この文書はインターネットドラフトの日本語訳(和訳)です。 翻訳者はこの文書の翻訳の正確さを保障しません。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 翻訳者はこの翻訳の配布に制限をしません。
Network Working Group R. Droms (ed.)
Internet-Draft Cisco Systems
Expires: August 29, 2003 February 28, 2003
DNS Configuration options for DHCPv6
DHCPv6のDNS設定オプション
draft-ietf-dhc-dhcpv6-opt-dnsconfig-03.txt
Status of this Memo
このメモの状態
This document is an Internet-Draft and is in full conformance with
all provisions of Section 10 of RFC2026.
この文書はインターネットドラフトであって、そしてRFC2026の10
章のすべての条項に完全適合です。
Internet-Drafts are working documents of the Internet Engineering
Task Force (IETF), its areas, and its working groups. Note that
other groups may also distribute working documents as Internet-
Drafts.
インターネットドラフトはインターネット技術タスクフォース(IETF)
とそのエリアとその作業グループの作業文書です。他のグループがインター
ネットドラフトとして同じく作業文書を配るかもしれないことに注意してく
ださい。
Internet-Drafts are draft documents valid for a maximum of six months
and may be updated, replaced, or obsoleted by other documents at any
time. It is inappropriate to use Internet-Drafts as reference
material or to cite them other than as "work in progress."
インターネットドラフトは最大6カ月間有効なドラフト文書で、いつでも他
の文書によって、更新か、置換えか、時代遅れにされるかもしれません。イ
ンターネットドラフトは、「進行中の仕事」として以外に、参照材料あるい
は引用として用いることは不適当です。
The list of current Internet-Drafts can be accessed at
http://www.ietf.org/ietf/1id-abstracts.txt.
現在のインターネットドラフトのリストは
http://www.ietf.org/ietf/1id-abstracts.txt でアクセスできます。
The list of Internet-Draft Shadow Directories can be accessed at
http://www.ietf.org/shadow.html.
インターネットドラフトの影ディレクトリのリストは
http://www.ietf.org/shadow.html でアクセスできます。
This Internet-Draft will expire on August 29, 2003.
このインターネットドラフトは2003年8月29日で期限切れです。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
Abstract
概要
This document describes DHCPv6 options for passing a list of
available DNS resolvers and a domain search list to a client.
この文書はクライアントに利用可能なDNSリゾルバリストとドメイン探索
リストを渡すDHCPv6オプションを記述します。
1. Introduction
1. はじめに
This document describes two options for passing configuration
information related to Domain Name Service (DNS) [1, 6] in DHCPv6
[2].
この文書はDHCPv6[2]でドメインネームサービス(DNS)[1,6]と関
係がある設定情報を渡す2つのオプションを記述します。
2. Terminology
2. 専門用語
The key words MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD,
SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL in this document are to be
interpreted as described in RFC2119 [3].
この文書のキーワードMUSTとMUST NOTとREQUIREDとSHALLとSHALL NOTと
SHOULDとSHOULD NOTとRECOMMENDEDとMAYとPTIONALはRFC2119[3]で記
述されるように解釈されます。
This document uses terminology specific to IPv6 and DHCPv6 as defined
in section "Terminology" of the DHCP specification [2].
この文書はDHCP仕様書[2]の「専門用語」章で定義されるIPv6とDH
CPv6に特有な用語を使います。
3. DNS Resolver option
3. DNSリゾルバオプション
The DNS Resolver option provides a list of one or more IPv6 addresses
of DNS recursive resolvers to which a client's DNS resolver MAY send
DNS queries [1]. The DNS servers are listed in the order of
preference for use by the client resolver.
