DNSサーバー2010

JPRSからDNSSEC本が発売中です。

今も、書店では、平積みではなくて、
縦置きで並べられています。

ゆえに、気づいた人がほとんどいない状態ですね。
今も。

・・・私以外は(^^)。



おそらく皆が待ち望んだ、DNSSEC本です。

遅かれ、早かれ、猫も杓子も
DNSSSECになる日も来るでしょう、（たぶん）

実践DNS DNSSEC時代のDNSの設定と運用 [大型本] / 民田雅人, 森下泰宏；坂口智...





また、

2011年5月26日（米国時間）、ISCからBIND 9.xのsecurity advisoryが公開
されました。今回の脆弱性は危険性が高いため、JPRSから緊急注意喚起が出ました。

■（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによる
namedのサービス停止について - バージョンアップを強く推奨 -


名前の検索のみで該当するnamedプロセスがクラッシュする（落ちる）。
現在サポートされているすべてのバージョンのBIND 9が対象。

【日記の最新記事】

• DNSSECの導入前検証にも使える(^^..
• ドメインごとのDNS更新間隔って、どうな..

JPRSからDNSSEC本が発売されてます。

新刊ですが、
なぜけ書店では、平積みではなくて、
縦置きで並べられていました。

ゆえに、気づいた人がほとんどいなかったみたいです、私以外は(^^)。



おそらく皆が待ち望んだ、DNSSEC本です。

遅かれ、早かれ、猫も杓子も
DNSSSECになる日も来るでしょう、（たぶん）


実践DNS DNSSEC時代のDNSの設定と運用 [大型本] / 民田雅人, 森下泰宏；坂口智...





また、

2011年5月26日（米国時間）、ISCからBIND 9.xのsecurity advisoryが公開
されました。今回の脆弱性は危険性が高いため、JPRSから緊急注意喚起が出ました。

■（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによる
namedのサービス停止について - バージョンアップを強く推奨 -


名前の検索のみで該当するnamedプロセスがクラッシュする（落ちる）。
現在サポートされているすべてのバージョンのBIND 9が対象。

まとめ、は後で書きますが。

■こちらも参照・参考に。
http://linuxcommand2007.seesaa.net/

●まとめ

（後で埋めます・・・ホンマか）


・DNSのbogonリストを設定しているならば、
　最新にアップデートをすべきである。

・アップデートは、下記を参考にする。
　（なぜ下記を信ずべきか？他に信憑性があるところは、どこか？この質問は難しいな。）

http://www.team-cymru.org/Services/Bogons/bogon-dd.html

★見れば、わかりますが、aggregateされていない方には、
　103.系と105系が記述されています。

102.0.0.0 255.0.0.0
103.0.0.0 255.0.0.0
104.0.0.0 255.0.0.0
105.0.0.0 255.0.0.0
106.0.0.0 255.0.0.0


・ISPといえど、サーバ系エンジニアとルーター系エンジニアは明確に分かれていることも多く、DNSのbogonを最新にしたとしても、Ciscoのフィルタはそのまま(古いまま）、ということは、十分考えられるな。


=========================
調べていた過程の記録メモ
========================
bogonの例と関連URL

●named.conf設定例

acl "bogon" {
0.0.0.0/8; // Null Address
1.0.0.0/8; // reserved IANA, popular fakes
2.0.0.0/8;
192.0.2.0/24; // test address
224.0.0.0/3; // multicast address
};

options {
blackhole {
bogon;
};
};

●関連URL
「FAQ｜Android™向けアプリケーション開発者様用技術情報 | NTTドコモ」より
http://www.dcm-gate.com/fordeveloper/android/faq.html#faq17
http://www.janog.gr.jp/meeting/janog17/documents/13-1_nsp-sec-jp.pdf
http://www.cymru.com/BGP/bogon-rs.html.jis


