この文書はインターネットドラフトの日本語訳(和訳)です。 翻訳者はこの文書の翻訳の正確さを保障しません。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 翻訳者はこの翻訳の配布に制限をしません。
Network Working Group R. Droms (ed.) Internet-Draft Cisco Systems Expires: August 29, 2003 February 28, 2003 DNS Configuration options for DHCPv6 DHCPv6のDNS設定オプション draft-ietf-dhc-dhcpv6-opt-dnsconfig-03.txt Status of this Memo このメモの状態 This document is an Internet-Draft and is in full conformance with all provisions of Section 10 of RFC2026. この文書はインターネットドラフトであって、そしてRFC2026の10 章のすべての条項に完全適合です。 Internet-Drafts are working documents of the Internet Engineering Task Force (IETF), its areas, and its working groups. Note that other groups may also distribute working documents as Internet- Drafts. インターネットドラフトはインターネット技術タスクフォース(IETF) とそのエリアとその作業グループの作業文書です。他のグループがインター ネットドラフトとして同じく作業文書を配るかもしれないことに注意してく ださい。 Internet-Drafts are draft documents valid for a maximum of six months and may be updated, replaced, or obsoleted by other documents at any time. It is inappropriate to use Internet-Drafts as reference material or to cite them other than as "work in progress." インターネットドラフトは最大6カ月間有効なドラフト文書で、いつでも他 の文書によって、更新か、置換えか、時代遅れにされるかもしれません。イ ンターネットドラフトは、「進行中の仕事」として以外に、参照材料あるい は引用として用いることは不適当です。 The list of current Internet-Drafts can be accessed at http://www.ietf.org/ietf/1id-abstracts.txt. 現在のインターネットドラフトのリストは http://www.ietf.org/ietf/1id-abstracts.txt でアクセスできます。 The list of Internet-Draft Shadow Directories can be accessed at http://www.ietf.org/shadow.html. インターネットドラフトの影ディレクトリのリストは http://www.ietf.org/shadow.html でアクセスできます。 This Internet-Draft will expire on August 29, 2003. このインターネットドラフトは2003年8月29日で期限切れです。 Copyright Notice 著作権表示 Copyright (C) The Internet Society (2003). All Rights Reserved. Abstract 概要 This document describes DHCPv6 options for passing a list of available DNS resolvers and a domain search list to a client. この文書はクライアントに利用可能なDNSリゾルバリストとドメイン探索 リストを渡すDHCPv6オプションを記述します。 1. Introduction 1. はじめに This document describes two options for passing configuration information related to Domain Name Service (DNS) [1, 6] in DHCPv6 [2]. この文書はDHCPv6[2]でドメインネームサービス(DNS)[1,6]と関 係がある設定情報を渡す2つのオプションを記述します。 2. Terminology 2. 専門用語 The key words MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL in this document are to be interpreted as described in RFC2119 [3]. この文書のキーワードMUSTとMUST NOTとREQUIREDとSHALLとSHALL NOTと SHOULDとSHOULD NOTとRECOMMENDEDとMAYとPTIONALはRFC2119[3]で記 述されるように解釈されます。 This document uses terminology specific to IPv6 and DHCPv6 as defined in section "Terminology" of the DHCP specification [2]. この文書はDHCP仕様書[2]の「専門用語」章で定義されるIPv6とDH CPv6に特有な用語を使います。 3. DNS Resolver option 3. DNSリゾルバオプション The DNS Resolver option provides a list of one or more IPv6 addresses of DNS recursive resolvers to which a client's DNS resolver MAY send DNS queries [1]. The DNS servers are listed in the order of preference for use by the client resolver. DNSリゾルバオプションは、クライアントのDNSリゾルバがDNS問合 せを送信するかもしれない、DNS回帰リゾルバの1つ以上のIPv6アド レスのリストを供給します[1]。DNSサーバはクライアントリゾルバが使用 する優先度順でリストアップされます。 