RFC 8501 : Reverse DNS in IPv6 for Internet Service Providers

   このエントリをはてなブックマークに登録    2019/2/27-1

IPv4では、すべてのIPv4アドレスに対する逆引きとしてIN-ADDR.ARPAによるPTRレコードをDNSサーバに登録するといった運用が一般的に行われてきました。 しかし、各ネットワークセグメントごとに/64を割り当てるIPv6では、同様の運用を行うことは非現実的です。 ISP(Internet Service Provider)がIPv6での逆引きを扱う際のアプローチなどをまとめたInformationalなRFCとして、RFC 8501が2018年11月に発行されています。

この文章は、RFC 8501に記載されている内容を要約しています。 詳しくは、原文をご覧ください。

PTRレコードの主な用途

RFC 8501の4章で、DNSの逆引きが利用される一般的な例として6種類の用途が紹介されています。

  • 電子メールの受信拒否
  • 広告の表示(ジオロケーション)
  • SSH接続の許可
  • ログファイル
  • Traceroute
  • サービスデスカバリ

IPv6における逆引きDNSの問題点

RFC 8501の1.2章で、IPv6における逆引きDNSの問題点が紹介されています。

例として、/48のネットワークでは2の80乗個のIPv6アドレスが存在し、その全てをゾーンに記載することが非現実的であるとあります。 1秒間に1000エントリをゾーンに記載していったとして、/48で可能となるIPv6アドレス全てに対応する設定をゾーンに記載し終わるのに38兆年かかります。

さらに、IPv6ではSLAAC(Stateless Address Autoconfiguration)によって下位64ビットのインターフェース識別子(IID)が自動生成されることが多く、短時間でインターフェース識別子が変化することもあることから、ホスト名とアドレスを関連付けるのが不可能となる場合も発生しがちとあります。

RFC 8501では、InformationalなRFCであるRFC 1912において、「PTRレコードは有効なAレコードに対応してなけれbばならない("PTR records must point back to a valid A record")」と書かれていることを紹介しています。 RFC 8501の2章では、AAAAレコードに対応したPTRレコードを管理する場合に考えられる懸念事項をまとめています。

IPv6の逆引きDNS実現方法として考えられる手法

2章では、IPv6において採用可能かも知れない手法として、以下の5つを紹介しています。

  • Negative Response
  • Wildcard Match
  • Dynamic DNS
  • Delegate DNS
  • Dynamically Generate PTR When Queried ("On the Fly")

Negative Responseでは、ユーザが利用しているIPv6アドレスに対応するPTRへの問い合わせに対して、NXDOMAINを返す場合を考察しています。 ただし、Negative Responseでは、いくつかのWebサービスやSSHなどでタイムアウトが発生することでユーザエクスペリエンスが低下する可能性に言及されています。 その一方で、メールサーバでの逆引きが失敗することでメール配送が拒否され、spamメールの抑止になるかも知れないと述べられています。

Wildcardの利用はRFC 4592、IPv6の逆引きでのWildcardの利用はRFC 4472でそれぞれ示されています。 RFC 8501では、たとえば、/48、/56、/64などのアドレスレンジに対してWildcardでの指定をした場合に、そのアドレスレンジに含まれる全てのアドレスとマッチしてしまうために、正引きと逆引きの結果が一致しなくなる点が指摘されています。

正引きと逆引きの整合性を確保する手法として、ダイナミックDNSの活用も考察されています。 DoS攻撃の懸念、ユーザが各自でDDNSを利用する場合、ゲートウェイがDDNSを利用する場合、自動的な委譲などに関して紹介されています。

逆引きDNSの委譲という手法も紹介されています。 顧客が自らDNSサーバを運用できる場合には、その顧客に対して逆引きDNSゾーンを委譲することも可能です。 しかし、多くの顧客はDNSサーバを運用した経験がないことが注意点として挙げられています。

オンデマンドで自動的にPTRレコードを生成する方法もRFC 8501で考察されています。 DDoS攻撃の懸念、DNSSECによるレコードを自動生成する場合には負荷が高くなってしまう可能性などが指摘されています。

セキュリティおよびプライバシ

5章では、セキュリティおよびプライバシに関連する懸念事項が紹介されています。

PTRレコードに位置情報を含むことは、トラブルシューティング、法的処置(law enforcement)、ジオロケーションサービスにとって有用である一方で、同じ理由によって機密を含む情報としてとらえることも可能であることが紹介されています。

また、ユーザに関する情報を伝えるホスト名は、そのユーザに関する情報を漏洩する恐れがあることも述べられています。

   このエントリをはてなブックマークに登録   

プロフェッショナルIPv6解説動画シリーズ再生リスト

動画で学ぶ「プロフェッショナルIPv6」を作っています。 もしよろしければご覧ください。お楽しみいただければ幸いです!

   このエントリをはてなブックマークに登録