DNSリゾルバオプションは、クライアントのDNSリゾルバがDNS問合
せを送信するかもしれない、DNS回帰リゾルバの1つ以上のIPv6アド
レスのリストを供給します[1]。DNSサーバはクライアントリゾルバが使用
する優先度順でリストアップされます。
The format of the DNS Resolver option is:
DNSリゾルバオプションのフォーマットは以下です:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_DNS_RESOLVERS | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| DNS-resolver (IPv6 address) |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| DNS-resolver (IPv6 address) |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
option-code: OPTION_DNS_RESOLVERS (tbd)
option-len: Length of the list of DNS resolvers in octets; must be a
multiple of 16
option-len: オクテット単位のDNSリゾルバのリストの長さ;16の倍数
に違いありません。
DNS-server: IPv6 address of DNS resolver
DNS-server: DNSリゾルバのIPv6アドレス。
4. Domain Search List option
4. ドメイン探索リストオプション
The Domain Search List option specifies the domain search list the
client is to use when resolving hostnames with DNS. This option does
not apply to other name resolution mechanisms.
ドメイン探索リストオプションはクライアントがDNSでホスト名を解決す
る時に使うドメイン探索リストを指定します。この選択は他の名前決議メカ
ニズムに当てはまりません。
The format of the Domain Search List option is:
ドメイン探索リストオプションのフォーマットは以下です:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_DOMAIN_LIST | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| searchstring |
| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
option-code: OPTION_DOMAIN_LIST (tbd)
option-len: Length of the 'searchstring' field in octets
option-len: オクテット単位の'searchstring'の長さ。
searchstring: The specification of the list of domain names in the
Domain Search List
searchstring: ドメイン探索リストのドメイン名のリストの指定。
The list of domain names in the 'searchstring' MUST be encoded as
specified in section "Representation and use of domain names" of the
DHCPv6 specification [2].
'searchstring'のドメイン名のリストは、DHCPv6仕様書[2]の「ドメイ
ン名の表現と使用」章で指定されるように、コード化されなくてはなりませ
ん。
5. Appearance of these options
5. これらのオプションの外観
The Domain Name Server option MUST NOT appear in other than the
following messages: Solicit, Advertise, Request, Renew, Rebind,
Information-Request, Reply.
ドメイン名サーバオプションは中に次のメッセージ以外に現われてはなりま
せん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。
The Domain Search List option MUST NOT appear in other than the
following messages: Solicit, Advertise, Request, Renew, Rebind,
Information-Request, Reply.
ドメイン探索リストオプションは次のメッセージ以外に現われてはなりませ
ん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。
6. Security Considerations
6. セキュリティの考慮
The DNS Resolver option may be used by an intruder DHCP server to
cause DHCP clients to send DNS queries to an intruder DNS resolver.
The results of these misdirected DNS queries may be used to spoof DNS
names.
DNSリゾルバオプションはDHCPクライアントがDNS問合せを侵入者
のDNSリゾルバに送らせるために侵入者のDHCPサーバによって使われ
るかもしれません。これらの間違った方向に送られるDNS問合せはDNS
名をだますために使われるかもしれません。
To avoid attacks through the DNS Resolver option, the DHCP client
SHOULD require DHCP authentication (see section "Authentication of
DHCP messages" in the DHCPv6 specification) before installing a list
of DNS resolvers obtained through authenticated DHCP .
DNSリゾルバオプションを通しての攻撃を避けるために、DHCPクライ
アントは認証されたDHCPを通して得られるDNSリゾルバリストをイン
ストールする前にDHCP認証(DHCPv6仕様書の「DHCPメッセー
ジ認証」章を参照)を要求するべきです。
The Domain Search List option may be used by an intruder DHCP server
to cause DHCP clients to search through invalid domains for
incompletely specified domain names. The results of these
misdirected searches may be used to spoof DNS names. Note that
support for DNSSEC [4] will not avert this attack, because the
resource records in the invalid domains may be legitimately signed.
ドメイン探索リストオプションは、DHCPクライアントが不完全に指定さ
れたドメイン名に対して無効なドメインを捜させるために侵入者のDHCP
サーバによって使われるかもしれません。これらの間違って行われた探索の
結果はDNS名をだますために使われるかもしれません。無効なドメインで
の資源レコードは合法的に署名されるかもしれないので、DNSSEC[4]の
サポートがこの攻撃を避けないことに注意してください。
The degree to which a host is vulnerable to attack via an invalid
domain search option is determined in part by DNS resolver behavior.