The format of the DNS Resolver option is: DNSリゾルバオプションのフォーマットは以下です: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | OPTION_DNS_RESOLVERS | option-len | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | DNS-resolver (IPv6 address) | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | DNS-resolver (IPv6 address) | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ option-code: OPTION_DNS_RESOLVERS (tbd) option-len: Length of the list of DNS resolvers in octets; must be a multiple of 16 option-len: オクテット単位のDNSリゾルバのリストの長さ;16の倍数 に違いありません。 DNS-server: IPv6 address of DNS resolver DNS-server: DNSリゾルバのIPv6アドレス。 4. Domain Search List option 4. ドメイン探索リストオプション The Domain Search List option specifies the domain search list the client is to use when resolving hostnames with DNS. This option does not apply to other name resolution mechanisms. ドメイン探索リストオプションはクライアントがDNSでホスト名を解決す る時に使うドメイン探索リストを指定します。この選択は他の名前決議メカ ニズムに当てはまりません。 The format of the Domain Search List option is: ドメイン探索リストオプションのフォーマットは以下です: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | OPTION_DOMAIN_LIST | option-len | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | searchstring | | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ option-code: OPTION_DOMAIN_LIST (tbd) option-len: Length of the 'searchstring' field in octets option-len: オクテット単位の'searchstring'の長さ。 searchstring: The specification of the list of domain names in the Domain Search List searchstring: ドメイン探索リストのドメイン名のリストの指定。 The list of domain names in the 'searchstring' MUST be encoded as specified in section "Representation and use of domain names" of the DHCPv6 specification [2]. 'searchstring'のドメイン名のリストは、DHCPv6仕様書[2]の「ドメイ ン名の表現と使用」章で指定されるように、コード化されなくてはなりませ ん。 5. Appearance of these options 5. これらのオプションの外観 The Domain Name Server option MUST NOT appear in other than the following messages: Solicit, Advertise, Request, Renew, Rebind, Information-Request, Reply. ドメイン名サーバオプションは中に次のメッセージ以外に現われてはなりま せん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。 The Domain Search List option MUST NOT appear in other than the following messages: Solicit, Advertise, Request, Renew, Rebind, Information-Request, Reply. ドメイン探索リストオプションは次のメッセージ以外に現われてはなりませ ん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。 6. Security Considerations 6. セキュリティの考慮 The DNS Resolver option may be used by an intruder DHCP server to cause DHCP clients to send DNS queries to an intruder DNS resolver. The results of these misdirected DNS queries may be used to spoof DNS names. DNSリゾルバオプションはDHCPクライアントがDNS問合せを侵入者 のDNSリゾルバに送らせるために侵入者のDHCPサーバによって使われ るかもしれません。これらの間違った方向に送られるDNS問合せはDNS 名をだますために使われるかもしれません。 To avoid attacks through the DNS Resolver option, the DHCP client SHOULD require DHCP authentication (see section "Authentication of DHCP messages" in the DHCPv6 specification) before installing a list of DNS resolvers obtained through authenticated DHCP . DNSリゾルバオプションを通しての攻撃を避けるために、DHCPクライ アントは認証されたDHCPを通して得られるDNSリゾルバリストをイン ストールする前にDHCP認証(DHCPv6仕様書の「DHCPメッセー ジ認証」章を参照)を要求するべきです。 The Domain Search List option may be used by an intruder DHCP server to cause DHCP clients to search through invalid domains for incompletely specified domain names. The results of these misdirected searches may be used to spoof DNS names. Note that support for DNSSEC [4] will not avert this attack, because the resource records in the invalid domains may be legitimately signed. ドメイン探索リストオプションは、DHCPクライアントが不完全に指定さ れたドメイン名に対して無効なドメインを捜させるために侵入者のDHCP サーバによって使われるかもしれません。