メニュー

トピックス

JPRSがIPv6普及・高度化推進協議会に対して意見を提出

2009/06/04

JPRSは、IPv6普及・高度化推進協議会の「IPv6家庭用ルータガイドライン(0.9版)」(2009年5月22日発行)に対し、コメントを提出しました。

○「IPv6家庭用ルータガイドライン(0.9版 2009年5月22日発行)」パブリックコメント開始
  (IPv6普及・高度化推進協議会 IPv4/IPv6共存WG IPv6家庭用ルーターSWG)
  http://www.v6pc.jp/jp/entry/wg/2009/05/ipv609_2009522.phtml

提出したコメントは以下の通りです。

意 見 内 容

■コメント1

対象ページ P.15 "4.1.1 外部からのアクセスを制限する"
該当文言 4.1.1 外部からのアクセスを制限する
意見 以下の要件を追加すること。
要件:フラグメント化されたUDPパケットについても、フラグメントに対応した上でアクセス制限を行うこと。
必要度:必須(MUST)
理由 DNSの通信はUDPの1パケットで行われる場合が多く、 今後はDNSSECの普及等で応答サイズが増大し、パケットのサイズが大きくなることが見込まれる。 ガイドラインにはパケットのフラグメントに関する明示的な記述がないが、 フラグメントが発生しても、正常な通信が行われることが必要であり、それを明記する事が望ましい。

■コメント2

対象ページ P.18 "5 DNSプロキシ/リゾルバ機能"
該当文言 [14]も参照のこと。
意見 draft-ietf-dnsext-dnsproxy-05の内容を追加/反映すること。
理由 本Internet DraftはガイドラインP.18の本文中で旧版(-03)が参照先として触れられているが、 その内容には本章に反映させるべきものが多く含まれる。 単なる参照としてではなく、ガイドラインに追加、反映させる事が望ましい。

■コメント3

対象ページ P.20 "5.3.1 DNSプロキシとして待ち受けるアドレスの種類"
該当文言 要件
意見 グローバルアドレスで待ち受ける場合は、DNSオープンリゾルバとならないようアクセス制限を必須とすること。
理由 DNSオープンリゾルバはDNS AMP攻撃の踏み台となり得るため、明白な危険性については言及しておくべきである。 4.1.1でアクセス制限について述べられているが、ルータ自身が提供するサービス(DNSプロキシ等)もアクセス制限(デフォルト禁止)の対象であることを明示しておくのがよいと考える。

■コメント4

対象ページ P.22 "5.5 キャッシュ機能"、P.23 "5.6 リゾルバ機能"
該当文言 5.5 キャッシュ、5.6 リゾルバ機能
意見 新しいサブセクションとして「5.5.x ソースポートランダマイゼーション」を追加し、以下を記述する。
要件:キャッシュを行うDNSプロキシは、インターネット側の問い合わせUDPソースポートを都度異なるポート番号とする(ソースポートランダマイゼーションする)こと。
必要度:必須(MUST)
理由:カミンスキーアタック[18]によるキャッシュ汚染を低減するため。
同様に、「5.6.x ソースポートランダマイゼーション」を追加し、以下を記述する。
要件:リゾルバ機能を持つDNSプロキシが内側からのDNS問い合わせをNATする場合は、インターネット側のUDP問い合わせソースポートを都度異なるポート番号とする(ソースポートランダマイゼーションする)こと。
必要度:必須(MUST)
理由:カミンスキーアタック[18]によるキャッシュ汚染を低減するため。
備考:端末側がキャッシュ機能を持つ場合、NATする側がソースポートを同一にしてしまうと端末側でのキャッシュ汚染の危険性が高まる。
理由 カミンスキーアタックにより、ソースポートが固定されるとキャッシュ汚染が容易に行われるため、明白な危険性については言及しておくべきである。

■コメント5

対象ページ P.24 "DNSSEC(参考)"
該当文言 5.6.4 DNSSEC(参考)
意見 要件中にあるDNSSEC関連のRRとして、記載されている4つ(RRSIG、DNSKEY、DS、NSEC)の他に、NSEC3、NSEC3PARAMを追加する。
DNSSEC関連RRおよびフラグを透過的もしくは適切に処理することは極めて重要であるため、必要度を以下とする。
必要度:推奨(SHOULD)
備考の「現状~高くないと考えられる。」の部分は、以下で置き換える。
必要度が推奨(SHOULD)の理由は、他国(スウェーデン)においてDNSSECに対応していない家庭用ブロードバンドルータにより問題が発生した経緯があるため。 この問題をICANNの諮問機関であるSSACが認識し、Nominet UKと協力の上、ブロードバンドルータ実装の調査を行ったところ、 IPv6やDNSSECで規定されている新しいDNSプロトコルへの準拠状況においてさまざまな問題点が確認された[参考文献]。
参考文献:http://download.nominet.org.uk/dnssec-cpe/DNSSEC-CPE-Report.pdf
理由 DNSセキュリティの向上を目的とするDNSSECは、プロトコルの策定が完了し、 昨今のDNSに関連するセキュリティ問題への対応策として、TLDを中心に導入が行われ始めるなど、世界的な普及段階に入りつつある。 その状況においてプロトコルに準拠していないネットワーク機器が存在するのは、インターネットセキュリティの向上を阻害する要因となりかねない。 ただし、現在は普及の初期段階であるため必要度は推奨(SHOULD)とした。

PAGE TOP