BIND9.11-j

対 訳 ( 参 照 用 )
■スライド 1
BIND 9.11 新 機 能
Mukund Sivaraman
Internet Systems Consortium
■スライド 2
BIND 9.11 での 新 しいこと
• データ 供 給
‣ Catalog Zones
‣ DynDB
‣ rnd showzone, modzone と NZD バックエンド
• DNSSEC
‣ ネガティブトラストアンカー(NTA)
‣ 子 CDS/CDNSKEY 自 動 生 成
‣ DNSSEC 鍵 マネージャ
• その 他
‣ dnstap ロギング
‣ EDNS クライアントサブネット(ECS)( 権 威 側 )
‣ 性 能 改 善
■スライド 3
データ 供 給
• Catalog Zones 以 前 は、スレーブサーバ 運 用 者 はマスターサーバの 新 ゾーン 追 加 に 自 動
追 従 する 仕 組 みを 持 たなかった。スレーブサーバの 設 定 を 変 更 し reconfig するのみで
あった。
• 運 用 者 はスレーブを 更 新 する 特 製 のスクリプトや 仕 組 みを 必 要 としない 標 準 的 なデー
タ 供 給 手 段 を 望 んでいた。
• ある 運 用 者 は 共 有 データベースバックエンドからゾーンデータを 供 給 する 機 能 を 望 ん
でいた。
• BIND 管 理 者 はゾーン 数 が 多 いと NZF 設 定 ファイル(rdnc delzone)を 使 ったゾーン 削
除 が 遅 いことに 気 づいた。

■スライド 4
Catalog Zones
• DNS カタログとはゾーンのリストのこと。
• Catalog zone は 通 常 の RR と 同 様 な 表 記 でゾーンのリストを 含 む 通 常 の DNS ゾーン
のこと。
• スレーブはこのゾーンをマスターから 転 送 し、カタログ 中 のゾーンリストを 提 供 する
よう 自 動 的 に reconfig する。
• ゾーン 名 がマスターの catalog zone に 追 加 されると、catalog zone 更 新 はスレーブに
転 送 される。スレーブは 自 動 的 に 設 定 へ 新 しいゾーンを 追 加 し、それから 新 しいゾーン
の 内 容 をマスターから 転 送 する。
• ISC はこの 仕 組 みを draft-muks-dnsop-dns-catalog-zones-01 で 標 準 化 提 案 している
■スライド 5
Catalog Zone の 例
cat.isc.org. IN SOA . . 2016022901 900 600 86400 1
cat.isc.org. IN NS nsexample.
version.cat.isc.org. IN TXT "1"
5960775b5c.zones.cat.isc.org. IN PTR domain1.com.
0e2ffd0d66.zones.cat.isc.org. IN PTR domain2.net.
ab89bcd650.zones.cat.isc.org. IN PTR domain3.org.
■スライド 6
DynDB - 動 的 DB インターフェース
• dns_db は C 言 語 の API で、named がゾーンデータを 格 納 したり DNS クエリへの 応
答 のためにゾーンデータへアクセスする 際 に 使 われる。
• RBTDB は dns_db にデフォルトで 静 的 リンクされた named 内 の 実 装 で、ゾーンデー
タをメモリに 格 納 するのに 使 われる。
• DynDB は、SQL データベースのような 別 のバックエンド 提 供 や 特 製 の 応 答 生 成 のた
め、 動 的 に 読 み 込 み 可 能 な.so モジュールとして、 管 理 者 が 別 の dns_db 実 装 をインス
トールできるようにする。このモジュールはドライバと 呼 ばれる。
• 現 在 のところ、BIND 9.11 にドライバは 含 まれていない。ISC はオープンソースの SQL
データベース 用 ドライバが 提 供 されることを 期 待 している。