これらの間違って行われた探索の 結果はDNS名をだますために使われるかもしれません。無効なドメインで の資源レコードは合法的に署名されるかもしれないので、DNSSEC[4]の サポートがこの攻撃を避けないことに注意してください。 The degree to which a host is vulnerable to attack via an invalid domain search option is determined in part by DNS resolver behavior. RFC1535 [7] contains a discussion of security weaknesses related to implicit as well as explicit domain searchlists, and provides recommendations relating to resolver searchlist processing. Section 6 of RFC1536 [5] also addresses this vulnerability, and recommends that resolvers: ホストが無効なドメイン探索オプションの攻撃で傷つきやすい度合いはDN Sリゾルバ行動によって一部決定されます。RFC1535[7]が、明示的と 暗示的なドメイン探索リストと関係があるセキュリティの弱点の論議を含み、 そしてリゾルバ探索リスト処理に関連した推薦を供給します。RFC153 6[5]の6章が同じくこの弱点を扱い、そしてリゾルバに以下を勧めます: 1. Use searchlists only when explicitly specified; no implicit searchlists should be used. 1. ただ明示的に指定されるだけ時だけ、探索リストを使ってください;暗 示的な探索リストが使われるべきではありません。 2. Resolve a name that contains any dots by first trying it as an FQDN and if that fails, with the names in the searchlist appended. 2. ドットを含む名前は、最初にFQDNとして名前解決を試み、失敗した ら探索リストを付加して名前解決を試みてください。 3. Resolve a name containing no dots by appending with the searchlist right away, but once again, no implicit searchlists should be used. 3. ドットを含まない名前は、すぐに探索リストを付加して名前解決を試み てください、けれども、暗示的な探索リストが使われるべきではありま せん。 In order to minimize potential vulnerabilities it is recommended that: 脆弱性の可能性を最小にするために、以下が勧められます: 1. Hosts implementing the domain search option SHOULD also implement the searchlist recommendations of RFC1536, section 6. 1. ドメイン捜索オプションを実装するホストは同じくRFC1536 の6 章の探索リストの推薦を実行するべきです(SHOULD)。 2. Where DNS parameters such as the domain searchlist or DNS servers have been manually configured, these parameters SHOULD NOT be overridden by DHCP. 2. ドメイン探索リストやDNSサーバのようなDNSパラメータが手作業 で設定されたところで、これらのパラメータはDHCPを上書きすべき ではありません(SHOULD NOT)。 3. A host SHOULD require the use of DHCP authentication (see section "Authentication of DHCP messages" in the DHCPv6 specification) prior to accepting a domain search option. 3. ホストがドメイン探索オプションを受け入れることの前にDHCP認証 の使用を要求すべきです(SHOULD)(DHCPv6仕様の「DHCPメッ セージ認証」章を見てください)。 7. IANA Considerations 7. IANA考慮 IANA is requested to assign an option code to these options from the option-code space defined in section "DHCPv6 Options" of the DHCPv6 specification [2]. IANAはDHCPv6仕様書[2]の「DHCPv6オプション」章で定義し たオプションコード空間をオプションコードをこれらのオプションに割り当 てるように要請されます。 8. Acknowledgments 8. 謝辞 This option was originally part of the DHCPv6 specification, written by Jim Bound, Mike Carney, Charlie Perkins, Ted Lemon, Bernie Volz and Ralph Droms. このオプションは元々DHCPv6仕様書の一部で、Jim BoundとMike CarneyとCharlie PerkinsとTed LemonとBernie VolzとRalph Dromsによって かかれました。 The analysis of the potential attack through the domain search list is taken from the specification of the DHCPv4 Domain Search option, RFC3397 [8]. ドメイン探索リストにより可能性がある攻撃の分析はDHCPv4ドメイン 探索オプションの仕様書RFC3397[8]からとられます。 Thanks to Rob Austein, Alain Durand, Peter Koch, Tony Lindstrom and Pekka Savola for their contributions to this document. この文章の貢献に対してRob AusteinとAlain DurandとPeter KochとTony LindstromとPekka Savolaに感謝します。 