...

キャッシュDNSサーバ DNSSEC導入ガイドライン

by user

on
Category: Documents
4

views

Report

Comments

Transcript

キャッシュDNSサーバ DNSSEC導入ガイドライン
キャッシュDNSサーバ
DNSSEC導入ガイドライン
DNSSEC 技術検証WG
寺嶋鉄平 堀口智史
2011.4.20
Topic
n  ガイドラインの目的・対象者
n  シナリオ説明
n  まとめ
1.ガイドラインの目的・対象者
n  目的
キャッシュDNSサーバのDNSSEC導入において
チェックリストを提示し、健全なDNSSEC対応
のキャッシュDNSサーバを構築・運用すること
n  対象者
ü  既にキャッシュDNSサーバを運用している方
ü  DNSサーバ運用者
2.ガイドラインの前提条件
n 
Internet Customer
環境
¨  Load
Balancerを経由し
た負荷分散構成
名前解決
Internet網
Router
n 
DNSSEC導入対象
網内
Switch
¨  既に運用しているキャッ
Load Balancer
シュDNSサーバ
クエリ分散
クエリ分散
キャッシュDNS キャッシュDNS
キャッシュDNS
3.シナリオ説明
STEP 1
STEP 2
現
状
影
響
度
知
知
STEP 3
商
&用
影小
響規
模
知
STEP 4
展
開
STEP 5
監
視
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  現状リソースを把握すること
ü  サーバリソース(CPU,Memory使用率)、クエリ数、TCP/
UDPパケット数など
ü  DNSSEC導入における概算費用を試算すること (設備投資費、稼働費など)
ü  STEP2∼STEP5の各工程の想定工数を見積もる
こと(導入計画をたてること)
監
視
知
展
開
知
商
&用
影小
響規
模
知
【STEP1】今を知ろう!!
現
状
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  DNSSECはリソースへの影響が多いので、事前に
商用とは別の環境で確かめること
ü  その結果を踏まえ、収容設計の見直し、工数の見
直しを行うこと
監
視
知
展
開
知
商
&用
影小
響規
模
知
【STEP2】インパクトを知ろう!!
現
状
影
響
度
(参考1)CPU使用率の変化
署名有り・キャッシュ有り
20
CPU
使
用
率 10
%
署名有り・キャッシュ無し
(
)
署名無し・キャッシュ有り
0
署名無し・キャッシュ無し
測定時間(秒)
(参考2)メモリ使用率の変化
150
BIND
Max_cache_sizeの到達が早い
(Mbyte)
使
用 50
量
0
85Mbyte
37MByte
37MByte
11Mbyte
11Mbyte
11Mbyte
BIND起動状態
署名無し
キャッシュ状態
署名有り
キャッシュ状態
※総クエリ4万で測定
(参考3)1クエリのデータサイズの変化
n  名前解決した場合
DNS
SEC
Queryサイズ
有/無 パケット数
(byte)
Replyサイズ
(byte)
無
12
492
1170
有
40
1578
14562
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう!
展
開
n  確認項目
ü  STEP2の検証結果が想定通りか、小規模で確認
すること
ü  最低1週間程度は傾向を確認すること
ü  結果、ダメだった場合、再度やり直すこと
監
視
知
現
状
知
商
&用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう!
n  技術的な確認項目
¨ キャッシュDNS
ü  名前解決できること
ü 
署名検証ができていること(adビットがたっていること)
ü  NW帯域にも注意すること
ü 
特に権威DNSサーバ⇔キャッシュDNSサーバのNW帯域
展
開
監
視
知
現
状
知
商
&用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
【STEP3】とりあえずやってみよう!
n  技術的な確認項目
¨ LoadBalancer
ü  名前解決できること
ü 
IPフラグメントした場合も名前解決できること
ü  クエリが振り分けられること
展
開
監
視
知
現
状
知
商
&用
影小
響規
模
知
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  項目はSTEP3と同様
n  あとは・・・、勇気と決断あるのみ!!
監
視
知
展
開
知
商
&用
影小
響規
模
知
【STEP4】じゃあ、やってみよう!
現
状
影
響
度
STEP 1 STEP 2 STEP 3 STEP 4 STEP 5
n  確認項目
ü  CPU、Memory、クエリ等の傾向把握を日々するこ
と
ü  業界動向、DNSSEC技術、DNSソフトウェアの更新
情報等をウォッチすること
監
視
知
展
開
知
商
&用
影小
響規
模
知
【STEP5】で、大丈夫??
現
状
影
響
度
4.まとめ
n  DNSSEC導入すると・・・
¨ キャッシュに蓄積されるデータサイズの増加
¨ CPU使用率の上昇、メモリ肥大化は確実
¨ パケット数、データサイズ増加による帯域圧迫
5.最後に
n  周りがDNSSEC対応する前にDNSSEC対応し
た方が良いですね。
n  挙手アンケートにご協力お願いいたします。
ご清聴ありがとうございました!!
Fly UP