RFC1535 [7] contains a discussion of security weaknesses related to
implicit as well as explicit domain searchlists, and provides
recommendations relating to resolver searchlist processing. Section
6 of RFC1536 [5] also addresses this vulnerability, and recommends
that resolvers:
ホストが無効なドメイン探索オプションの攻撃で傷つきやすい度合いはDN
Sリゾルバ行動によって一部決定されます。RFC1535[7]が、明示的と
暗示的なドメイン探索リストと関係があるセキュリティの弱点の論議を含み、
そしてリゾルバ探索リスト処理に関連した推薦を供給します。RFC153
6[5]の6章が同じくこの弱点を扱い、そしてリゾルバに以下を勧めます:
1. Use searchlists only when explicitly specified; no implicit
searchlists should be used.
1. ただ明示的に指定されるだけ時だけ、探索リストを使ってください;暗
示的な探索リストが使われるべきではありません。
2. Resolve a name that contains any dots by first trying it as an
FQDN and if that fails, with the names in the searchlist
appended.
2. ドットを含む名前は、最初にFQDNとして名前解決を試み、失敗した
ら探索リストを付加して名前解決を試みてください。
3. Resolve a name containing no dots by appending with the
searchlist right away, but once again, no implicit searchlists
should be used.
3. ドットを含まない名前は、すぐに探索リストを付加して名前解決を試み
てください、けれども、暗示的な探索リストが使われるべきではありま
せん。
In order to minimize potential vulnerabilities it is recommended
that:
脆弱性の可能性を最小にするために、以下が勧められます:
1. Hosts implementing the domain search option SHOULD also implement
the searchlist recommendations of RFC1536, section 6.
1. ドメイン捜索オプションを実装するホストは同じくRFC1536 の6
章の探索リストの推薦を実行するべきです(SHOULD)。
2. Where DNS parameters such as the domain searchlist or DNS servers
have been manually configured, these parameters SHOULD NOT be
overridden by DHCP.
2. ドメイン探索リストやDNSサーバのようなDNSパラメータが手作業
で設定されたところで、これらのパラメータはDHCPを上書きすべき
ではありません(SHOULD NOT)。
3. A host SHOULD require the use of DHCP authentication (see section
"Authentication of DHCP messages" in the DHCPv6 specification)
prior to accepting a domain search option.
3. ホストがドメイン探索オプションを受け入れることの前にDHCP認証
の使用を要求すべきです(SHOULD)(DHCPv6仕様の「DHCPメッ
セージ認証」章を見てください)。
7. IANA Considerations
7. IANA考慮
IANA is requested to assign an option code to these options from the
option-code space defined in section "DHCPv6 Options" of the DHCPv6
specification [2].
IANAはDHCPv6仕様書[2]の「DHCPv6オプション」章で定義し
たオプションコード空間をオプションコードをこれらのオプションに割り当
てるように要請されます。
8. Acknowledgments
8. 謝辞
This option was originally part of the DHCPv6 specification, written
by Jim Bound, Mike Carney, Charlie Perkins, Ted Lemon, Bernie Volz
and Ralph Droms.
このオプションは元々DHCPv6仕様書の一部で、Jim BoundとMike
CarneyとCharlie PerkinsとTed LemonとBernie VolzとRalph Dromsによって
かかれました。
The analysis of the potential attack through the domain search list
is taken from the specification of the DHCPv4 Domain Search option,
RFC3397 [8].
ドメイン探索リストにより可能性がある攻撃の分析はDHCPv4ドメイン
探索オプションの仕様書RFC3397[8]からとられます。
Thanks to Rob Austein, Alain Durand, Peter Koch, Tony Lindstrom and
Pekka Savola for their contributions to this document.
