この文書はRFC 5006の日本語訳(和訳)です。 この文書の翻訳内容の正確さは保障できないため、 正確な知識や情報を求める方は原文を参照してください。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、誤りの指摘は適切です。 この文書の配布は元のRFC同様に無制限です。
Network Working Group J. Jeong, Ed.
Request for Comments: 5006 ETRI/University of Minnesota
Category: Experimental S. Park
SAMSUNG Electronics
L. Beloeil
France Telecom R&D
S. Madanapalli
Ordyn Technologies
September 2007
IPv6 Router Advertisement Option for DNS Configuration
DNS設定のためのIPv6ルータ広告オプション
Status of This Memo
この文書の状態
This memo defines an Experimental Protocol for the Internet
community. It does not specify an Internet standard of any kind.
Discussion and suggestions for improvement are requested.
Distribution of this memo is unlimited.
この文書はインターネットコミュニティのための実験プロトコルを定義し
ます。これはインターネット標準を指定しません。議論と改善提案が要求
されています。このメモの配布は無制限です。
Abstract
概要
This document specifies a new IPv6 Router Advertisement option to
allow IPv6 routers to advertise DNS recursive server addresses to
IPv6 hosts.
この文書は、IPv6ルータがDNS再帰サーバアドレスをIPv6ホス
トに広告するのを許すための新しいIPv6ルータ広告オプションを指定
します。
Table of Contents
目次
1. Introduction
1. はじめに
1.1. Applicability Statements
1.1. 適用性宣言
1.2. Coexistence of RDNSS Option and DHCP Option
1.2. RDNSSオプションとDHCPオプションの共存
2. Definitions
2. 定義
3. Terminology
3. 用語
4. Overview
4. 概要
5. Neighbor Discovery Extension
5. 隣人探索拡張
5.1. Recursive DNS Server Option
5.1. 再帰DNSサーバオプション
5.2. Procedure of DNS Configuration
5.2. DNS設定手順
5.2.1. Procedure in IPv6 Host
5.2.1. IPv6ホストの手順
6. Implementation Considerations
6. 実装の考察
6.1. DNS Server List Management
6.1. DNSサーバリスト管理
6.2. Synchronization between DNS Server List and Resolver Repository
6.2. DNSサーバリストとリゾルバ倉庫の同期
7. Security Considerations
7. セキュリティの考察
8. IANA Considerations
8. IANAの考慮
9. Acknowledgements
9. 謝辞
10. References
10. 参考文献
10.1. Normative References
10.1. 参照する参考文献
10.2. Informative References
10.2. 有益な参考文献
1. Introduction
1. はじめに
Neighbor Discovery (ND) for IP Version 6 and IPv6 Stateless Address
Autoconfiguration provide ways to configure either fixed or mobile
nodes with one or more IPv6 addresses, default routers and some other
parameters [2][3]. To support the access to additional services in
the Internet that are identified by a DNS name, such as a web server,
the configuration of at least one recursive DNS server is also needed
for DNS name resolution.
IPバージョン6とIPv6状態なしアドレス自動設定のための近隣探索
(ND)は固定か移動ノードにIPv6アドレスとデフォルトルータと他の
パラメタの設定をする方法を提供します[2][3]。インターネットのウェブサー
バなどのDNS名で特定されるサービスへのアクセスを可能にするためには、
名前解決のために少なくとも1つの再帰DNSサーバの設定が必要です。
It is infeasible for nomadic hosts, such as laptops, to be configured
manually with a DNS resolver each time they connect to a different
wireless LAN (WLAN) such as IEEE 802.11 a/b/g [12]-[15]. Normally,
DHCP [6]-[8] is used to locate such resolvers. This document
provides an alternate, experimental mechanism which uses a new IPv6
Router Advertisement (RA) option to allow IPv6 routers to advertise
DNS recursive server addresses to IPv6 hosts.
ラップトップなどの移動ホストにとって、IEEE 802.11 a/b/g [12]-[15]の様
な異なる無線LAN(WLAN)に接続するたびにDNSリゾルバを手動設定する
のは事実上不可能です。通常、DHCP[6]-[8]がそのようなリゾルバの場所
を見つけるために使用されています。この文書はIPv6ルータがDNS再
帰サーバアドレスをIPv6ホストに広告する事を許すための新しいIPv
6ルータ広告(RA)オプションを使用する、代替の、実験的機構を供給します。
1.1. Applicability Statements
1.1. 適用性宣言
The only standards-track DNS configuration mechanism in the IETF is
DHCP, and its support in hosts and routers is necessary for reasons
of interoperability.
