KSKロールオーバーとは
KSKロールオーバー
KSKロールオーバーとは、ルートゾーンのKSKを更新することである。ルートゾーンKSKは、DNSSECの基点となる最上位のKSKのことである。2017年9月からルートゾーンKSKの更新の影響が起きると懸念されている。
DNSとDNSSEC
DNSは、インターネットサービスの根本を担っているサービスである。その役割は、ホスト名からIPアドレスを求めたり、IPアドレスをもとにホスト名を求めたりすることである。そのためDNSサービスが停止するとインターネットのサービスは、ほぼ利用できない状態になる。しかし、そんなDNSサーバに対しての攻撃が増加している。
その一つにキャッシュポイズニング攻撃がある。キャッシュポイズニングとは、キャッシュDNSサーバのキャッシュ情報を意図的に書き換え、利用者を誤ったサイトへ誘導する攻撃である。このような攻撃からDNSサーバを守るために広まっている仕組みがDNSSECである。DNSSECでは、公開鍵暗号化方式と電子署名の仕組みを利用して、DNS応答の信頼性を確保できるようにしている。また、DNSSECはセキュリティの向上と運用負荷を軽減するために2つの鍵を使用する。ゾーン署名鍵(ZSK)と鍵署名公開鍵(KSK)である。(詳しくはDNSSECを参照)
KSKは、DNSSECにおいてZSK(ゾーン署名鍵)を署名する鍵の通称である。KSKは親子ゾーン間で信頼の連鎖を形成する役割を担っている。(詳しくはKSKを参照)KSKには有効期限がないため同じ鍵を長く使い続けることも可能である。しかし、同じ鍵を使い続けることによって解析される危険がある場合には鍵の更新(ロールオーバー)を行う必要がある。
ルートゾーンのKSKの更新時期は、NTIA(米国国家電気通信情報管理庁)によって運用後5年以降と定められている。DNSSECが2010年に運用開始されてから、2017年まで一度も更新は行われていなかったが、2017年7月からルートゾーンのKSK更新が開始されている。
KSKロールオーバーによる影響
ルートゾーンのKSKロ-ルオーバーに伴って想定される影響には、次のものが考えられる。
DNS応答のIPフラグメントによる影響
鍵の更新中は、DNSSECの公開鍵(DNSKEY)を含むパケットサイズが増加する。パケット1個分では送信できないサイズになるため、IPフラグメント(パケット分割配信)が行なわれる。この時、分割されたDNS応答パケットをキャッシュDNSサーバが正しく受け取ることができず、名前解決ができなくなる可能性がある。ルートの名前解決に失敗すると、そこから先の名前解決にも失敗するため、インターネット全体が使えないように見えてしまう。これは、DNSSECの使用の有無に関わらず影響がある。
トラストアンカーの更新による影響
KSK更新に伴い、トラストアンカーの更新が必要になる。キャッシュDNSサーバは、トラストアンカーを起点にDNSSECの信頼の連鎖を検証していく。そのため、トラストアンカーを更新できない場合、署名の検証が失敗してDNS名前解決ができなくなる。これは、DNSSECを有効にしているキャッシュDNSサーバに影響がある。主なLinuxディストリビューションでは、標準設定でDNSSECが有効になっているので注意が必要である。
KSKロールオーバーの影響への対策
KSKロールオーバーに備えて行っておくべき対策は以下である。なお、対策に関する詳しい実施方法と確認方法については「KSKロールオーバー セミナー資料」をダウンロードすることで確認できる。
DNS応答のIPフラグメントへの対策
「DNS応答のIPフラグメントによる影響」への対策としては、サイズの大きいDNS応答を正しく受信できるかを確認しておくことである。方法としては、以下のようなものがある。
- DNSSEC Key Size Test
ウェブブラウザでアクセスすると、自組織のDNSサーバがサイズの大きいDNS応答を正しく受け取ることができるかを確認できる。
- DNS Relpy Size Test Server
digコマンドを使用して、コマンドラインから確認ができる。
テストの結果がNGだった場合には、ネットワーク機器またはDNSサーバに問題がある可能性がある。特に、古いネットワーク機器やソフトウェアを使用している場合には注意が必要である。
トラストアンカーの更新への対策
トラストアンカーは、2017年7月11日より更新可能となっている。KSK更新に伴って、DNSに設定されているトラストアンカーが更新されているかを確認する。 なお、下記ソフトウェアは、現・新のトラストアンカーが内蔵されているため、トラストアンカーの更新による影響はない。
- BIND 9.11.0-P5,9.10.4-P8,9.9.9-P8以降
- Unbound 1.6.1以降
ただ、どちらのソフトウェアでもRFC-5011アップデートが無効な場合は、手動でのアップデートが必要である。
デージーネットの取り組み
デージーネットのOSS改善支援コンサルでは、KSKロールオーバーに関する調査や対応の支援を行っています。
【カテゴリ】:DNS  セキュリティ  
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |