 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
日本のネットワークオペレーターが集結する「JANOG18 Meeting」開催 |
||||||||||||||||
|
||||||||||||||||
|
Windows VistaのIPv6実装や、“DNS amp”問題などについて情報交換
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
日本のネットワークオペレーターの組織であるJANOG(JApan Network Operators' Group)は、7月13日と14日の2日間に渡り東京都江東区有明のパナソニックセンター東京で「JANOG18 Meeting」を開催した。JANOGとは、インターネットにおける技術的・運用的な事柄に関する事項を議論・検討・紹介することにより、日本のインターネット技術者および利用者に貢献することを目的としたグループである。ここでは、2日目に行なわれたプログラムの模様を報告する。 ● JP DNS“史上最大の変更”の裏側
インターネットによるサイトへのアクセスは、DNS(Domain Name System)という仕組みによって、ユーザーが指定するドメイン名に対応するIPアドレスが検索され、そのIPアドレスを使い接続を試みることから始まる。DNSが正しくアクセスされ、正しい情報が返ることはインターネットの安定に欠かすことができない要素の1つである。 これまでは、そのDNSに登録されるデータの更新間隔が1日1回だったが、2006年4月3日から15分ごとの更新へと大幅に短縮された。これにより、例えば登録者によるサーバー設定の迅速な反映が可能になるなどサービスの向上が図られたわけだが、これほど大がかりな“仕組みの変更”が簡単に行なえたわけではないという。 民田氏は、「会社や組織に加え、個人によるドメイン名の使用という利用形態の変化があった」ことが背景の1つにあり、JP DNSを支えている他組織とのさまざまな調整や、実環境に近い形でテスト環境を作り、さまざまな試験を行なったことなどを紹介した。 今回の変更では基本的に、負荷分散のために配置されるセカンダリと呼ばれるDNSサーバー群とのデータ共有のための仕組みを、全データの転送から差分情報のみの転送に変更することで更新間隔の短縮を実現した。その背後では、レジストリ側の処理を変更したり、DNSサーバーソフトのバージョンの違いによる差異が問題となるため、その統一とともにゾーンと呼ばれる情報の持ち方などにも変更を加えるといった多くの作業が積み重ねられた。差分情報の生成方法や既存のシステムとの親和性の確認、徹底した処理の見直し、処理能力確保のためのサーバー機材の一斉変更など、その内容は非常に多岐に渡った。 会場からは、「DNSをきれいにしたのは歓迎だが、ゾーン情報の持ち方を変更したことによる問題は本当に発生しないのか」「15分の根拠は何か」といった具体的な質問や、「ゾーン転送時のトランスポート層をセキュアにしてほしい」という要望などが多く出された。民田氏はこれらの声に丁寧に回答していたが、「正直、不安はあった」としながらも、「JP DNS史上、最大の変更は無事終了した」と言えるようになったのは、その陰で行なわれていた実験と実績を積み重ねた結果だとしている。 ● DDoS攻撃の一種“DNS amp”を排除するためにすべきこと
DNS ampという攻撃手法自体は、特に目新しいものではない。その手法は古くから存在し、以前から注意喚起は行なわれてきている。それがあらためて話題となっているのは、その手法を利用したと考えられる攻撃が実際に行なわれ、そこで観測された結果が非常にインパクトのあるものだったからだろう。「最大で20Gbpsを超えた」(松崎氏)とされる攻撃は、通常のネットワークを飽和させるのに十分過ぎる威力だ。 松崎氏は今回、DNS ampについての具体的な解説を行ない、その対策として「送信元のIPアドレスを擬装しているパケットを破棄する必要がある。そのために最も有効なのがSource Address Validationであり、リゾルバ(キャッシュサーバー)では外部からの問い合わせ要求を受け付けず、本当にサービスを提供しなければいけない範囲だけにサービスを提供すること」だとした。 Source Address Validationとは、通信機器でパケットが通過する際に送信元IPアドレスの正当性を確認し、偽装された送信元IPアドレスを利用した通信を遮断する仕組みである。それを実現する方法としてACL(Access Control List)によるパケットフィルタリングと、uRPF(Unicast Reverse Path Forwarding)による送信元IPアドレスチェックという2つの方法を紹介した。また、今後、世界のネットワークグループに対して、こうしたことを行なうよう活動していく旨の報告もなされている。 会場からは、「自分のネットワークを守るというよりも、他人に迷惑をかけないという仕組みなのでモチベーションが上がらないのではないか」といった質問が投げかけられた。それに対してJANOG会長である近藤邦昭氏から「スパム対策の事例にあるように、信頼されるネットワークでないと排除される可能性が出てくるので、自分自身が管理するドメインが信頼されるために必要なことはするべき」というコメントが出るなど、ここでも活発な議論が行なわれた。 ● Windows Vistaで「IPv6はアンインストールできない」は本当?
