890, DOI 10.17487/RFC5890, August 2010, <https://www.rfc-editor.org/info/rfc5890>.
[RFC5890] Klensin、J。、「Internationalized Domain Names for Applications(IDNA):Definitions and Document Framework」、RFC 5890、DOI 10.17487 / RFC5890、2010年8月、<https://www.rfc-editor.org/info/ rfc5890>。
[RFC6698] Hoffman, P. and J. Schlyter, "The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA", RFC 6698, DOI 10.17487/RFC6698, August 2012, <https://www.rfc-editor.org/info/rfc6698>.
[RFC6698] Hoffman、P。およびJ. Schlyter、「DNSベースの名前付きエンティティ(DANE)トランスポート層セキュリティ(TLS)プロトコルの認証:TLSA」、RFC 6698、DOI 10.17487 / RFC6698、2012年8月、<https:/ /www.rfc-editor.org/info/rfc6698>。
[RFC7296] Kaufman, C., Hoffman, P., Nir, Y., Eronen, P., and T. Kivinen, "Internet Key Exchange Protocol Version 2 (IKEv2)", STD 79, RFC 7296, DOI 10.17487/RFC7296, October 2014, <https://www.rfc-editor.org/info/rfc7296>.
[RFC7296] Kaufman、C.、Hoffman、P.、Nir、Y.、Eronen、P。、およびT. Kivinen、「Internet Key Exchange Protocol Version 2(IKEv2)」、STD 79、RFC 7296、DOI 10.17487 / RFC7296 、2014年10月、<https://www.rfc-editor.org/info/rfc7296>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[RFC2775] Carpenter, B., "Internet Transparency", RFC 2775, DOI 10.17487/RFC2775, February 2000, <https://www.rfc-editor.org/info/rfc2775>.
[RFC2775] Carpenter、B。、「Internet Transparency」、RFC 2775、DOI 10.17487 / RFC2775、2000年2月、<https://www.rfc-editor.org/info/rfc2775>。
[RFC7435] Dukhovni, V., "Opportunistic Security: Some Protection Most of the Time", RFC 7435, DOI 10.17487/RFC7435, December 2014, <https://www.rfc-editor.org/info/rfc7435>.
[RFC7435] Dukhovni、V。、「日和見セキュリティ:ほとんどの場合はある程度の保護」、RFC 7435、DOI 10.17487 / RFC7435、2014年12月、<https://www.rfc-editor.org/info/rfc7435>。
Authors' Addresses
著者のアドレス
Tommy Pauly Apple Inc. One Apple Park Way Cupertino, California 95014 United States of America
トミーポーリーアップル社ワンアップルパークウェイクパチーノ、カリフォルニア95014アメリカ合衆国
Email: tpauly@apple.com
Paul Wouters Red Hat
ポール・ウーターズレッドハット
Email: pwouters@redhat.com