IPv6逆引き自動生成DNSサーバ
    発表者 : 藤原 和典 (株式会社日本レジストリサービス)

逆正一致(PARANOID check)
DNS逆引きで得たホスト名からさらにIPアドレスを検索し、もとのIPアドレスが含まれているかを確認する手法
 - 逆引きには、逆引きドメイン名の管理者が任意のホスト名を記述できるため、ホスト名だけで信用すると危険

ホスト名だけで認証するようなサービス= RPOP, rsh, rloginなど

大昔は逆引きをなりすまして.rhostsの記述を推定してloginできた
- 正引きにIPアドレスが書かれていると、逆引きと正引き両方の管理権限があると考えることができる


IPv4での逆引き設定
多くのISPでは、ユーザに割り当てるすべてのアドレスにISPのドメイン名がついた逆引きを設定している

逆引き結果のドメイン名にIPアドレスを対応づけ、逆正一致チェックも通る

IPv6でも、ユーザに割り当てたアドレス空間の逆引きは必要か？

その場合、逆正一致チェックも行うか？
 - 従来のIPv6対応ではv4と同じチェックを行っている


IPv6での逆引きの特徴
IPv6では、利用者に割り当てられるアドレスが膨大
- すべてのアドレスに逆引きを設定することは困難

/64のアドレス数は2^64 = 約1.8*10^19 = 約1800京= 約18E(エクサ)

ゾーンファイルに書くと、一行100バイトで1800Eバイト

利用者の使用するアドレスが短時間に変化

- Privacy Extension for Stateless Address Autoconfiguration in IPv6 (RFC 4941)
- Windows Vistaなどでは実装済み


IPv6での逆引き設定の考え方
案1 すべてのアドレスの逆引きを事前設定
- /64ですら18エクサバイト必要なので不可能

案2 使用されるアドレスだけ動的に追加設定
- Neighbor Discoveryを見張って追加
- Windows XP/VistaはDynamic Updateを送るので受け付ければよい

案3 利用者に権限委任

案4 /64などの単位でwildcardにPTR設定
- 逆正一致チェックは通らない

案5 IPv6アドレスの逆引きと対応する正引きを自動生成する専用のDNSサーバを製作


draft-howard-isp-ip6rdns-00
Reverse DNS in IPv6 for Internet Service Providers
Time Warner CableのL. Howard氏とComcastのA. Durandから2009/6/9にIETFに提出
概要
- IPv4での逆引き設定
- IPv6での逆引き設定の考え方

前ページの案1から案5
- IPv6では利用者のアドレスの逆引きをISPが提供することをやめることを推奨する提案
- 動的に逆引きを生成するのがよくない理由はDNSSECのため

IETF75での議論は発散
- 現在dnsop mailing listで議論再開

逆引き自動生成:要件
すべてのIPv6アドレスに、ユニークなホスト名を与え、その正引きも用意すること
- /32〜/64ぐらいの範囲の逆引きを生成できること
- 対応する正引きも生成すること
- IPv6アドレス、逆引き、正引きのホスト名は一対一対応すること
- DNSサーバとしてRFCに準拠した応答を生成すること


Q:ドメイン名でアクセス制御したい人が多い。逆引きという存在すら知らない。きっと必要になると思います。
Q:Webプログラマでドメイン名で制限している人がいるかというと、居ないんじゃないか
Q:AP部分も真面目に逆引きをしているのは日本だけではないか？