Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
対 訳 ( 参 照 用 )<br />
■スライド 1<br />
BIND 9.11 新 機 能<br />
Mukund Sivaraman<br />
Internet Systems Consortium<br />
■スライド 2<br />
BIND 9.11 での 新 しいこと<br />
• データ 供 給<br />
‣ Catalog Zones<br />
‣ DynDB<br />
‣ rnd showzone, modzone と NZD バックエンド<br />
• DNSSEC<br />
‣ ネガティブトラストアンカー(NTA)<br />
‣ 子 CDS/CDNSKEY 自 動 生 成<br />
‣ DNSSEC 鍵 マネージャ<br />
• その 他<br />
‣ dnstap ロギング<br />
‣ EDNS クライアントサブネット(ECS)( 権 威 側 )<br />
‣ 性 能 改 善<br />
■スライド 3<br />
データ 供 給<br />
• Catalog Zones 以 前 は、スレーブサーバ 運 用 者 はマスターサーバの 新 ゾーン 追 加 に 自 動<br />
追 従 する 仕 組 みを 持 たなかった。スレーブサーバの 設 定 を 変 更 し reconfig するのみで<br />
あった。<br />
• 運 用 者 はスレーブを 更 新 する 特 製 のスクリプトや 仕 組 みを 必 要 としない 標 準 的 なデー<br />
タ 供 給 手 段 を 望 んでいた。<br />
• ある 運 用 者 は 共 有 データベースバックエンドからゾーンデータを 供 給 する 機 能 を 望 ん<br />
でいた。<br />
• BIND 管 理 者 はゾーン 数 が 多 いと NZF 設 定 ファイル(rdnc delzone)を 使 ったゾーン 削<br />
除 が 遅 いことに 気 づいた。
■スライド 4<br />
Catalog Zones<br />
• DNS カタログとはゾーンのリストのこと。<br />
• Catalog zone は 通 常 の RR と 同 様 な 表 記 でゾーンのリストを 含 む 通 常 の DNS ゾーン<br />
のこと。<br />
• スレーブはこのゾーンをマスターから 転 送 し、カタログ 中 のゾーンリストを 提 供 する<br />
よう 自 動 的 に reconfig する。<br />
• ゾーン 名 がマスターの catalog zone に 追 加 されると、catalog zone 更 新 はスレーブに<br />
転 送 される。スレーブは 自 動 的 に 設 定 へ 新 しいゾーンを 追 加 し、それから 新 しいゾーン<br />
の 内 容 をマスターから 転 送 する。<br />
• ISC はこの 仕 組 みを draft-muks-dnsop-dns-catalog-zones-01 で 標 準 化 提 案 している<br />
■スライド 5<br />
Catalog Zone の 例<br />
cat.isc.org. IN SOA . . 2016022901 900 600 86400 1<br />
cat.isc.org. IN NS nsexample.<br />
version.cat.isc.org. IN TXT "1"<br />
5960775b5c.zones.cat.isc.org. IN PTR domain1.com.<br />
0e2ffd0d66.zones.cat.isc.org. IN PTR domain2.net.<br />
ab89bcd650.zones.cat.isc.org. IN PTR domain3.org.<br />
■スライド 6<br />
DynDB - 動 的 DB インターフェース<br />
• dns_db は C 言 語 の API で、named がゾーンデータを 格 納 したり DNS クエリへの 応<br />
答 のためにゾーンデータへアクセスする 際 に 使 われる。<br />
• RBTDB は dns_db にデフォルトで 静 的 リンクされた named 内 の 実 装 で、ゾーンデー<br />
タをメモリに 格 納 するのに 使 われる。<br />
• DynDB は、SQL データベースのような 別 のバックエンド 提 供 や 特 製 の 応 答 生 成 のた<br />
め、 動 的 に 読 み 込 み 可 能 な.so モジュールとして、 管 理 者 が 別 の dns_db 実 装 をインス<br />
トールできるようにする。このモジュールはドライバと 呼 ばれる。<br />
• 現 在 のところ、BIND 9.11 にドライバは 含 まれていない。ISC はオープンソースの SQL<br />
データベース 用 ドライバが 提 供 されることを 期 待 している。
■スライド 7<br />
ネガティブトラストアンカー(NTA)<br />
• rdnc nta コマンドは 一 時 的 かつ 特 定 期 間 中 に 特 定 のドメイン 名 の DNSSEC 検 証 を 無<br />
効 にするため 使 われる。<br />
