キャッシュDNSサーバ DNSSEC導入ガイドライン

by user

on 28 марта 2017

Category: Documents

>> Downloads: 0

views

Report

Comments

Description

Download キャッシュDNSサーバ DNSSEC導入ガイドライン

Transcript

キャッシュDNSサーバ DNSSEC導入ガイドライン

キャッシュDNSサーバ
DNSSEC導入ガイドライン
DNSSEC 技術検証WG
寺嶋鉄平堀口智史
2011.4.20
Topic
n  ガイドラインの目的・対象者
n  シナリオ説明
n  まとめ
１．ガイドラインの目的・対象者
n  目的
キャッシュDNSサーバのDNSSEC導入において
チェックリストを提示し、健全なDNSSEC対応
のキャッシュDNSサーバを構築・運用すること
n  対象者
ü  既にキャッシュDNSサーバを運用している方
ü  DNSサーバ運用者
２．ガイドラインの前提条件
n 
Internet Customer
環境
¨  Load
Balancerを経由し
た負荷分散構成
名前解決
Internet網
Router
n 
DNSSEC導入対象
網内
Switch
¨  既に運用しているキャッ
Load Balancer
シュDNSサーバ
クエリ分散
クエリ分散
キャッシュDNS キャッシュDNS
キャッシュDNS
３．シナリオ説明
STEP 1
STEP 2
現
状
影
響
度
知
知
STEP 3
商
＆用
影小
響規
模
知
STEP 4
展
開
STEP 5
監
視
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  現状リソースを把握すること
ü  サーバリソース（CPU,Memory使用率）、クエリ数、TCP/
UDPパケット数など
ü  DNSSEC導入における概算費用を試算すること（設備投資費、稼働費など）
ü  STEP２∼STEP５の各工程の想定工数を見積もる
こと（導入計画をたてること）
監
視
知
展
開
知
商
＆用
影小
響規
模
知
【STEP1】今を知ろう！！
現
状
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  DNSSECはリソースへの影響が多いので、事前に
商用とは別の環境で確かめること
ü  その結果を踏まえ、収容設計の見直し、工数の見
直しを行うこと
監
視
知
展
開
知
商
＆用
影小
響規
模
知
【STEP2】インパクトを知ろう！！
現
状
影
響
度
（参考1）CPU使用率の変化
署名有り・キャッシュ有り
20
CPU
使
用
率 10
％
署名有り・キャッシュ無し
（
）
署名無し・キャッシュ有り
0
署名無し・キャッシュ無し
測定時間（秒）
（参考２）メモリ使用率の変化
150
BIND
Max_cache_sizeの到達が早い
（Mbyte）
使
用 50
量
0
85Mbyte
37MByte
37MByte
11Mbyte
11Mbyte
11Mbyte
BIND起動状態
署名無し
キャッシュ状態
署名有り
キャッシュ状態
※総クエリ4万で測定
（参考３）１クエリのデータサイズの変化
n  名前解決した場合
DNS
SEC
Queryサイズ
有/無パケット数
（byte）
Replyサイズ
（byte）
無
12
492
1170
有
40
1578
14562
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう！
展
開
n  確認項目
ü  STEP2の検証結果が想定通りか、小規模で確認
すること
ü  最低１週間程度は傾向を確認すること
ü  結果、ダメだった場合、再度やり直すこと
監
視
知
現
状
知
商
＆用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう！
n  技術的な確認項目
¨ キャッシュDNS
ü  名前解決できること
ü 
署名検証ができていること（adビットがたっていること）
ü  NW帯域にも注意すること
ü 
特に権威DNSサーバ⇔キャッシュDNSサーバのNW帯域
展
開
監
視
知
現
状
知
商
＆用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう！
n  技術的な確認項目
¨ LoadBalancer
ü  名前解決できること
ü 
IPフラグメントした場合も名前解決できること
ü  クエリが振り分けられること
展
開
監
視
知
現
状
知
商
＆用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  項目はSTEP３と同様
n  あとは・・・、勇気と決断あるのみ！！
監
視
知
展
開
知
商
＆用
影小
響規
模
知
【STEP4】じゃあ、やってみよう！
現
状
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  CPU、Memory、クエリ等の傾向把握を日々するこ
と
ü  業界動向、DNSSEC技術、DNSソフトウェアの更新
情報等をウォッチすること
監
視
知
展
開
知
商
＆用
影小
響規
模
知
【STEP5】で、大丈夫？？
現
状
影
響
度
４．まとめ
n  DNSSEC導入すると・・・
¨ キャッシュに蓄積されるデータサイズの増加
¨ CPU使用率の上昇、メモリ肥大化は確実
¨ パケット数、データサイズ増加による帯域圧迫
５．最後に
n  周りがDNSSEC対応する前にDNSSEC対応し
た方が良いですね。
n  挙手アンケートにご協力お願いいたします。
ご清聴ありがとうございました！！