IETFにおける唯一の標準化中のDNS設定方法はDHCPで、ホストと
ルータでのサポートが相互運用性の理由で必要です。
RA-based DNS configuration is a useful, optional alternative in
networks where an IPv6 host's address is autoconfigured through IPv6
stateless address autoconfiguration, and where the delays in
acquiring server addresses and communicating with the servers are
critical. RA-based DNS configuration allows the host to acquire the
nearest server addresses on every link. Furthermore, it learns these
addresses from the same RA message that provides configuration
information for the link, thereby avoiding an additional protocol
run. This can be beneficial in some mobile environments, such as
with Mobile IPv6 [10].
ルータ広告によるDNS設定は、IPv6ホストアドレスがIPv6状態な
しアドレス自動生成により設定され、サーバアドレスを学習しサーバと通信
する遅延が致命的なネットワークで有用な代用選択肢です。ルータ広告によ
るDNS設定ははホストが全てのリンクで最も近いサーバアドレスを学習で
きます。その上、リンク設定情報を提供するのと同じルータ広告メッセージ
からこれらのアドレスを学ぶので、その結果、追加のプロトコル動作を避け
ます。これはモバイルIPv6[10]などのいくつかのモバイル環境で有益な
場合があります。
The advantages and disadvantages of the RA-based approach are
discussed in [9] along with other approaches, such as the DHCP and
well-known anycast addresses approaches.
DHCPや既知エニキャストアドレスなど他の方法も加えての、ルータ広告
による方法の利点と欠点の議論は[9]でされています。
1.2. Coexistence of RDNSS Option and DHCP Option
1.2. RDNSSオプションとDHCPオプションの共存
The RDNSS (Recursive DNS Server) option and DHCP option can be used
together [9]. To order the RA and DHCP approaches, the O (Other
stateful configuration) flag can be used in the RA message [2]. If
no RDNSS option is included in the RA messages, an IPv6 host may
perform DNS configuration through DHCPv6 [6]-[8] regardless of
whether the O flag is set or not.
RDNSS(再帰DNSサーバ)オプションとDHCPオプションを一緒に使
用できます[9]。ルータ広告とDHCPの方法を指定するために、ルータ広告
メッセージのO(他の状態あり構成)フラグを使用できます。もしRDNSS
オプションがRAメッセージに全く含まれていないなら、Oフラグが設定さ
れるかどうかにかかわらず、IPv6ホストはDHCPv6[6]-[8]を通して
DNS設定を実行するかもしれません。
2. Definitions
2. 定義
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
document are to be interpreted as described in [1].
この文書のキーワード"MUST"と"MUST NOT"と"REQUIRED"と"SHALL"と"SHALL
NOT"と"SHOULD"と"SHOULD NOT"と"RECOMMENDED"と"MAY"と"OPTIONAL"は[1]
で記述されるように解釈します。
3. Terminology
3. 用語
This document uses the terminology described in [2] and [3]. In
addition, four new terms are defined below:
この文書は[2]と[3]で説明された用語を使用します。さらに、4つの用語
が以下で定義されます:
o Recursive DNS Server (RDNSS): Server which provides a recursive
DNS resolution service for translating domain names into IP
addresses as defined in [4] and [5].
o 再帰DNSサーバ(RDNSS):[4]と[5]で定義されるドメイン名を
IPアドレスに翻訳する再帰DNS解決サービスを提供するサーバ。
o RDNSS Option: IPv6 RA option to deliver the RDNSS information to
IPv6 hosts [2].
o RDNSSオプション:RDNSS情報をIPv6ホストに提供する
IPv6のルータ広告オプション[2]。
o DNS Server List: A data structure for managing DNS Server
Information in the IPv6 protocol stack in addition to the Neighbor
Cache and Destination Cache for Neighbor Discovery [2].
o DNSサーバリスト:IPv6プロトコルスタックで、近隣探索の近隣
キャッシュと宛先キャッシュに加え、DNSサーバ情報を管理するため
のデータ構造[2]。
o Resolver Repository: Configuration repository with RDNSS addresses
that a DNS resolver on the host uses for DNS name resolution; for
example, the Unix resolver file (i.e., /etc/resolv.conf) and
Windows registry.