●主な疑問・質問をピックアップ

1.そもそも、bogonとは何か？

2.なぜフィルタすべきか？

3.フィルタをしたままで良いのか？
　フィルタを削除する場合、いつ、誰が、どのように判断するのか？

4.自動でフィルタしたり、はずしたりできるのか？
　でも、何を基準にする？

5.市販の書籍は、どういう記載になっているか？

====================================================

What is a bogon, and why should I filter it?
A bogon prefix is a route that should never appear in the Internet routing table

詳細は、下記URLを読みましょう。
英語です。
http://www.team-cymru.org/Services/Bogons/

読んでいくと、

the source addresses of DDoS attacks　とか
Bogons are defined as Martians (private and reserved addresses defined by RFC 1918 and RFC 5735

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

001/8 は、APNIC の割り当て、ですね。。

フムフム・・・・。

http://www.team-cymru.org/Services/Bogons/　にあるように、

It is important to realize that the bogon and fullbogon lists are NOT static lists.

でも、現実には、
メンテナンスしていない、とか、ペーストしただけとかが存在する(ようである）。

↓

そもそも、最新のリストをどのように、
メンテナンスすべきか、指針がない、というのが、現状なのでしょうか。


とはいえ、こういう風に対応状況を公開しているようです。

★De-Bogonising　Deは、「非」とか「打ち消し」「否定」の意味なので、
bogonからはずすということですね。

http://www.ris.ripe.net/debogon/

■参考
a.k.a. bogon filtering

a.k.a とは、also known as bogon filtering　ですね。

is becoming more prolific

■prolific・・・〈人・動物が〉多産の，〈植物が〉多果結実の；〈作家などが〉多作の；〈土地・気候などが〉実りの多い，〈殺人者などが〉数をこなす. ⇒PRODUCTIVE 2 ((叙述))（…に）富んでいる；

「数が多い」というイメージの単語ですね。


aired them on lists like NANOG and in the press.

■The Regional Internet Registries (RIRs)


RIRs have to be careful that this is not regarded as a "guarantee of route-ability".

「RIRは、"ルートの保障"として認識されないように、注意しないといけない」とあるので、
あくまでも、やることはやっているけど、効果があるかは、状況しだい、ということかな。

























しまった、仕事場の机に、クックブック直したままや(^^)。

月曜日に見るとしますか。


■役立つリンク
http://www.team-cymru.org/

まとめ、は後で書きますが。

●まとめ

（後で埋めます・・・ホンマか）


・DNSのbogonリストを設定しているならば、
　最新にアップデートをすべきである。

・アップデートは、下記を参考にする。
　（なぜ下記を信ずべきか？他に信憑性があるところは、どこか？この質問は難しいな。）

http://www.team-cymru.org/Services/Bogons/bogon-dd.html

★見れば、わかりますが、aggregateされていない方には、
　103.系と105系が記述されています。

102.0.0.0 255.0.0.0
103.0.0.0 255.0.0.0
104.0.0.0 255.0.0.0
105.0.0.0 255.0.0.0
106.0.0.0 255.0.0.0


・ISPといえど、サーバ系エンジニアとルーター系エンジニアは明確に分かれていることも多く、DNSのbogonを最新にしたとしても、Ciscoのフィルタはそのまま(古いまま）、ということは、十分考えられるな。


=========================
調べていた過程の記録メモ
========================
bogonの例と関連URL

●named.conf設定例

acl "bogon" {
0.0.0.0/8; // Null Address
1.0.0.0/8; // reserved IANA, popular fakes
2.0.0.0/8;
192.0.2.0/24; // test address
224.0.0.0/3; // multicast address
};

options {
blackhole {
bogon;
};
};

●関連URL
「FAQ｜Android™向けアプリケーション開発者様用技術情報 | NTTドコモ」より
http://www.dcm-gate.com/fordeveloper/android/faq.html#faq17
http://www.janog.gr.jp/meeting/janog17/documents/13-1_nsp-sec-jp.pdf
http://www.cymru.com/BGP/bogon-rs.html.jis