この文章の貢献に対してRob AusteinとAlain DurandとPeter KochとTony
LindstromとPekka Savolaに感謝します。
9. Changes from draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txt
9. draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txtからの変更点
This document includes the following changes in response to comments
made during the dhc/dnsext WG last call:
この文書はdhc/dnsext WGのラストコールの間にされたコメントに応えて次の
変更を含みます:
o Combined RFC2119 reference and reference to DHCPv6 specification
into one "Terminology" section; added explicit normative reference
to DHCPv6 specification.
o 結合されたRFC2119リファレンスとリファレンスがDHCPv6仕
様書に1つの「ターミノロジー」セクションの中に、DHCPv6仕様書
に明示的な基準的参考文献を加えました。
o Changed name of "Domain Name Server" option to "DNS Resolver"
option.
o 「ドメインネームサーバ」オプションから「DNSリゾルバ」オプション
へ名前の変更。
o Clarified and corrected filed names and descriptions of fields in
the option format diagrams.
o オプションフォーマット図のフィールド名とフィールドの記述を明確にし
修正。
o Reworded "Appearance of these options" for clarity; removed
Confirm from list of messages in which the options can appear.
o 「これらのオプションの容姿」は明快さのために言い換えました;オプ
ションが現われることができるメッセージのリストから確認を削除。
o Clarified the type of attack that can be mounted through the
Domain Search List option by copying text from RFC3997
o RFC3997からテキストをコピーすることによってドメイン探索リ
ストオプションを通して開始できる攻撃のタイプを明確にしました。
Normative References
基準的参考文献
[1] Mockapetris, P., "Domain names - implementation and
specification", STD 13, RFC 1035, November 1987.
[2] Bound, J., Carney, M., Perkins, C., Lemon, T., Volz, B. and R.
Droms (ed.), "Dynamic Host Configuration Protocol for IPv6
(DHCPv6)", RFC XXXX, TBD 2003.
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[4] Eastlake, D., "Domain Name System Security Extensions", RFC
2535, March 1999.
[5] Kumar, A., Postel, J., Neuman, C., Danzig, P. and S. Miller,
"Common DNS Implementation Errors and Suggested Fixes", RFC
1536, October 1993.
Normative References
基準的参考文献
[6] Mockapetris, P., "Domain names - concepts and facilities", STD
13, RFC 1034, November 1987.
[7] Gavron, E., "A Security Problem and Proposed Correction With
Widely Deployed DNS Software", RFC 1535, October 1993.
[8] Aboba, B. and S. Cheshire, "Dynamic Host Configuration Protocol
(DHCP) Domain Search Option", RFC 3397, November 2002.
Author's Address
著者のアドレス
Ralph Droms (ed.)
Cisco Systems
250 Apollo Drive
Chelmsford, MA 01824
USA
Phone: +1 978 497 4733
EMail: rdroms@cisco.com
Full Copyright Statement
著作権表示全文
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット学会(2003)。すべての権利は保留される。
This document and translations of it may be copied and furnished to
others, and derivative works that comment on or otherwise explain it
or assist in its implementation may be prepared, copied, published
and distributed, in whole or in part, without restriction of any
kind, provided that the above copyright notice and this paragraph are
included on all such copies and derivative works. However, this
document itself may not be modified in any way, such as by removing
the copyright notice or references to the Internet Society or other
Internet organizations, except as needed for the purpose of
developing Internet standards in which case the procedures for
copyrights defined in the Internet Standards process must be
followed, or as required to translate it into languages other than
English.
上記著作権表示とこの段落が全ての複写や派生的な仕事につけられていれば、
この文書と翻訳は複写や他者への提供ができ、そしてコメントや説明や実装
を支援する派生的な仕事のためにこの文書の全部か一部を制約なく複写や出
版や配布できます。しかし、この文書自身は、英語以外の言葉への翻訳やイ
ンターネット標準を開発する目的で必要な場合以外は、インターネット学会
や他のインターネット組織は著作権表示や参照を削除されるような変更がで
きません、インターネット標準を開発する場合はインターネット標準化プロ
セスで定義された著作権の手順に従われます。
The limited permissions granted above are perpetual and will not be
revoked by the Internet Society or its successors or assigns.
上に与えられた限定された許可は永久で、インターネット学会やその後継者
や譲渡者によって無効にされません。
This document and the information contained herein is provided on an
"AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含む情報は無保証で供給され、そしてインターネット学会
とインターネット技術標準化タスクフォースは、特別にも暗黙にも、この情
報の利用が権利を侵害しないことや商業利用や特別の目的への利用に適当で
ある事の保障を含め、すべての保証を拒否します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the
Internet Society.
RFCエディタ機能のための資金供給が現在インターネット学会によって
供給されます。