o リゾルバ倉庫:ホスト上のDNSリゾルバがDNS名前解決に使用する
RDNSSアドレスの設定の置き場所;例えば、Unixのリゾルバ
ファイル(例えば、/etc/resolv.conf)やWindowsのレジストリです。
4. Overview
4. 概要
This document defines a new ND option called RDNSS option that
contains the addresses of recursive DNS servers. Existing ND
transport mechanisms (i.e., advertisements and solicitations) are
used. This works in the same way that hosts learn about routers and
prefixes. An IPv6 host can configure the IPv6 addresses of one or
more RDNSSes via RA messages periodically sent by a router or
solicited by a Router Solicitation (RS).
この文書は再帰DNSサーバのアドレスを含むRDNSSオプションと呼ば
れる新しい近隣探索のオプションを定義します。既存の近隣探索転送機構
(すなわち、広告と要請)が使用されています。これはホストがルータとプレ
フィックスを学ぶのと同じように動作します。IPv6ホストは定期的に
ルータから送られるかルータ要請(RS)で請求したルータ広告メッセージの
1つ以上のRDNSSでIPv6アドレスを設定できます。
Through the RDNSS option, along with the prefix information option
based on the ND protocol ([2] and [3]), an IPv6 host can perform
network configuration of its IPv6 address and RDNSS simultaneously
without needing a separate message exchange for the RDNSS
information. The RA option for RDNSS can be used on any network that
supports the use of ND.
近隣探索プロトコルのプレフィックス情報オプション([2]と[3])に伴う
RDNSSオプションにより、RDNSS情報のための別の情報交換処理を
必要とせずに、IPv6ホストは同時にIPv6アドレスとRDNSSの
ネットワーク設定を実行できます。近隣探索が使用可能な全てのネットワー
クでRDNSSのためのルータ広告オプションを使用できます。
This approach requires RDNSS information to be configured in the
routers sending the advertisements. The configuration of RDNSS
addresses in the routers can be done by manual configuration. The
automatic configuration or redistribution of RDNSS information is
possible by running a DHCPv6 client on the router [6]-[8]. The
automatic configuration of RDNSS addresses in routers is out of scope
for this document.
この方法は広告を送るルータでRDNSS情報の設定を必要とします。手動
設定でルータにRDNSSアドレスの設定ができます。RDNSS情報の自
動設定か再配布はルータでDHCPv6クライアントを動かすことで可能で
す[6]-[8]。ルータのRDNSSアドレスの自動設定はこの文書の範囲外です。
5. Neighbor Discovery Extension
5. 隣人探索拡張
The IPv6 DNS configuration mechanism in this document needs a new ND
option in Neighbor Discovery: the Recursive DNS Server (RDNSS)
option.
この文書のIPv6のDNS設定機構は近隣探索の新しいオプションを必要と
します:再帰DNSサーバ(RDNSS)オプション。
5.1. Recursive DNS Server Option
5.1. 再帰DNSサーバオプション
The RDNSS option contains one or more IPv6 addresses of recursive DNS
servers. All of the addresses share the same lifetime value. If it
is desirable to have different lifetime values, multiple RDNSS
options can be used. Figure 1 shows the format of the RDNSS option.
RDNSSオプションは1つ以上の再帰DNSサーバのIPv6アドレスを含
んでいます。アドレスのすべてが同じ寿命を共有します。異なる寿命が望まし
いなら、複数のRDNSSオプションを使用できます。図1はRDNSSオプ
ションの書式を示しています。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Lifetime |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
: Addresses of IPv6 Recursive DNS Servers :
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1: Recursive DNS Server (RDNSS) Option Format
図1:再帰DNSサーバ(RDNSS)オプション形式
Fields:
フィールド:
Type 8-bit identifier of the RDNSS option type as assigned
by the IANA: 25
種別 IANAに割当てられたRDNSSオプション種別の8ビッ
ト識別子:25
Length 8-bit unsigned integer. The length of the option
(including the Type and Length fields) is in units of
8 octets. The minimum value is 3 if one IPv6 address
is contained in the option. Every additional RDNSS
address increases the length by 2. The Length field
is used by the receiver to determine the number of
IPv6 addresses in the option.