●主な疑問・質問をピックアップ

1.そもそも、bogonとは何か？

2.なぜフィルタすべきか？

3.フィルタをしたままで良いのか？
　フィルタを削除する場合、いつ、誰が、どのように判断するのか？

4.自動でフィルタしたり、はずしたりできるのか？
　でも、何を基準にする？

5.市販の書籍は、どういう記載になっているか？

====================================================

What is a bogon, and why should I filter it?
A bogon prefix is a route that should never appear in the Internet routing table

詳細は、下記URLを読みましょう。
英語です。
http://www.team-cymru.org/Services/Bogons/

読んでいくと、

the source addresses of DDoS attacks　とか
Bogons are defined as Martians (private and reserved addresses defined by RFC 1918 and RFC 5735

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

001/8 は、APNIC の割り当て、ですね。。

フムフム・・・・。

http://www.team-cymru.org/Services/Bogons/　にあるように、

It is important to realize that the bogon and fullbogon lists are NOT static lists.

でも、現実には、
メンテナンスしていない、とか、ペーストしただけとかが存在する(ようである）。

↓

そもそも、最新のリストをどのように、
メンテナンスすべきか、指針がない、というのが、現状なのでしょうか。


とはいえ、こういう風に対応状況を公開しているようです。

★De-Bogonising　Deは、「非」とか「打ち消し」「否定」の意味なので、
bogonからはずすということですね。

http://www.ris.ripe.net/debogon/

■参考
a.k.a. bogon filtering

a.k.a とは、also known as bogon filtering　ですね。

is becoming more prolific

■prolific・・・〈人・動物が〉多産の，〈植物が〉多果結実の；〈作家などが〉多作の；〈土地・気候などが〉実りの多い，〈殺人者などが〉数をこなす. ⇒PRODUCTIVE 2 ((叙述))（…に）富んでいる；

「数が多い」というイメージの単語ですね。


aired them on lists like NANOG and in the press.

■The Regional Internet Registries (RIRs)


RIRs have to be careful that this is not regarded as a "guarantee of route-ability".

「RIRは、"ルートの保障"として認識されないように、注意しないといけない」とあるので、
あくまでも、やることはやっているけど、効果があるかは、状況しだい、ということかな。

























しまった、仕事場の机に、クックブック直したままや(^^)。

月曜日に見るとしますか。


■役立つリンク
http://www.team-cymru.org/

久しぶりにVMware本が出ました。
実用的な本です。

「VMware vSphere エンタープライズ・インテグレーション」

・もちろん、VMware vSphere 4を扱っています。

・VMware ESX/vCenter 2つのテスト環境を使っています。

書籍説明では、

既刊の「徹底入門」とは一線を画し、システム構築のためのノウハウを中心に構築／運用／監視などの技法を実践的に解説

だそうです。


●個人的なレビュー

PowerCLIによる運用自動化が私にとっては、
一番、役立ちそう。

APIに関して触れている書籍は、今まで、日本語版VMware書籍ではなかったはず。

「触れている」＝具体的な例をあげてAPIを動かしている、という意味。



内容は、下記です。





--------------------------------------------------
はじめに


第 1章　仮想化とクラウドコンピューティング

1.1　仮想化の流行
　　　　 1.1.1　仮想化技術とは
　　　　 1.1.2　市場動向
1.2　仮想化システム基盤
　　　　 1.2.1　メニュー化されたシステム
　　　　 1.2.2　クラウドコンピューティングの考え方
1.3　プライベートクラウドとパブリッククラウド
　　　　 1.3.1　IT資産、利用での分類
　　　　 1.3.2　5W1Hで分類
1.4　クラウドによるサービスの分類
　　　　 1.4.1　SaaSとは
　　　　 1.4.2　PaaSとは
　　　　 1.4.3　IaaSとは
1.5　仮想技術を使いこなすには
第 2章　仮想化技術を概観する