■スライド 7
ネガティブトラストアンカー(NTA)
• rdnc nta コマンドは 一 時 的 かつ 特 定 期 間 中 に 特 定 のドメイン 名 の DNSSEC 検 証 を 無
効 にするため 使 われる。
• この 機 能 は、リゾルバ 運 用 者 が、 著 名 なドメイン 名 が 一 時 的 な DNSSEC 検 証 失 敗 状 態
によりそのゾーンの 名 前 解 決 が 失 敗 するとユーザから 苦 情 を 受 けたときに 役 立 つ。
• named は 定 期 的 に NTA 配 下 のデータが 検 証 可 能 になったかを 確 認 する。
• NTA は 指 定 した 時 間 が 経 過 すると 期 限 切 れとなる。
■スライド 8
子 CDS/CDNSKEY 自 動 生 成
• BIND は KSK に 署 名 された CDS と CDNSKEY を 自 動 生 成 するようになった。
• 委 任 の 親 側 は 子 ゾーンの CDS と CDNSKEY をポーリングし 自 動 的 に 親 ゾーンの DS
を 更 新 することができる。
• この 機 能 は、 手 作 業 による 親 ゾーンの DS 更 新 を 必 要 とせずに KSK 更 新 を 可 能 とする。
• 現 在 のところ BIND は 親 側 が DS を 自 動 更 新 する 機 能 は 実 装 していないことにご 注 意 。
■スライド 9
dnssec-keymgr - DNSSEC 鍵 マネージャ
• BIND が 適 用 する、ゾーンの 鍵 更 新 プロセスを 補 助 する Python ラッパーツール。BIND
ユーティリティと 呼 ばれる。
• ポリシー 定 義 ファイル(デフォルトは/etc/dnssec.policy)ファイルを 読 み 込 み、ゾーンの
鍵 がそのゾーンのポリシーに 適 合 するよう DNSSEC 鍵 を 生 成 もしくは 更 新 する。
• 新 しい 鍵 は 必 要 に 応 じて 生 成 される。
• 既 存 の 鍵 のタイミングメタデータは 正 しい 鍵 更 新 の 必 要 などに 応 じて 調 整 される。
• ポリシーに 変 更 があると、 関 連 するすべての 鍵 は 訂 正 される。
• このツールは 自 動 的 かつ 補 助 なし(たとえば cron を 使 うなど)で 使 われることが 想 定 さ
れている。
■スライド 10
EDNS クライアントサブネット(ECS)
• BIND 9.11 に 権 威 サーバ 用 ECS の 基 本 的 な 実 験 実 装 が 追 加 された。
• BIND 9.11 開 発 サイクル 中 に、リゾルバ 用 ECS サポートを 実 装 する 予 定 である。こち
らは、 完 全 なものでかつすぐにサービス 運 用 可 能 なものとする。 残 念 ながら、 現 在 は 契
約 的 理 由 でリリースできていない。まずは BIND サブスクリプションユーザに 提 供 を
開 始 する 予 定 だが、 一 般 リリースは 2018 年 中 となるだろう。

■スライド 11
BIND 開 発 プロセスへの 変 更
• 性 能 ラボ
• ファジングテスト
■スライド 12
性 能 ラボ - 継 続 的 なベンチマーク
( 図 省 略 )
■スライド 13
性 能 ラボ - テストのリスト
( 図 省 略 )
■スライド 14
性 能 ラボ - QPS 変 化 の 通 知
( 図 省 略 )
■スライド 15
ファジングと CVE アナウンス
• ISC は 能 動 的 に 欠 陥 を 見 つけ 出 すため BIND のファジングテストを 実 施 している。
• 昨 年 から、ファジングとコードレビューにより 内 部 的 に 発 見 したバグに 対 して CVE が
発 行 されている。
• パッチは 常 に CVS アナウンスとともに 提 供 される。JPRS がリリースアナウンスの 日
本 語 訳 を 提 供 してくれている。https://jprs.jp/tech/
• OS ディストリビューションにはパッチの 適 用 されたパッケージを 用 意 するため 事 前
に 連 絡 をしており、アナウンス 日 にはアップグレードが 用 意 される。
• CVE バグ(クラッシュを 起 こすもの)のほとんどは 数 年 前 に 入 り 込 んだものである。コ
ードの 品 質 はバグの 修 正 とコードのリファクタリングによって 向 上 している。
■スライド 16
さいごに
• 日 本 のコミュニティーからのフィードバックを 歓 迎 します。 私 たちは Twitter 上 で 多 く
の 問 題 が 日 本 語 で 議 論 されているのを 知 っています。
• bind-users メ ー リ ン グ リ ス ト で 問 題 を 議 論 し て く だ さ い 。
https://lists.isc.org/mailman/listinfo/bind-users