長さ 8ビットの符号なし整数。オプションの長さ(種別と長さ
フィールドを含む)は8オクテット単位です。最小値は1
つのIPv6アドレスを含む場合の3です。RDNSSア
ドレスの追加は長さを2つづ増加させます。長さフィール
ドは受信者がIPv6アドレスの数を決定するのに使用し
ます。
Lifetime 32-bit unsigned integer. The maximum time, in
seconds (relative to the time the packet is sent),
over which this RDNSS address MAY be used for name
resolution. Hosts MAY send a Router Solicitation to
ensure the RDNSS information is fresh before the
interval expires. In order to provide fixed hosts
with stable DNS service and allow mobile hosts to
prefer local RDNSSes to remote RDNSSes, the value of
Lifetime should be at least as long as the Maximum RA
Interval (MaxRtrAdvInterval) in RFC 4861, and be at
most as long as two times MaxRtrAdvInterval; Lifetime
SHOULD be bounded as follows: MaxRtrAdvInterval <=
Lifetime <= 2*MaxRtrAdvInterval. A value of all one
bits (0xffffffff) represents infinity. A value of
zero means that the RDNSS address MUST no longer be
used.
寿命 32ビット符号なし整数。RDNSSアドレスが名前解決
に使われるかもしれない(MAY)、秒単位の、(パケット送信
時刻を基準した)最大の時間。ホストは、期限切れ前にRD
NSS情報が確実に更新されるようにルータ要請を送るか
もしれません(MAY)。安定したDNSサービスを固定ホスト
に提供し、モバイルホストが遠隔地のRDNSSより近くの
RDNSSを優先するのを許容するために、寿命値は、RFC
4861の最大ルータ広告間隔(MaxRtrAdvInterval)よりも長く、
MaxRtrAdvIntervalの2倍くらい長いべきです。寿命は次の
範囲にあるべきです(SHOULD):MaxRtrAdvInterval <= 寿命
<= 2*MaxRtrAdvInterval。全て1の値(0xffffffff)は無限で
す。ゼロの値はもうRDNSSアドレスを使用してはいけな
い(MUST)ことを意味します。
Addresses of IPv6 Recursive DNS Servers
One or more 128-bit IPv6 addresses of the recursive
DNS servers. The number of addresses is determined
by the Length field. That is, the number of
addresses is equal to (Length - 1) / 2.
IPv6再帰DNSサーバアドレス
再帰DNSサーバの1つ以上の128ビットIPv6アド
レス。アドレスの数は長さフィールドから決定しています。
すなわち、アドレスの数は(長さ-1)/2と等しいです。
5.2. Procedure of DNS Configuration
5.2. DNS設定手順
The procedure of DNS configuration through the RDNSS option is the
same as with any other ND option [2].
RDNSSオプションによるDNS設定手順は他の近隣探索オプションと
同じです[2]。
5.2.1. Procedure in IPv6 Host
5.2.1. IPv6ホストの手順
When an IPv6 host receives an RDNSS option through RA, it checks
whether the option is valid.
IPv6ホストがルータ広告でRDNSSオプションを受信すると、オプ
ションが有効か検査します。
o If the RDNSS option is valid, the host SHOULD copy the option's
value into the DNS Server List and the Resolver Repository as long
as the value of the Length field is greater than or equal to the
minimum value (3). The host MAY ignore additional RDNSS addresses
within an RDNSS option and/or additional RDNSS options within an
RA when it has gathered a sufficient number of RDNSS addresses.
o RDNSSオプションが有効で、長さフィールドの値が最小値(3)以
上であれば、ホストはオプションの値をDNSサーバリストとリゾルバ
倉庫に複写すべきです(SHOULD)。ホストは十分な数のRDNSSアドレ
スを集めたとき、RDNSSオプションの残りRDNSSアドレスや、
ルータ広告の残りのRDNSSオプションを無視するかもしれません(MAY)。
o If the RDNSS option is invalid (e.g., the Length field has a value
less than 3), the host SHOULD discard the option.
o RDNSSオプションが無効な場合(例えば、長さフィールドの値が3未
満)ならば、ホストオプションを捨てるべきです(SHOULD)。
6. Implementation Considerations
6. 実装の考察
Note: This non-normative section gives some hints for implementing
the processing of the RDNSS option in an IPv6 host.
