SlideShare a Scribd company logo

UnboundとDNSSEC(OSC2011 Tokyo/Spring)

Takashi Takizawa
Takashi Takizawa

UnboundとDNSSECについての発表資料。 OSC2011 Tokyo/Springにて発表。

Technology
1 of 28
Download to read offline
1 UnboundとDNSSEC 日本Unboundユーザ会 滝澤隆史 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料
2 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
3 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSEC • DNSSECはDNSセキュリティ拡張 • キャッシュポイズニング対策 • クエリーに対する応答の詐称の検出 • 応答に含まれるDNS資源レコードの改ざんの検 出 • 電子署名の技術を使う ・公開鍵暗号 ・メッセージダイジェスト
4 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 権威サーバ側 RRsetにプライベート鍵(ゾーン署名鍵(ZSK))で署名 www.example.org. 86400 IN A 192.0.2.1 RRset www.example.org. 86400 IN RRSIG A 7 3 86400 20101009055157 ( (A) 20101001232514 17997 example.org. L6vcNfJtNGKKrbNFqRbhRmDafg0lDi 署名 o9ajd9/u 略 x9lSZoS2Vbxq3Cu 電子署名 Bw2LMDJ98UtutibOOy1Rs= ) (RRSIG) example.org. 86400 IN DNSKEY 256 3 7 ( AwEAAc7EohFD03TUi81rIKTZZaf70s 1QI06uL3 略 XzBe9tw6wOCuJmuD 公開鍵 rFzDrZZddtClR7C9foPbq3rY1V ) (DNSKEY) プライ 公開鍵 ベート鍵 公開鍵暗号のペア
5 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 リゾルバ側 DNSKEYレコードの公開鍵でRRSIGレコードの署名を検証 www.example.org. 86400 IN A 192.0.2.1 RRset (A) www.example.org. 86400 IN RRSIG A 7 3 86400 20101009055157 ( 20101001232514 17997 example.org. L6vcNfJtNGKKrbNFqRbhRmDafg0lDi o9ajd9/u 略 x9lSZoS2Vbxq3Cu 署名 電子署名 Bw2LMDJ98UtutibOOy1Rs= ) (RRSIG) の検証 example.org. 86400 IN DNSKEY 256 3 7 ( AwEAAc7EohFD03TUi81rIKTZZaf70s 1QI06uL3 略 XzBe9tw6wOCuJmuD 公開鍵 rFzDrZZddtClR7C9foPbq3rY1V ) (DNSKEY)
6 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 信頼の連鎖 DNSKEYのメッセージダイジェストを親ゾーンのDSとして登録 example.org org ルートゾーン IANAのサイトで公開 DS DS DS DS RRSIG RRSIG RRSIG DNSKEY DNSKEY DNSKEY リゾルバはDSとDNSKEYのメッセージ ダイジェストを比較して検証する リゾルバ 予めルートゾーンのDSあるいはDNSKEYを トラストアンカーとして登録
7 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
8 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECを有効にする方法 • トラストアンカーを登録する
9 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • IANAのサイトからルートゾーンのDSを取得 ▫ https://data.iana.org/root-anchors/ ▫ PGPなどで検証する Index of /root-anchors Kjqmt7v.crt 15-Jul-2010 19:13 1.0K Kjqmt7v.csr 15-Jul-2010 19:13 765 draft-icann-dnssec-trust-anchor.html 15-Jul-2010 20:44 32K draft-icann-dnssec-trust-anchor.txt 15-Jul-2010 20:44 14K icann.pgp 16-Jul-2010 14:19 2.0K icannbundle.p12 15-Jul-2010 19:13 3.8K icannbundle.pem 15-Jul-2010 19:13 17K root-anchors.asc 15-Jul-2010 19:13 189 root-anchors.p7s 15-Jul-2010 19:13 4.9K root-anchors.xml 15-Jul-2010 19:13 418 Apache Server at data.iana.org Port 80
10 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • root-anchors.xmlファイルからDSレコードを作成 <?xml version="1.0" encoding="UTF-8"?> <TrustAnchor id="AD42165F-3B1A-4778-8F42-D34A1D41FD93" source="http://data.iana.org/root- anchors/root-anchors.xml"> <Zone>.</Zone> <KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00"> <KeyTag>19036</KeyTag> <Algorithm>8</Algorithm> <DigestType>2</DigestType> <Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest> </KeyDigest> </TrustAnchor> . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
11 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • ルートゾーンのDSをファイルとして保存 ▫ /etc/unbound/root.key • unboundが読み書きできるように所有者を変更 する ▫ chown unbound:unbound /etc/unbound/root.key • 設定ファイルに設定を記述 ▫ auto-trust-anchor-file: "/etc/unbound/root.key"
12 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • unboundの起動時にルートゾーンのDNSKEYレ コード(KSK)が取得される ; autotrust trust anchor file ;;id: . 1 ;;last_queried: 1285978943 ;;Sat Oct 2 09:22:23 2010 ;;last_success: 1285978943 ;;Sat Oct 2 09:22:23 2010 ;;next_probe_time: 1286020224 ;;Sat Oct 2 20:50:24 2010 ;;query_failed: 0 ;;query_interval: 43200 ;;retry_time: 8640 . 86400 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RSt IoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68Ls vPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ5 7relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1285978943 ;;Sat Oct 2 09:22:23 2010