2.1　サーバーの仮想化技術
　　　　 2.1.1　仮想化の実装方式
　　　　 2.1.2　メインフレーム、UNIX機、PCの仮想化
2.2　CPUの仮想化
　　　　 2.2.1　CPUの仮想化支援機能
　　　　 2.2.2　VMwareでのCPU利用
2.3　メモリの仮想化
　　　　 2.3.1　仮想メモリ
　　　　 2.3.2　メモリの仮想化支援機能について
　　　　 2.3.3　最新のメモリアクセス方式　-NUMAとは
　　　　 2.3.4　VMwareでのメモリアクセスの効率化
2.4　ネットワーク仮想化について
　　　　 2.4.1　OSI参照モデル
　　　　 2.4.2　NICの仮想化
　　　　 2.4.3　スイッチの仮想化
2.5　ストレージの仮想化
　　　　 2.5.1　VMwareでのストレージ技術
　　　　 2.5.2　RAIDとは
　　　　 2.5.3　RAIDシステムの実装
　　　　 2.5.4　ストレージ装置の仮想化
　　　　 2.5.5　Fibre Channelの技術
　　　　 2.5.6　iSCSIの技術
　　　　 2.5.7　今後のストレージ技術の発展
2.6　仮想化技術利用のポイント
　　　　 2.6.1　仮想化技術で変わること
　　　　 2.6.2　仮想化技術で変わらないもの
第 3章　ESXのテスト環境構築(1)　〜VMware Workstationの利用〜

3.1　VMware ESXテスト環境の構築
3.2　VMware Workstation上に環境を作る
3.3　基本設計
　　　　 3.3.1　最低限の要件
　　　　 3.3.2　必要なソフトウェア
　　　　 3.3.3　ソフトウェアの関係図
　　　　 3.3.4　インストールの順番
3.4　ダウンロード手順
　　　　 3.4.1　VMware Workstation 7.1のダウンロード
　　　　 3.4.2　VMware vSphere ESX 4.1のダウンロード
　　　　 3.4.3　Ubuntu Linux 10.04のダウンロード
3.5　VMware Workstation 7.1のインストール
　　　　 3.5.1　インストール手順
3.6　VMware ESX用の仮想マシンの作成
　　　　 3.6.1　仮想マシン作成手順
3.7　VMware ESX 4.1のインストール
　　　　 3.7.1　ISOイメージファイルのマウント
　　　　 3.7.2　VMware　ESX 4.1のインストール
3.8　vSphere Clientのインストール
　　　　 3.8.1　vSphere Clientのダウンロード
　　　　 3.8.2　vSphere Clientのインストール
　　　　 3.8.3　Ubuntu 10.04用の仮想マシンの作成
　　　　 3.8.4　Ubuntu 10.04のインストール
3.9　活用方法
第 4章　ESXのテスト環境構築(2)　〜ミニチュア実機検証環境〜

4.1　仮想化のための実験環境
4.2　システムイメージ
　　　　 4.2.1　ハードウェア構成
　　　　 4.2.2　ソフトウェア構成
4.3　基本設計
　　　　 4.3.1　ネットワーク情報
4.4　インストール作業
　　　　 4.4.1　ML110G5
　　　　 4.4.2　Express 5800のインストール
　　　　 4.4.3　スイッチングHUB
　　　　 4.4.4　機器接続
4.5　設定作業
　　　　 4.5.1　Openfilerの設定作業
　　　　 4.5.2　VMware ESXの設定作業
　　　　 4.5.3　vCenter Serverのインストール
　　　　 4.5.4　vCenter Serverのオペレーション
　　　　 4.5.5　設定後の作業
4.6　VMware ESXの機能とオペレーション
　　　　 4.6.1　vCenter Serverの役割
　　　　 4.6.2　vCenter導入によって実現する機能
　　　　 4.6.3　vMotion
　　　　 4.6.4　Storage vMotion
　　　　 4.6.5　vNetwork Distributed Switch
　　　　 4.6.6　その他の機能