注意:この非標準の章は、IPv6ホストでのRDNSSオプションの処理
の実装する際のいくつかのヒントを与えます。
For the configuration and management of RDNSS information, the
advertised RDNSS addresses can be stored and managed in both the DNS
Server List and the Resolver Repository.
RDNSS情報の構成と管理において、DNSサーバリストとリゾルバ倉
庫の両方に、広告のRDNSSアドレスを保存し対処します。
In environments where the RDNSS information is stored in user space
and ND runs in the kernel, it is necessary to synchronize the DNS
Server List of RDNSS addresses in kernel space and the Resolver
Repository in user space. For the synchronization, an implementation
where ND works in the kernel should provide a write operation for
updating RDNSS information from the kernel to the Resolver
Repository. One simple approach is to have a daemon (or a program
that is called at defined intervals) that keeps monitoring the
lifetime of RDNSS addresses all the time. Whenever there is an
expired entry in the DNS Server List, the daemon can delete the
corresponding entry from the Resolver Repository.
RDNSS情報がユーザ空間に格納され、近隣探索がカーネルで動作する環
境で、カーネル空間のRDNSSアドレスのDNSサーバリストとユーザ空
間のリゾルバ倉庫を連動させる必要があります。同期のため、カーネルで近
隣探索が動作する実装で、RDNSS情報を更新するためにカーネルからリ
ゾルバ倉庫へ書込み操作を供給すべきです。1つの簡潔な解決策はデーモン
(あるいは定期的に呼び出されるプログラム)により常にRDNSSアドレ
スの寿命をモニタする事です。期限切れ項目があると、デーモンはリゾルバ
倉庫から対応する項目を削除できます。
6.1. DNS Server List Management
6.1. DNSサーバリスト管理
The kernel or user-space process (depending on where RAs are
processed) should maintain a data structure called a DNS Server List
which keeps the list of RDNSS addresses. Each entry in the DNS
Server List consists of an RDNSS address and Expiration-time as
follows:
カーネルかユーザ空間プロセス(Rルータ広告が処理されるところ)で、RD
NSSリストを保持するDNSサーバリストと呼ばれるデータ構造を管理す
るはずです。DNSサーバリストの各項目は以下のRDNSSアドレスと期
限から成ります:
o RDNSS address: IPv6 address of the Recursive DNS Server, which is
available for recursive DNS resolution service in the network
advertising the RDNSS option; such a network is called site in
this document.
o RDNSSアドレス:RDNSSオプションを広告するネットワークで再
帰DNS解決サービスを提供可能な再帰DNSサーバのIPv6アドレス:
この文書でこのようなネットワークをサイトと呼びます。
o Expiration-time: The time when this entry becomes invalid.
Expiration-time is set to the value of the Lifetime field of the
RDNSS option plus the current system time. Whenever a new RDNSS
option with the same address is received, this field is updated to
have a new expiration time. When Expiration-time becomes less
than the current system time, this entry is regarded as expired.
o 期限:この項目が無効になる時刻。期限はRDNSSオプションの寿命
フィールドと現在のシステム時刻の値を加算して設定します。同じアド
レスの新しいRDNSSオプションを受信したときは、新しい期限を過
すためにこのフィールドを更新します。もし期限時刻が現在のシステム
時刻より過去になるなら、この項目は期限切れと見なされます。
Note: An RDNSS address MUST be used only as long as both the RA
router lifetime and the RDNSS option lifetime have not expired.
The reason is that the RDNSS may not be currently reachable or may
not provide service to the host's current address (e.g., due to
network ingress filtering [16][17]).
注意:RDNSSアドレスはルータ広告のルータの期限とRDNSSオプ
ションの期限の両方が切れない間だけ使用できます(MUST)。この理由は、
現在のホストアドレスで、RDNSSが到達できないかサービスを供給
できないかもしれないという(例えば、ネットワーク侵入フィルタリング
[16][17]によって)。
6.2. Synchronization between DNS Server List and Resolver Repository
6.2. DNSサーバリストとリゾルバ倉庫の同期
When an IPv6 host receives the information of multiple RDNSS
addresses within a site through an RA message with RDNSS option(s),
it stores the RDNSS addresses (in order) into both the DNS Server
List and the Resolver Repository. The processing of the RDNSS
option(s) included in an RA message is as follows:
IPv6ホストがRDNSSオプションを含むルータ広告メッセージにより
サイト内の複数のRDNSSアドレスの情報を受け取るとき、IPv6ホス
トはDNSサーバリストとリゾルバ倉庫の両方にRDNSSアドレスを(順番
に)保存します。ルータ広告メッセージに含まれるRDNSSオプションの処
理は以下の通りです:
Step (a): Receive and parse the RDNSS option(s). For the RDNSS
addresses in each RDNSS option, perform Step (b) through Step (d).