13 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • ロールオーバーに対応している • DNSKEYレコードの自動更新ができる
14 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • トラストアンカーを取得・更新するツール • バージョン1.4.7から • 動作 ▫ 組み込みのルートゾーンのDSレコードを /etc/unbound/root.keyに書き込む ▫ ルートゾーンのDNSKEYレコードを取得して root.keyファイルを上書きする
15 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • 動作(組み込みのDSで失敗した場合) ▫ IANAのサイトからroot-anchors.xmlファイルを取得 し、組み込みのCA証明書により検証する。 ▫ root-anchors.xmlファイルのXMLを解析してDSレ コードを作成し、root.keyファイルに書き込む。 ▫ ルートゾーンのDNSKEYレコードを取得して root.keyファイルを上書きする
16 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • root.keyファイルを取得したら、unboundが読み 書きできるように所有者を変更する ▫ chown unbound:unbound /etc/unbound/root.key • 設定ファイルに設定を記述 ▫ auto-trust-anchor-file: "/etc/unbound/root.key"
17 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 試してみる(dig) $ dig @127.0.0.1 +dnssec . SOA ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18108 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;. IN SOA ;; ANSWER SECTION: . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2011022701 1800 900 604800 86400 . 86400 IN RRSIG SOA 8 0 86400 20110306000000 20110226230000 21639 . eQWDIgYBTzjhQ6llEEr3iioS0Pt5z0EePuuzLCIQeXnO+pj5Vhqeg711 XoT9F9ZBG+sG2gbF6u5xmtcS9MBij7tnXt0A8r7Hf78zxPKsVte3ExqV esjOif1ni/SYSa+KoxRirwdvOakowQaDf4dlYdDxolwzTgAD/Rxu5Ot2 4A4= 略
18 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 試してみる(drill) $ drill @127.0.0.1 -D . SOA ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 11726 ;; flags: qr rd ra ad ; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 0 ;; QUESTION SECTION: ;; . IN SOA ;; ANSWER SECTION: . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2011022701 1800 900 604800 86400 . 86400 IN RRSIG SOA 8 0 86400 20110306000000 20110226230000 21639 . eQWDIgYBTzjhQ6llEEr3iioS0Pt5z0EePuuzLCIQeXnO+pj5Vhqeg711XoT9F9ZBG+sG2gbF6u5xmt cS9MBij7tnXt0A8r7Hf78zxPKsVte3ExqVesjOif1ni/SYSa+KoxRirwdvOakowQaDf4dlYdDxolwzTg AD/Rxu5Ot24A4= ;{id = 21639} 略 ;; EDNS: version 0; flags: do ; udp: 4096 ;; SERVER: 127.0.0.1 ;; WHEN: Mon Feb 28 16:05:30 2011 ;; MSG SIZE rcvd: 612
19 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証失敗の記録方法 • val-log-level: 1 ▫ Mar 1 20:12:42 mercury unbound: [7275:0] info: validation failure <www.dnssec-failed.org. A IN> • val-log-level: 2 ▫ Mar 1 20:14:19 mercury unbound: [7301:0] info: validation failure <www.dnssec-failed.org. A IN>: signature expired from 68.87.29.164 for key dnssec- failed.org. while building chain of trust
20 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証の失敗の確認 • http://www.dnssec-failed.org/ ▫ comcastによる確認サイト ▫ DNSSECの検証に失敗するため、DNSSECの検証に 対応しているとアクセスできない • www.dnssec-failed.orgのAレコードを問い合わせ て確認する。
21 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証の失敗例 $ dig @127.0.0.1 +dnssec www.dnssec-failed.org A ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 54175 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.dnssec-failed.org. IN A ;; Query time: 1346 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Feb 28 16:02:29 2011 ;; MSG SIZE rcvd: 50
22 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
23 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECの運用障害 • これまでDNSSECの運用に関してTLDにおいてい くつかの障害が発生している ▫ 鍵の更新の失敗 ▫ 署名の有効期間の間違い ▫ HSM(hardware security module)の故障 • 署名の検証に失敗するとそのドメインに関する 回答を返さない
24 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECの障害を回避する • 大規模な障害が起きたときに一時的に回避でき る方法を知っておいた方がよい
25 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 署名の検証の部分停止 • 信頼の連鎖の停止 ▫ domain-insecure: "example.jp"
26 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 寛容(permissive)モード • 署名の検証は実施するが、検証に失敗しても SERVFAILを返さない ▫ val-permissive-mode: yes • 検証失敗の記録 ▫ val-log-level: 1 ▫ val-log-level: 2
27 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 署名の検証の停止 • トラストアンカーの設定の削除 ▫ 設定ファイルにおいてトラストアンカーの設定を コメントアウトする • validatorモジュールの無効化 ▫ module-config: "iterator"
28 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04

