トップ «前の日記(2012-11-26) 最新 次の日記(2013-02-06)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2012-12-21 欺瞞のかたまり

- 逆引き DNSSEC は何のため?

逆引き DNSSEC って何がうれしいのでしょう。さっぱりわかりません。最近、APNIC逆引きDNSSECでゾーン検証エラーという事件がありました。DNSSEC の検証を行っているキャッシュサーバの利用者で悲鳴をあげた人はいらっしゃいますか? 何がうれしくて逆引きの検証をして悲鳴をあげているのですかね。

逆引き DNSSEC の検証に失敗するということは、逆引きに失敗するということです。逆引きが既定のドメイン名を指していないとログインを許さないようなサーバを利用している人は締め出されてしまったかもしれませんね。あるいは逆引きで spam 判定しているサーバではすべてのメールが spam 判定されてしまったかもしれません。(否、そんな単純な運用していないでしょうけど)

そもそも逆引きって信用してよいのでしょうかね。ちょっと考えてみましょう。今 150.42.6.33 から接続があり、その身元を知ろうとしてIPアドレスを逆引きすると以下のようになったとします。

% host 150.42.6.33
33.6.42.150.in-addr.arpa is an alias for 33.0-63.6.42.150.in-addr.arpa.
33.0-63.6.42.150.in-addr.arpa domain name pointer proxy.nic.ad.jp.

この応答は信用してよいでしょうか。いや信用したい対象は何でしょう。正引きと同じ考え方をすると、これが 33.0-63.6.42.150.in-addr.arpa の本物の権威サーバからの答えだということは DNSSEC を適用すれば検証できるそうです(疑問がありますがここでは置いておきます)。しかし、それにどういう意味があるのでしょう。PTR の値なんてのは何でも自由に設定できます。www.kangei.go.jp とだって書くことができます。検証したいのはその接続が本当に proxy.nic.ad.jp から来ているかどうかなのではないでしょうか。

その確認のためには逆引きで得られた proxy.nic.ad.jp を正引きしてそのAレコードに 150.42.6.33 が含まれているかどうかを調べるという方法があります。この作業はダブルリバースルックアップと呼ばれています。ここで正引きに DNSSEC を使えばより強力な検証になります。他にも whois で IPアドレスが割り当てられている先を調べるという方法もありますね。さて、150.42.6.33 は本物の proxy.nic.ad.jp でしょうか。経路ハイジャックなどで IP アドレスが詐称されていることも考えなくてはいけませんね。

ちなみに本物の proxy.nic.ad.jp の IP アドレスは 192.41.192.169 のようです。そして対応する PTR は以下となっています。

% host 192.41.192.169
169.192.41.192.in-addr.arpa domain name pointer proxy4.nic.ad.jp.

この PTR が正しく設定されているかどうか、そして DNSSEC が適用されているかどうかは上記の 150.42.6.33 からの接続を検証する作業にはまったく関与しません。何かここに DNSSEC を適用してうれしことはありますか?

もっともらしい話として、DoS 防止になるという話があります。本物の応答だったら逆引きによる認証が成功するところへ毒を入れて、認証を失敗させようという試みを DNSSEC で防ぐことができるという話ですが、、、このブログの最初へ戻ってみてください。DNSSEC の検証失敗で何がおきますか?

つまるところ逆引きへの DNSSEC 適用はその検証にとんでもない負荷がかかる(ただでさえ逆引きの負荷は重い! そして毒入れによる DoS に弱くなるだけ。それがわからない JPNIC は頭悪い) のに対して、なんの見返りも得られません。強いて言えば DNSSEC をビジネスにする人たちが原野商法を展開できてうれしいだろうというくらいでしょうか。

ところで、2年ほど前の歴史的 PI アドレスや AS 番号に課金を始める根拠の資料に、逆引き DNSSEC の導入費用として 1,800万円という金額の項目があげられていました。疑問に思いその必要性について追求しましたが「RIPE や APNIC はすでに導入を開始していてそれに追従したい」という話の他に技術的説明は一切なされず、そのうち改訂資料からは項目は削られうやむやになりました。しかし総額が変わったわけでもなく計画は生きつづけ、近いうちに導入されるという噂が聞こえてきています。なぜそうもゴリ押ししたいのでしょう。(前記事 追補参照)

本日のツッコミ(全5件) [ツッコミを入れる]
_ tm (2012-12-21 19:08)

DNSSECの前に「逆引きはなにがありがたいのか」の解説をしてもらえませんか。

_ tss (2012-12-22 07:56)

JPNICの仕事が確保できる、でしょうか。

_ tss (2012-12-22 09:08)

はぐらかし? https://twitter.com/OrangeMorishita/status/278515564308217857

_ tss (2012-12-22 09:08)

逆引きやめて JPNIC 解散すればいいのに

_ tm (2012-12-23 23:22)

「逆引きが意味がない」という主張をきちんとした方がいいでしょうね。<br>非常にわかりづらい。それをそのままにしてDNSSECの話をする意義が理解出来ない。

[]

最近の日記

リンク

Copyright by T.Suzuki