Note that Step (e) is performed whenever an entry expires in the
DNS Server List.
手順(a):RDNSSオプションを受信し分析します。各RDNSSオプ
ションのRDNSSアドレスに対し、手順(b)から手順(d)を実行してくだ
さい。DNサーバリストの項目の期限が切れるときに手順(e)が実行され
ることに注意してください。
Step (b): For each RDNSS address, check the following: If the
RDNSS address already exists in the DNS Server List and the RDNSS
option's Lifetime field is set to zero, delete the corresponding
RDNSS entry from both the DNS Server List and the Resolver
Repository in order to prevent the RDNSS address from being used
any more for certain reasons in network management, e.g., the
breakdown of the RDNSS or a renumbering situation. The processing
of this RDNSS address is finished here. Otherwise, go to Step
(c).
手順(b):各RDNSSアドレスに対し、以下の検査をします:RDNN
Sアドレスが既にDNSサーバリストに存在しRDNSSオプションの寿
命がゼロならば、RDNSSアドレスが何らかのネットワーク管理の理由、
例えばRDNSSの故障や番号付け直しの状況であり、使用されるのを避
けるために、対応するRDNSS項目をDNSサーバリストとリゾルバ倉
庫から削除します、このRDNSSアドレスの処理はここで終わります。
そうでなければ手順(c)を行います。
Step (c): For each RDNSS address, if it already exists in the DNS
Server List, then just update the value of the Expiration-time
field according to the procedure specified in the second bullet of
Section 6.1. Otherwise, go to Step (d).
手順(c):各RDNSSアドレスに対し、もしDNSサーバリストに既に存
在知るなら、6.1章の2つ目の丸で弾丸で指定された手順に従って、期
限フィールドを更新してください。さもなければ手順(d)を行います。
Step (d): For each RDNSS address, if it does not exist in the DNS
Server List, register the RDNSS address and lifetime with the DNS
Server List and then insert the RDNSS address in front of the
Resolver Repository. In the case where the data structure for the
DNS Server List is full of RDNSS entries, delete from the DNS
Server List the entry with the shortest expiration time (i.e., the
entry that will expire first). The corresponding RDNSS address is
also deleted from the Resolver Repository. In the order in the
RDNSS option, position the newly added RDNSS addresses in front of
the Resolver Repository so that the new RDNSS addresses may be
preferred according to their order in the RDNSS option for the DNS
name resolution. The processing of these RDNSS addresses is
finished here. Note that, in the case where there are several
routers advertising RDNSS option(s) in a subnet, the RDNSSes that
have been announced recently are preferred.
手順(d):各RDNSSアドレスに対し、これがDNSサーバリストに存
在しないなら、DNSサーバリストにRDNSSアドレスと寿命を登録し、
リゾルバ倉庫の先頭にRDNSSアドレスを追加します。DNSサーバリ
ストのデータ構造がRDNSS項目でいっぱいである場合、DNSサーバ
リストから最も期限が早い項目(すなわち、最初に期限切れになる項目)
れるエントリー)を削除してください。対応するRDNSSアドレスはリ
ゾルバ倉庫から削除します。RDNSSオプションにおける順序に従い、
DNS名前解決がRDNSSオプション内の位置に従って新しいRDNS
Sアドレスを優先するように、新たに加えられたRDNSSアドレスリゾ
ルバ倉庫の先頭に置いてください。これらのRDNSSアドレスの処理は
ここで終わります。いくつかのルータがサブネットで複数のルータ広告R
DNSSオプションを広告する場合、新しく広告されたものが優先になる
ことに注意してください。
Step (e): Delete each expired entry from the DNS Server List, and
delete the RDNSS address corresponding to the entry from the
Resolver Repository.