Recommended

DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所hdais
 
MySQL 5.7にやられないためにおぼえておいてほしいこと
MySQL 5.7にやられないためにおぼえておいてほしいことMySQL 5.7にやられないためにおぼえておいてほしいこと
MySQL 5.7にやられないためにおぼえておいてほしいことyoku0825
 
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデート
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデートAmazon Redshift パフォーマンスチューニングテクニックと最新アップデート
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデートAmazon Web Services Japan
 
さいきんの InnoDB Adaptive Flushing (仮)
さいきんの InnoDB Adaptive Flushing (仮)さいきんの InnoDB Adaptive Flushing (仮)
さいきんの InnoDB Adaptive Flushing (仮)Takanori Sejima
 
Amazon ElastiCacheのはじめ方
Amazon ElastiCacheのはじめ方Amazon ElastiCacheのはじめ方
Amazon ElastiCacheのはじめ方Amazon Web Services Japan
 
OpenStack概要 ~仮想ネットワーク~
OpenStack概要 ~仮想ネットワーク~OpenStack概要 ~仮想ネットワーク~
OpenStack概要 ~仮想ネットワーク~Masaya Aoyama
 
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順Amazon Web Services Japan
 
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBSAmazon Web Services Japan
 

Recommended

DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所hdais
 
MySQL 5.7にやられないためにおぼえておいてほしいこと
MySQL 5.7にやられないためにおぼえておいてほしいことMySQL 5.7にやられないためにおぼえておいてほしいこと
MySQL 5.7にやられないためにおぼえておいてほしいことyoku0825
 
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデート
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデートAmazon Redshift パフォーマンスチューニングテクニックと最新アップデート
Amazon Redshift パフォーマンスチューニングテクニックと最新アップデートAmazon Web Services Japan
 