9. Changes from draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txt 9. draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txtからの変更点 This document includes the following changes in response to comments made during the dhc/dnsext WG last call: この文書はdhc/dnsext WGのラストコールの間にされたコメントに応えて次の 変更を含みます: o Combined RFC2119 reference and reference to DHCPv6 specification into one "Terminology" section; added explicit normative reference to DHCPv6 specification. o 結合されたRFC2119リファレンスとリファレンスがDHCPv6仕 様書に1つの「ターミノロジー」セクションの中に、DHCPv6仕様書 に明示的な基準的参考文献を加えました。 o Changed name of "Domain Name Server" option to "DNS Resolver" option. o 「ドメインネームサーバ」オプションから「DNSリゾルバ」オプション へ名前の変更。 o Clarified and corrected filed names and descriptions of fields in the option format diagrams. o オプションフォーマット図のフィールド名とフィールドの記述を明確にし 修正。 o Reworded "Appearance of these options" for clarity; removed Confirm from list of messages in which the options can appear. o 「これらのオプションの容姿」は明快さのために言い換えました;オプ ションが現われることができるメッセージのリストから確認を削除。 o Clarified the type of attack that can be mounted through the Domain Search List option by copying text from RFC3997 o RFC3997からテキストをコピーすることによってドメイン探索リ ストオプションを通して開始できる攻撃のタイプを明確にしました。 Normative References 基準的参考文献 [1] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987. [2] Bound, J., Carney, M., Perkins, C., Lemon, T., Volz, B. and R. Droms (ed.), "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC XXXX, TBD 2003. [3] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997. [4] Eastlake, D., "Domain Name System Security Extensions", RFC 2535, March 1999. [5] Kumar, A., Postel, J., Neuman, C., Danzig, P. and S. Miller, "Common DNS Implementation Errors and Suggested Fixes", RFC 1536, October 1993. Normative References 基準的参考文献 [6] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987. [7] Gavron, E., "A Security Problem and Proposed Correction With Widely Deployed DNS Software", RFC 1535, October 1993. [8] Aboba, B. and S. Cheshire, "Dynamic Host Configuration Protocol (DHCP) Domain Search Option", RFC 3397, November 2002. Author's Address 著者のアドレス Ralph Droms (ed.) Cisco Systems 250 Apollo Drive Chelmsford, MA 01824 USA Phone: +1 978 497 4733 EMail: rdroms@cisco.com Full Copyright Statement 著作権表示全文 Copyright (C) The Internet Society (2003). All Rights Reserved. 著作権(C)インターネット学会(2003)。すべての権利は保留される。 This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. 上記著作権表示とこの段落が全ての複写や派生的な仕事につけられていれば、 この文書と翻訳は複写や他者への提供ができ、そしてコメントや説明や実装 を支援する派生的な仕事のためにこの文書の全部か一部を制約なく複写や出 版や配布できます。しかし、この文書自身は、英語以外の言葉への翻訳やイ ンターネット標準を開発する目的で必要な場合以外は、インターネット学会 や他のインターネット組織は著作権表示や参照を削除されるような変更がで きません、インターネット標準を開発する場合はインターネット標準化プロ セスで定義された著作権の手順に従われます。 The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns. 上に与えられた限定された許可は永久で、インターネット学会やその後継者 や譲渡者によって無効にされません。 This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. この文書とここに含む情報は無保証で供給され、そしてインターネット学会 とインターネット技術標準化タスクフォースは、特別にも暗黙にも、この情 報の利用が権利を侵害しないことや商業利用や特別の目的への利用に適当で ある事の保障を含め、すべての保証を拒否します。 Acknowledgement 謝辞 Funding for the RFC Editor function is currently provided by the Internet Society. RFCエディタ機能のための資金供給が現在インターネット学会によって 供給されます。