• この 機 能 は、リゾルバ 運 用 者 が、 著 名 なドメイン 名 が 一 時 的 な DNSSEC 検 証 失 敗 状 態<br />
によりそのゾーンの 名 前 解 決 が 失 敗 するとユーザから 苦 情 を 受 けたときに 役 立 つ。<br />
• named は 定 期 的 に NTA 配 下 のデータが 検 証 可 能 になったかを 確 認 する。<br />
• NTA は 指 定 した 時 間 が 経 過 すると 期 限 切 れとなる。<br />
■スライド 8<br />
子 CDS/CDNSKEY 自 動 生 成<br />
• BIND は KSK に 署 名 された CDS と CDNSKEY を 自 動 生 成 するようになった。<br />
• 委 任 の 親 側 は 子 ゾーンの CDS と CDNSKEY をポーリングし 自 動 的 に 親 ゾーンの DS<br />
を 更 新 することができる。<br />
• この 機 能 は、 手 作 業 による 親 ゾーンの DS 更 新 を 必 要 とせずに KSK 更 新 を 可 能 とする。<br />
• 現 在 のところ BIND は 親 側 が DS を 自 動 更 新 する 機 能 は 実 装 していないことにご 注 意 。<br />
■スライド 9<br />
dnssec-keymgr - DNSSEC 鍵 マネージャ<br />
• BIND が 適 用 する、ゾーンの 鍵 更 新 プロセスを 補 助 する Python ラッパーツール。BIND<br />
ユーティリティと 呼 ばれる。<br />
• ポリシー 定 義 ファイル(デフォルトは/etc/dnssec.policy)ファイルを 読 み 込 み、ゾーンの<br />
鍵 がそのゾーンのポリシーに 適 合 するよう DNSSEC 鍵 を 生 成 もしくは 更 新 する。<br />
• 新 しい 鍵 は 必 要 に 応 じて 生 成 される。<br />
• 既 存 の 鍵 のタイミングメタデータは 正 しい 鍵 更 新 の 必 要 などに 応 じて 調 整 される。<br />
• ポリシーに 変 更 があると、 関 連 するすべての 鍵 は 訂 正 される。<br />
• このツールは 自 動 的 かつ 補 助 なし(たとえば cron を 使 うなど)で 使 われることが 想 定 さ<br />
れている。<br />
■スライド 10<br />
EDNS クライアントサブネット(ECS)<br />
• BIND 9.11 に 権 威 サーバ 用 ECS の 基 本 的 な 実 験 実 装 が 追 加 された。<br />
• BIND 9.11 開 発 サイクル 中 に、リゾルバ 用 ECS サポートを 実 装 する 予 定 である。こち<br />
らは、 完 全 なものでかつすぐにサービス 運 用 可 能 なものとする。 残 念 ながら、 現 在 は 契<br />
約 的 理 由 でリリースできていない。まずは BIND サブスクリプションユーザに 提 供 を<br />
開 始 する 予 定 だが、 一 般 リリースは 2018 年 中 となるだろう。
■スライド 11<br />
BIND 開 発 プロセスへの 変 更<br />
• 性 能 ラボ<br />
• ファジングテスト<br />
■スライド 12<br />
性 能 ラボ - 継 続 的 なベンチマーク<br />
( 図 省 略 )<br />
■スライド 13<br />
性 能 ラボ - テストのリスト<br />
( 図 省 略 )<br />
■スライド 14<br />
性 能 ラボ - QPS 変 化 の 通 知<br />
( 図 省 略 )<br />
■スライド 15<br />
ファジングと CVE アナウンス<br />
• ISC は 能 動 的 に 欠 陥 を 見 つけ 出 すため BIND のファジングテストを 実 施 している。<br />
• 昨 年 から、ファジングとコードレビューにより 内 部 的 に 発 見 したバグに 対 して CVE が<br />
発 行 されている。<br />
• パッチは 常 に CVS アナウンスとともに 提 供 される。JPRS がリリースアナウンスの 日<br />
本 語 訳 を 提 供 してくれている。https://jprs.jp/tech/<br />
• OS ディストリビューションにはパッチの 適 用 されたパッケージを 用 意 するため 事 前<br />
に 連 絡 をしており、アナウンス 日 にはアップグレードが 用 意 される。<br />
• CVE バグ(クラッシュを 起 こすもの)のほとんどは 数 年 前 に 入 り 込 んだものである。コ<br />
ードの 品 質 はバグの 修 正 とコードのリファクタリングによって 向 上 している。<br />
■スライド 16<br />
さいごに<br />
• 日 本 のコミュニティーからのフィードバックを 歓 迎 します。 私 たちは Twitter 上 で 多 く<br />
の 問 題 が 日 本 語 で 議 論 されているのを 知 っています。<br />
• bind-users メ ー リ ン グ リ ス ト で 問 題 を 議 論 し て く だ さ い 。<br />
https://lists.isc.org/mailman/listinfo/bind-users