さいきんの InnoDB Adaptive Flushing (仮)
さいきんの InnoDB Adaptive Flushing (仮)さいきんの InnoDB Adaptive Flushing (仮)
さいきんの InnoDB Adaptive Flushing (仮)Takanori Sejima
 
Amazon ElastiCacheのはじめ方
Amazon ElastiCacheのはじめ方Amazon ElastiCacheのはじめ方
Amazon ElastiCacheのはじめ方Amazon Web Services Japan
 
OpenStack概要 ~仮想ネットワーク~
OpenStack概要 ~仮想ネットワーク~OpenStack概要 ~仮想ネットワーク~
OpenStack概要 ~仮想ネットワーク~Masaya Aoyama
 
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順Amazon Web Services Japan
 
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBSAmazon Web Services Japan
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやyoku0825
 
AWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon AuroraAWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon AuroraAmazon Web Services Japan
 
これがCassandra
これがCassandraこれがCassandra
これがCassandraTakehiro Torigaki
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Daisuke Miyamoto
 
Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Web Services Japan
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)NTT DATA Technology & Innovation
 
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例gree_tech
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAmazon Web Services Japan
 
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門Masahito Zembutsu
 
オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法Amazon Web Services Japan
 
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...Amazon Web Services
 
AWSのNoSQL入門
AWSのNoSQL入門AWSのNoSQL入門
AWSのNoSQL入門Akihiro Kuwano
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策Amazon Web Services Japan
 
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon AuroraAWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon AuroraAmazon Web Services Japan
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...Amazon Web Services Japan
 
Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)Takashi Takizawa
 
動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみた動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみたTaiki Kawamura
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Yuki Morishita
 
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版LINE Corporation
 
QoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/EloquentQoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/EloquentHideki Takase
 
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみたNobuyuki Matsui
 

More Related Content

What's hot

MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやyoku0825
 
AWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon AuroraAWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon AuroraAmazon Web Services Japan
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Daisuke Miyamoto
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)NTT DATA Technology & Innovation
 
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例gree_tech
 
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門Masahito Zembutsu
 
オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法Amazon Web Services Japan
 
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...Amazon Web Services
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策Amazon Web Services Japan
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...Amazon Web Services Japan
 
Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)Takashi Takizawa
 
動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみた動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみたTaiki Kawamura
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Yuki Morishita
 
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版LINE Corporation
 

What's hot (20)

MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
 
AWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon AuroraAWS Black Belt Online Seminar 2017 Amazon Aurora
AWS Black Belt Online Seminar 2017 Amazon Aurora
 
これがCassandra
これがCassandraこれがCassandra
これがCassandra
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
 
Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編) Amazon Glacierのご紹介(機能編)
Amazon Glacierのご紹介(機能編)
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
 
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
 
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門
 
オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法オンプレミスRDBMSをAWSへ移行する手法
オンプレミスRDBMSをAWSへ移行する手法
 
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
(SDD415) NEW LAUNCH: Amazon Aurora: Amazon’s New Relational Database Engine |...
 
AWSのNoSQL入門
AWSのNoSQL入門AWSのNoSQL入門
AWSのNoSQL入門
 
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
AWS 初心者向けWebinar 利用者が実施するAWS上でのセキュリティ対策
 
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon AuroraAWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
 
Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)Unboundの最適化(OSC2011 Tokyo/Spring)
Unboundの最適化(OSC2011 Tokyo/Spring)
 
動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみた動的コンテンツをオリジンとしたCloudFrontを構築してみた
動的コンテンツをオリジンとしたCloudFrontを構築してみた
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
 
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
 

Similar to UnboundとDNSSEC(OSC2011 Tokyo/Spring)

QoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/EloquentQoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/EloquentHideki Takase
 
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみたNobuyuki Matsui
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Hiroyuki Wada
 
Lightweight Keycloak
Lightweight KeycloakLightweight Keycloak
Lightweight KeycloakHiroyuki Wada
 
OpenStack Congress Deep Dive
OpenStack Congress Deep DiveOpenStack Congress Deep Dive
OpenStack Congress Deep Divemasahito12
 
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSFFRI, Inc.
 