つづく・・・・・・・・・・・

久しぶりにVMware本が出ました。
実用的な本です。

「VMware vSphere エンタープライズ・インテグレーション」

・もちろん、VMware vSphere 4を扱っています。

・VMware ESX/vCenter 2つのテスト環境を使っています。

書籍説明では、

既刊の「徹底入門」とは一線を画し、システム構築のためのノウハウを中心に構築／運用／監視などの技法を実践的に解説

だそうです。


●個人的なレビュー

PowerCLIによる運用自動化が私にとっては、
一番、役立ちそう。

APIに関して触れている書籍は、今まで、日本語版VMware書籍ではなかったはず。

「触れている」＝具体的な例をあげてAPIを動かしている、という意味。



内容は、下記です。





--------------------------------------------------
はじめに


第 1章　仮想化とクラウドコンピューティング

1.1　仮想化の流行
　　　　 1.1.1　仮想化技術とは
　　　　 1.1.2　市場動向
1.2　仮想化システム基盤
　　　　 1.2.1　メニュー化されたシステム
　　　　 1.2.2　クラウドコンピューティングの考え方
1.3　プライベートクラウドとパブリッククラウド
　　　　 1.3.1　IT資産、利用での分類
　　　　 1.3.2　5W1Hで分類
1.4　クラウドによるサービスの分類
　　　　 1.4.1　SaaSとは
　　　　 1.4.2　PaaSとは
　　　　 1.4.3　IaaSとは
1.5　仮想技術を使いこなすには
第 2章　仮想化技術を概観する

2.1　サーバーの仮想化技術
　　　　 2.1.1　仮想化の実装方式
　　　　 2.1.2　メインフレーム、UNIX機、PCの仮想化
2.2　CPUの仮想化
　　　　 2.2.1　CPUの仮想化支援機能
　　　　 2.2.2　VMwareでのCPU利用
2.3　メモリの仮想化
　　　　 2.3.1　仮想メモリ
　　　　 2.3.2　メモリの仮想化支援機能について
　　　　 2.3.3　最新のメモリアクセス方式　-NUMAとは
　　　　 2.3.4　VMwareでのメモリアクセスの効率化
2.4　ネットワーク仮想化について
　　　　 2.4.1　OSI参照モデル
　　　　 2.4.2　NICの仮想化
　　　　 2.4.3　スイッチの仮想化
2.5　ストレージの仮想化
　　　　 2.5.1　VMwareでのストレージ技術
　　　　 2.5.2　RAIDとは
　　　　 2.5.3　RAIDシステムの実装
　　　　 2.5.4　ストレージ装置の仮想化
　　　　 2.5.5　Fibre Channelの技術
　　　　 2.5.6　iSCSIの技術
　　　　 2.5.7　今後のストレージ技術の発展
2.6　仮想化技術利用のポイント
　　　　 2.6.1　仮想化技術で変わること
　　　　 2.6.2　仮想化技術で変わらないもの
第 3章　ESXのテスト環境構築(1)　〜VMware Workstationの利用〜

3.1　VMware ESXテスト環境の構築
3.2　VMware Workstation上に環境を作る
3.3　基本設計
　　　　 3.3.1　最低限の要件
　　　　 3.3.2　必要なソフトウェア
　　　　 3.3.3　ソフトウェアの関係図
　　　　 3.3.4　インストールの順番
3.4　ダウンロード手順
　　　　 3.4.1　VMware Workstation 7.1のダウンロード
　　　　 3.4.2　VMware vSphere ESX 4.1のダウンロード
　　　　 3.4.3　Ubuntu Linux 10.04のダウンロード
3.5　VMware Workstation 7.1のインストール
　　　　 3.5.1　インストール手順
3.6　VMware ESX用の仮想マシンの作成
　　　　 3.6.1　仮想マシン作成手順
3.7　VMware ESX 4.1のインストール
　　　　 3.7.1　ISOイメージファイルのマウント
　　　　 3.7.2　VMware　ESX 4.1のインストール
3.8　vSphere Clientのインストール
　　　　 3.8.1　vSphere Clientのダウンロード
　　　　 3.8.2　vSphere Clientのインストール
　　　　 3.8.3　Ubuntu 10.04用の仮想マシンの作成
　　　　 3.8.4　Ubuntu 10.04のインストール
3.9　活用方法
第 4章　ESXのテスト環境構築(2)　〜ミニチュア実機検証環境〜