インターネットにおけるIPv6をめぐる活動は、実は活発化しているという。GoogleもIPv6アドレスを取得したほか、今年末から来年にかけて日本でもWindows VistaがIPv6をデフォルトでオンにした状態で登場する。その背景に、IPv4アドレス不足が深刻化するだろうという予想があることは間違いない。國武氏によれば、「IPv6アドレスの取得率からいうと日本は1位の座からとっくに滑り落ちている」というが、いずれにしても自分たちには関係ないとは言えない状況になりつつある。 そこで考えられたのが、今回のプログラム「ほっといたらIPv4運用に影響するIPv6の話」だ。これは、Windows Vistaの登場を前にいろいろな「Windows Vistaは○○らしい」という声を聞くが、本当のところはどうなのかということを開発側の及川氏に聞くという形で行なわれた。質問の一例を挙げると、「IPv6はアンインストールできない(らしい)」とか、「IPv4オンリーでは動かせない(らしい)」といった具合だ。 國武氏が司会を務め、及川氏が答えるといった構成だが、その主眼は、今後、確実に増えると考えられるIPv6サービスの普及が既存のIPv4ネットワークに与える影響や対策を議論し、検討することにある。 用意された質問に対し、及川氏からは、IPv6環境はアンインストールできないこと(ただし、ポリシー設定やレジストリの変更により無効化することはできる)、逆にIPv4はアンインストールできること、Windows XPからさまざまな点で改良が加えられていることなどが示された。会場からはいろいろな質問が投げかけられが、むしろ、ネットワークの現状を説明し(Windows Vistaの仕様などに対する)改善点の提案がなされるなど、通常の質疑応答とは少し変わった形となった。及川氏は、この点について「日本のネットワークコミュニティの皆さんを前に初めて話をするので最初は緊張したが、前向きな意見交換ができたことは素晴らしかった」と述べている。 ● 「IPv4アドレス枯渇に向けた提言」についても意見交換
会場からはさまざまなテーマが提供されたが、全体的にはIPv6にどう向き合うかが主要な話題となった。ネットワークオペレーターの間では、IPv4アドレスの枯渇やIPv6ネットワークに対しては冷静に受け止められており、「IPv6が来るというのなら、それに備えよう。それよりも、IPv4とIPv6へのリソースの投入がいつまでもだらだらと並列に存在することのほうがいやだ」という気持ちが強いことが伝わってきた。 インターネットは、そのオペレーションを行なうネットワークオペレーターの努力によって支えられている。そうした人々にとって、新しい技術や運用に関する情報を交換したり議論したりする場を作り出すJANOGの活動は欠かすことのできないものだ。情報共有のためにオフレコで提供される話題もあり、その意義は大きい。 JANOG18 Meetingでは、総勢18名のスピーカーにより11のプログラムが実施され、参加者は2日間延べで464名に達した。次回のJANOG19 Meetingは2007年1月に沖縄で予定されている。 関連情報 ■URL JANOG18 Meeting http://www.janog.gr.jp/meeting/janog18/index.html ■関連記事 ・ JPドメイン名DNSの更新間隔が短縮、ドメイン登録後15分で利用可能に(2006/04/05) ・ 警察庁、DNSを悪用したDDoS攻撃の検証結果を公表(2006/07/11) ・ 「Vistaは“IPv6に対応する”が決めごと」マイクロソフト及川氏(2006/02/16) ・ JPNIC、「IPv4アドレス枯渇に向けた提言」を発表(2006/04/03) ・ 「日本DNSオペレーターズグループ」が発足へ、InteropのBOFで有志が宣言(2006/06/08)
( 遠山 孝 )
- ページの先頭へ-
|