PlaySQLAlchemyORM2017.key
PlaySQLAlchemyORM2017.keyPlaySQLAlchemyORM2017.key
PlaySQLAlchemyORM2017.key泰 増田
 
Seas で語られたこととは?
Seas で語られたこととは?Seas で語られたこととは?
Seas で語られたこととは?Masayuki Ozawa
 
Sourcecode Reading Workshop2010
Sourcecode Reading Workshop2010Sourcecode Reading Workshop2010
Sourcecode Reading Workshop2010Hiro Yoshioka
 
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤capsmalt
 
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤Masahiro Kiura
 
WebRTC meetup Tokyo 1
WebRTC meetup Tokyo 1WebRTC meetup Tokyo 1
WebRTC meetup Tokyo 1mganeko
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampMasahiro NAKAYAMA
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月VirtualTech Japan Inc.
 
楽天のプライベートクラウドを支えるフラッシュストレージ
楽天のプライベートクラウドを支えるフラッシュストレージ楽天のプライベートクラウドを支えるフラッシュストレージ
楽天のプライベートクラウドを支えるフラッシュストレージRakuten Group, Inc.
 
ROS 2 Client Library for E^2
ROS 2 Client Library for E^2ROS 2 Client Library for E^2
ROS 2 Client Library for E^2Hideki Takase
 
座談会資料(討議メモ付き) 20170225
座談会資料(討議メモ付き) 20170225座談会資料(討議メモ付き) 20170225
座談会資料(討議メモ付き) 20170225知礼 八子
 
textsearch_jaで全文検索
textsearch_jaで全文検索textsearch_jaで全文検索
textsearch_jaで全文検索Akio Ishida
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤Yu Otsubo
 

Similar to UnboundとDNSSEC(OSC2011 Tokyo/Spring) (20)

QoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/EloquentQoS for ROS 2 Dashing/Eloquent
QoS for ROS 2 Dashing/Eloquent
 
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
【第5回東京SoftLayer勉強会】LT7 SoftLayerでOpenStackを動かしてみた
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
 
Lightweight Keycloak
Lightweight KeycloakLightweight Keycloak
Lightweight Keycloak
 
OpenStack Congress Deep Dive
OpenStack Congress Deep DiveOpenStack Congress Deep Dive
OpenStack Congress Deep Dive
 
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
 
PlaySQLAlchemyORM2017.key
PlaySQLAlchemyORM2017.keyPlaySQLAlchemyORM2017.key
PlaySQLAlchemyORM2017.key
 
Seas で語られたこととは?
Seas で語られたこととは?Seas で語られたこととは?
Seas で語られたこととは?
 
Sourcecode Reading Workshop2010
Sourcecode Reading Workshop2010Sourcecode Reading Workshop2010
Sourcecode Reading Workshop2010
 
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤
世界におけるKubernetes活用状況と企業向けプライベートクラウド基盤
 
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
 
WebRTC meetup Tokyo 1
WebRTC meetup Tokyo 1WebRTC meetup Tokyo 1
WebRTC meetup Tokyo 1
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
 
楽天のプライベートクラウドを支えるフラッシュストレージ
楽天のプライベートクラウドを支えるフラッシュストレージ楽天のプライベートクラウドを支えるフラッシュストレージ
楽天のプライベートクラウドを支えるフラッシュストレージ
 
ROS 2 Client Library for E^2
ROS 2 Client Library for E^2ROS 2 Client Library for E^2
ROS 2 Client Library for E^2
 
座談会資料(討議メモ付き) 20170225
座談会資料(討議メモ付き) 20170225座談会資料(討議メモ付き) 20170225
座談会資料(討議メモ付き) 20170225
 
