_ 新聞はそっち方面の専門家でない人にもニュースを届ける必要があるので、難しい内容も噛み砕いて説明する必要があって、その結果まわりくどい説明になっちゃうことがあるのは理解している。事情はわかってるので、ふだんはそういう記事を見つけても記者さん苦心したんだろうな、とあたたかい目で見るようにしている。が、いくらなんでも これはひどい。噛み砕いて説明するのに苦心したのはすごくよく伝わってくる。しかしその挑戦にもかかわらず素人さんが理解できる内容になっているとは到底思えないし、わかりやすい説明のために専門用語を使っていないため、そっち方面を理解している人に対してさえ意味不明。この記事の内容を事前に知っていた人(=記事を読む必要がない人)が何度か読み直して「ああ、あのことか」と気がつくのがやっと。誰に対しても存在する価値のない記事になっちゃってる。もうすこし何とかならんかったのか。全方面に向けた記事が難しいなら、一部の人に対してだけでもちゃんと理解できる記事にはできなかったのか。
_ まあ、そんなわけで KSK のロールオーバーがやってくるわけなんですが。もともと5年ごとの予定だったのが7年に延びちゃって、その延びた2年の間に ルートゾーンの ZSK が1024ビットから2048ビットに大きくなるというイベントもあり、なおさらロールオーバー中の応答サイズが大きくなりやすくなってしまった。たいていの環境では大きな影響はないと思うんだけど、影響あった場合はかなりクリティカルなので事前の確認は必須。あんなに大騒ぎしたのに何もなかったじゃねーか、と怒られるぐらいでちょうどいい。
_ KSK ロールオーバーに関する私的 Q&A。
_ 影響を受けるのは DNS サーバ全部なの?: 権威サーバは関係ありません。キャッシュサーバのみ影響を受けます。権威とかキャッシュとかわかんない人はネットワーク管理者に聞きましょう。ネットワーク管理者がわかっていないならクビにしましょう。 DNS ホスティングは権威を提供するサービスなので影響ありません。サポート窓口に問い合わせしないでください。先日から大量の問い合わせが来ていて、「関係ねーよ」とテンプレ回答するだけのお仕事がフル回転してます。
_ DNSSEC の鍵更新だから、DNSSEC 検証をしてなければ影響ないよね?: いいえ。キャッシュサーバ自身が検証していなくても、そのクライアントが検証していることがあり、そのためキャッシュサーバは自身が必要としていなくても、クライアントのために検証に使う署名鍵をルートサーバから取得することがあります。このときフラグメントが発生します。
_ 確認しろ、って言ってるけどどうやって確認すればいいの?: この文書のリンク先を読め。なお、1回確認して OK だったから終わり、ではなく、何度か繰り返し確認するのを推奨します。フラグメントしたパケットがフラグメントした順番に届いた場合は問題ないけど、逆順で届いたら落とす、というような環境があるらしく、その場合は1回試しただけでは気づかないことがあります。
_ 確認したら NG だった。どう直せばいいの?: とりあえず この資料の p.23- を読むべし。途中経路にあるネットワーク機器で変な acl をかけてないか確認して、もしあれば修正しましょう。どーしても原因がわからなければ、資料の記述にあるように EDNS0 payload size をフラグメントしないサイズに小さくしましょう。この場合 UDP で問い合わせ→サイズが大きくなるので TCP で聞き直せと応答→TCP で問い合わせ→TCP で応答、という流れになるため効率が悪くなります(効率が悪い以外の問題はありません)。
_ TCP 使えばキャッシュポイズニングできないんでしょ? DNSSEC いらなくね?: 毒入れは UDP だけではありません。つーか、いまどき UDP で毒入れ攻撃する人いるんですかね? 経路をハイジャックして偽サーバ宛にクエリをねじ曲げたり、応答パケットを途中経路で捕まえて書き換えたりといった、DNS のプロトコルに依存しない MITM な攻撃の方がずっと手っ取り早いです。MITM されたら src port randomization とか TCP クエリとかクソの役にも立ちません。そして、 それっぽい事象は実際に観測されてます(ただしリンク先は権威ではなく public cache に対するもの)。MITM なんて簡単にはできないでしょ、とか思うのは日本に住んでるからです。政府がネットを検閲してるような国は世界にはたくさんあり、そんな国では MITM による毒入れなんぞやろうと思えばすぐです。日本国内でも企業内のネットワークではときどき見かけます。DNSSEC は MITM されていても検知できます。MITM ではなく正規の権威サーバに不正侵入されてゾーンを直接書き換えられた場合ですら、秘密鍵を奪われていなければ DNSSEC で検知できます。
_ でも、DNSSEC ってクソだよね?: はい。でも現状それしか方法ないんでしかたないです。上述のとおり、src port randomization や TCP クエリでは役に立たないので。
_ ということで、 JANOG40 の会場でお会いしましょう(この件についてはまったく触れませんが)。