4.1　仮想化のための実験環境
4.2　システムイメージ
　　　　 4.2.1　ハードウェア構成
　　　　 4.2.2　ソフトウェア構成
4.3　基本設計
　　　　 4.3.1　ネットワーク情報
4.4　インストール作業
　　　　 4.4.1　ML110G5
　　　　 4.4.2　Express 5800のインストール
　　　　 4.4.3　スイッチングHUB
　　　　 4.4.4　機器接続
4.5　設定作業
　　　　 4.5.1　Openfilerの設定作業
　　　　 4.5.2　VMware ESXの設定作業
　　　　 4.5.3　vCenter Serverのインストール
　　　　 4.5.4　vCenter Serverのオペレーション
　　　　 4.5.5　設定後の作業
4.6　VMware ESXの機能とオペレーション
　　　　 4.6.1　vCenter Serverの役割
　　　　 4.6.2　vCenter導入によって実現する機能
　　　　 4.6.3　vMotion
　　　　 4.6.4　Storage vMotion
　　　　 4.6.5　vNetwork Distributed Switch
　　　　 4.6.6　その他の機能

つづく・・・・・・・・・・・

メモ書きです。

ややこしくて、覚えなくてもいいですが、
頭には入れておかないと、混乱します。




■重要参考
９章「DNSルックアップを減らす」

・OSのキャッシュとブラウザのキャッシュの違い
・ブラウザの視点から見たDNSキャッシュ
・IEとFirefoxの違い。
　Firefoxでは、サーバー側のkeep-alive重視（ですね。）








SafariとかChromeも調べるべきなんでしょうねぇー、きっと(^^)。

あちこちでニュースとなってますね、
トム・クルーズの「トップガン２」

http://techcrunch.com/2010/10/15/top-gun-2/

なぜ、今頃・・とも思いつつ、良い仕上がりになればいいですが。


では、DNSSECネタです。

２件。



.jp DNSSECキーセレモニーの実施について


JPゾーンにおけるDNSSEC署名の開始による影響について

改訂新版 BIND9によるDNSサーバ構築 (エッセンシャルソフトウェアガイドブック)

• 作者: 川原 龍人
• 出版社/メーカー: 技術評論社
• 発売日: 2010/06/19
• メディア: 単行本（ソフトカバー）

DNS & BINDクックブック―ネームサーバ管理者のためのレシピ集

• 作者: クリクット リュウ
• 出版社/メーカー: オライリージャパン
• 発売日: 2003/04
• メディア: 単行本

さて、サーバー管理者の皆さんにも遅かれ早かれ
影響は避けられないと思う、DNSSECに関する情報です。

http://jprs.jp/tech/notice/2010-06-23-root-zone-ds-add.html


http://jprs.co.jp/press/2010/100617.html

今のところ、DNSSEC関連の情報が書かれた書籍は、
最近、更新版が発売された、この本くらいです。

会社費用で購入して、見ておくと良いと思います。










※NegativeTTLのところの値が今でも、
　昔のTTL値のまま気づいていないと思われる
　86400で掲載されているのは、きちんとチェックして
　直して欲しいと思いますが。

昨日、本屋で見かけましたが、
久しぶりにDNS本が出ました。




以前出ていたものの改訂版ですが、
中盤以降の内容は、かなり改定されていたので、

・今から、DNS本を買おうという人、
・DNSの構築案件がある人、
・DNSSECに関する内容が掲載されている本が欲しい人、

にオススメです。








もちろん、メールの送信者認証に関するSPFなどの内容も
掲載されています。


あと、気づいたことというか、いまだに
こう書いているの？マズイでしょ、いくらなんでも
と思ったのが、ゾーンファイルの内容で、

SOAのネガティブTTLを、いまだに、
1dとかいている箇所。

誰か注意してあげれば？と思うんですが、
昔、TTL値をそこに記述していたのを、
未だにそのまま記述しているようで、
ネガティブTTL値を86400なんてありえないと
思います。


間違って、設定することで
トラブル発生時にやっかいな問題が発生すると
思うので、買う人は、注意しておくべきだと
思います。