Azure Search 大全
Azure Search 大全Azure Search 大全
Azure Search 大全
 
textsearch_jaで全文検索
textsearch_jaで全文検索textsearch_jaで全文検索
textsearch_jaで全文検索
 
AWSで作る分析基盤
AWSで作る分析基盤AWSで作る分析基盤
AWSで作る分析基盤
 

More from Takashi Takizawa

DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)Takashi Takizawa
 
サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料Takashi Takizawa
 
BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)Takashi Takizawa
 
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)Takashi Takizawa
 
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)Takashi Takizawa
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動Takashi Takizawa
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -Takashi Takizawa
 
#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)Takashi Takizawa
 
#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門Takashi Takizawa
 
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証Takashi Takizawa
 
#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門Takashi Takizawa
 
#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史Takashi Takizawa
 
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介Takashi Takizawa
 
hbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassinhbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassinTakashi Takizawa
 

More from Takashi Takizawa (20)

DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
 
サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料
 
BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)
 
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
 
nginx入門
nginx入門nginx入門
nginx入門
 
nginxの紹介
nginxの紹介nginxの紹介
nginxの紹介
 
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
 
RFCについての復習
RFCについての復習RFCについての復習
RFCについての復習
 
DNS RFC系統図
DNS RFC系統図DNS RFC系統図
DNS RFC系統図
 
DNSのRFCの歩き方
DNSのRFCの歩き方DNSのRFCの歩き方
DNSのRFCの歩き方
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -
 
#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)
 
#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門
 
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
 
#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門
 
#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
 
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
 
hbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassinhbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassin
 

Recently uploaded

Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールsugiuralab
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価sugiuralab
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 

Recently uploaded (7)

Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 

UnboundとDNSSEC(OSC2011 Tokyo/Spring)

  • 1. 1 UnboundとDNSSEC 日本Unboundユーザ会 滝澤隆史 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料
  • 2. 2 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
  • 3. 3 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSEC • DNSSECはDNSセキュリティ拡張 • キャッシュポイズニング対策 • クエリーに対する応答の詐称の検出 • 応答に含まれるDNS資源レコードの改ざんの検 出 • 電子署名の技術を使う ・公開鍵暗号 ・メッセージダイジェスト
  • 4. 4 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 権威サーバ側 RRsetにプライベート鍵(ゾーン署名鍵(ZSK))で署名 www.example.org. 86400 IN A 192.0.2.1 RRset www.example.org. 86400 IN RRSIG A 7 3 86400 20101009055157 ( (A) 20101001232514 17997 example.org. L6vcNfJtNGKKrbNFqRbhRmDafg0lDi 署名 o9ajd9/u 略 x9lSZoS2Vbxq3Cu 電子署名 Bw2LMDJ98UtutibOOy1Rs= ) (RRSIG) example.org. 86400 IN DNSKEY 256 3 7 ( AwEAAc7EohFD03TUi81rIKTZZaf70s 1QI06uL3 略 XzBe9tw6wOCuJmuD 公開鍵 rFzDrZZddtClR7C9foPbq3rY1V ) (DNSKEY) プライ 公開鍵 ベート鍵 公開鍵暗号のペア
  • 5. 5 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 リゾルバ側 DNSKEYレコードの公開鍵でRRSIGレコードの署名を検証 www.example.org. 86400 IN A 192.0.2.1 RRset (A) www.example.org. 86400 IN RRSIG A 7 3 86400 20101009055157 ( 20101001232514 17997 example.org. L6vcNfJtNGKKrbNFqRbhRmDafg0lDi o9ajd9/u 略 x9lSZoS2Vbxq3Cu 署名 電子署名 Bw2LMDJ98UtutibOOy1Rs= ) (RRSIG) の検証 example.org. 86400 IN DNSKEY 256 3 7 ( AwEAAc7EohFD03TUi81rIKTZZaf70s 1QI06uL3 略 XzBe9tw6wOCuJmuD 公開鍵 rFzDrZZddtClR7C9foPbq3rY1V ) (DNSKEY)
  • 6. 6 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 信頼の連鎖 DNSKEYのメッセージダイジェストを親ゾーンのDSとして登録 example.org org ルートゾーン IANAのサイトで公開 DS DS DS DS RRSIG RRSIG RRSIG DNSKEY DNSKEY DNSKEY リゾルバはDSとDNSKEYのメッセージ ダイジェストを比較して検証する リゾルバ 予めルートゾーンのDSあるいはDNSKEYを トラストアンカーとして登録
  • 7. 7 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
  • 8. 8 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECを有効にする方法 • トラストアンカーを登録する
  • 9. 9 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • IANAのサイトからルートゾーンのDSを取得 ▫ https://data.iana.org/root-anchors/ ▫ PGPなどで検証する Index of /root-anchors Kjqmt7v.crt 15-Jul-2010 19:13 1.0K Kjqmt7v.csr 15-Jul-2010 19:13 765 draft-icann-dnssec-trust-anchor.html 15-Jul-2010 20:44 32K draft-icann-dnssec-trust-anchor.txt 15-Jul-2010 20:44 14K icann.pgp 16-Jul-2010 14:19 2.0K icannbundle.p12 15-Jul-2010 19:13 3.8K icannbundle.pem 15-Jul-2010 19:13 17K root-anchors.asc 15-Jul-2010 19:13 189 root-anchors.p7s 15-Jul-2010 19:13 4.9K root-anchors.xml 15-Jul-2010 19:13 418 Apache Server at data.iana.org Port 80
  • 10. 10 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • root-anchors.xmlファイルからDSレコードを作成 <?xml version="1.0" encoding="UTF-8"?> <TrustAnchor id="AD42165F-3B1A-4778-8F42-D34A1D41FD93" source="http://data.iana.org/root- anchors/root-anchors.xml"> <Zone>.</Zone> <KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00"> <KeyTag>19036</KeyTag> <Algorithm>8</Algorithm> <DigestType>2</DigestType> <Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest> </KeyDigest> </TrustAnchor> . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
  • 11. 11 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • ルートゾーンのDSをファイルとして保存 ▫ /etc/unbound/root.key • unboundが読み書きできるように所有者を変更 する ▫ chown unbound:unbound /etc/unbound/root.key • 設定ファイルに設定を記述 ▫ auto-trust-anchor-file: "/etc/unbound/root.key"
  • 12. 12 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • unboundの起動時にルートゾーンのDNSKEYレ コード(KSK)が取得される ; autotrust trust anchor file ;;id: . 1 ;;last_queried: 1285978943 ;;Sat Oct 2 09:22:23 2010 ;;last_success: 1285978943 ;;Sat Oct 2 09:22:23 2010 ;;next_probe_time: 1286020224 ;;Sat Oct 2 20:50:24 2010 ;;query_failed: 0 ;;query_interval: 43200 ;;retry_time: 8640 . 86400 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RSt IoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68Ls vPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ5 7relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1285978943 ;;Sat Oct 2 09:22:23 2010
  • 13. 13 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 トラストアンカーの登録 • ロールオーバーに対応している • DNSKEYレコードの自動更新ができる
  • 14. 14 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • トラストアンカーを取得・更新するツール • バージョン1.4.7から • 動作 ▫ 組み込みのルートゾーンのDSレコードを /etc/unbound/root.keyに書き込む ▫ ルートゾーンのDNSKEYレコードを取得して root.keyファイルを上書きする
  • 15. 15 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • 動作(組み込みのDSで失敗した場合) ▫ IANAのサイトからroot-anchors.xmlファイルを取得 し、組み込みのCA証明書により検証する。 ▫ root-anchors.xmlファイルのXMLを解析してDSレ コードを作成し、root.keyファイルに書き込む。 ▫ ルートゾーンのDNSKEYレコードを取得して root.keyファイルを上書きする
  • 16. 16 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 unbound-anchor • root.keyファイルを取得したら、unboundが読み 書きできるように所有者を変更する ▫ chown unbound:unbound /etc/unbound/root.key • 設定ファイルに設定を記述 ▫ auto-trust-anchor-file: "/etc/unbound/root.key"
  • 17. 17 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 試してみる(dig) $ dig @127.0.0.1 +dnssec . SOA ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18108 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;. IN SOA ;; ANSWER SECTION: . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2011022701 1800 900 604800 86400 . 86400 IN RRSIG SOA 8 0 86400 20110306000000 20110226230000 21639 . eQWDIgYBTzjhQ6llEEr3iioS0Pt5z0EePuuzLCIQeXnO+pj5Vhqeg711 XoT9F9ZBG+sG2gbF6u5xmtcS9MBij7tnXt0A8r7Hf78zxPKsVte3ExqV esjOif1ni/SYSa+KoxRirwdvOakowQaDf4dlYdDxolwzTgAD/Rxu5Ot2 4A4= 略
  • 18. 18 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 試してみる(drill) $ drill @127.0.0.1 -D . SOA ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 11726 ;; flags: qr rd ra ad ; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 0 ;; QUESTION SECTION: ;; . IN SOA ;; ANSWER SECTION: . 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2011022701 1800 900 604800 86400 . 86400 IN RRSIG SOA 8 0 86400 20110306000000 20110226230000 21639 . eQWDIgYBTzjhQ6llEEr3iioS0Pt5z0EePuuzLCIQeXnO+pj5Vhqeg711XoT9F9ZBG+sG2gbF6u5xmt cS9MBij7tnXt0A8r7Hf78zxPKsVte3ExqVesjOif1ni/SYSa+KoxRirwdvOakowQaDf4dlYdDxolwzTg AD/Rxu5Ot24A4= ;{id = 21639} 略 ;; EDNS: version 0; flags: do ; udp: 4096 ;; SERVER: 127.0.0.1 ;; WHEN: Mon Feb 28 16:05:30 2011 ;; MSG SIZE rcvd: 612
  • 19. 19 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証失敗の記録方法 • val-log-level: 1 ▫ Mar 1 20:12:42 mercury unbound: [7275:0] info: validation failure <www.dnssec-failed.org. A IN> • val-log-level: 2 ▫ Mar 1 20:14:19 mercury unbound: [7301:0] info: validation failure <www.dnssec-failed.org. A IN>: signature expired from 68.87.29.164 for key dnssec- failed.org. while building chain of trust
  • 20. 20 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証の失敗の確認 • http://www.dnssec-failed.org/ ▫ comcastによる確認サイト ▫ DNSSECの検証に失敗するため、DNSSECの検証に 対応しているとアクセスできない • www.dnssec-failed.orgのAレコードを問い合わせ て確認する。
  • 21. 21 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 検証の失敗例 $ dig @127.0.0.1 +dnssec www.dnssec-failed.org A ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 54175 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.dnssec-failed.org. IN A ;; Query time: 1346 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Feb 28 16:02:29 2011 ;; MSG SIZE rcvd: 50
  • 22. 22 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04
  • 23. 23 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECの運用障害 • これまでDNSSECの運用に関してTLDにおいてい くつかの障害が発生している ▫ 鍵の更新の失敗 ▫ 署名の有効期間の間違い ▫ HSM(hardware security module)の故障 • 署名の検証に失敗するとそのドメインに関する 回答を返さない
  • 24. 24 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 DNSSECの障害を回避する • 大規模な障害が起きたときに一時的に回避でき る方法を知っておいた方がよい
  • 25. 25 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 署名の検証の部分停止 • 信頼の連鎖の停止 ▫ domain-insecure: "example.jp"
  • 26. 26 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 寛容(permissive)モード • 署名の検証は実施するが、検証に失敗しても SERVFAILを返さない ▫ val-permissive-mode: yes • 検証失敗の記録 ▫ val-log-level: 1 ▫ val-log-level: 2
  • 27. 27 2011-03-04 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 署名の検証の停止 • トラストアンカーの設定の削除 ▫ 設定ファイルにおいてトラストアンカーの設定を コメントアウトする • validatorモジュールの無効化 ▫ module-config: "iterator"
  • 28. 28 日本Unboundユーザ会 OSC 2011 Tokyo/Spring発表資料 2011-03-04