手順(e):DNSサーバリストから各期限切れ項目を削除してください、
そして、リゾルバ倉庫から項目に対応するRDNSSアドレスを削除して
ください。
7. Security Considerations
7. セキュリティの考察
The security of the RA option for RDNSS might be worse than ND
protocol security [2]. However, any new vulnerability in this RA
option is not known yet. In this context, it can be claimed that the
vulnerability of ND is not worse and is a subset of the attacks that
any node attached to a LAN can do independently of ND. A malicious
node on a LAN can promiscuously receive packets for any router's MAC
address and send packets with the router's MAC address as the source
MAC address in the L2 header. As a result, L2 switches send packets
addressed to the router to the malicious node. Also, this attack can
send redirects that tell the hosts to send their traffic somewhere
else. The malicious node can send unsolicited RA or Neighbor
Advertisement (NA) replies, answer RS or Neighbor Solicitation (NS)
requests, etc. Also, an attacker could configure a host to send out
an RA with a fraudulent RDNSS address, which is presumably an easier
avenue of attack than becoming a rogue router and having to process
all traffic for the subnet. It is necessary to disable the RA RDNSS
option in both routers and clients administratively to avoid this
problem. All of this can be done independently of implementing ND.
Therefore, it can be claimed that the RA option for RDNSS has
vulnerabilities similar to those existing in current mechanisms.
RDNSSのためのルータ広告オプションのセキュリティは、近隣探索プロト
コルのセキュリティ[2]より悪いかもしれません。しかしながら、このルータ
広告オプションにおける新しい脆弱性はまだ知られていません。この状況で、
近隣探索の脆弱性が悪くなく、近隣探索とは無関係に、LANに接続できる
ノードの行える攻撃の一部ができるだけだと主張できます。LAN上の悪意
があるノードは、でたらめにルータのMACアドレスのパケットを受信し、
ルータのMACアドレスをL2ヘッダのソースMACアドレスとしたパケッ
トを送ることができます。その結果、L2スイッチはルータ宛てのパケット
を悪意があるノードに送ります。また、この攻撃で、ホストがトラヒックを
他に送る事になるリダイレクトを送れます。悪意があるノードは要請されて
いないルータ広告や近隣広告(NA)応答をや、ルータ要請や近隣要請(N
S)への回答、などを送ることが出来ます。また、攻撃者は詐欺RDNSS
アドレスを含むルータ広告を送るようにホストを設定でき、これはおそらく、
サブネットのためにすべてのトラフィックを処理するより簡単な方法ですこ
の問題を避けるためにルータとクライアントの両方で管理的にルータ広告の
RDNSSオプションを無効にする必要があります。近隣探索を実装するこ
とと独立にこのすべてができます。したがって、RDNSSのためのルータ
広告オプションには現在のメカニズムに存在するものと同様の脆弱性がある
と主張できます。
If the Secure Neighbor Discovery (SEND) protocol is used as a
security mechanism for ND, all the ND options including the RDNSS
option are automatically included in the signatures [11], so the
RDNSS transport is integrity-protected. However, since any valid
SEND node can still insert RDNSS options, SEND cannot verify who is
or is not authorized to send the options.
安全な近隣探索(SEND)プロトコルが近隣探索のセキュリティ対策として使用
されるなら、RDNSSオプションを含むすべての近隣探索オプションが署
名[11]に自動的に含まれているので、RDNSS伝達は安全に保護されてい
ます。しかしながら、正当なSENDノードはまだRDNSSオプションを
挿入できる、SENDは誰がオプションを送る事が許されていて、誰が許さ
れていないかを確かめることができません。
8. IANA Considerations
8. IANAの考慮
The IANA has assigned a new IPv6 Neighbor Discovery Option type for
the RDNSS option defined in this document.
IANAは、この文書で定義したRDNSSオプションのために、IPv6
近隣探索オプション種別を割当てました。
Option Name Type
RDNSS option 25
The IANA registry for these options is:
このオプションのためのIANA登記所は以下です:
http://www.iana.org/assignments/icmpv6-parameters
9. Acknowledgements
9. 謝辞
This document has greatly benefited from inputs by Robert Hinden,
Pekka Savola, Iljitsch van Beijnum, Brian Haberman and Tim Chown.
The authors appreciate their contributions.
この文書はRobert HindenとPekka SavolaとIljitsch van BeijnumとBrian
HabermanとTim Chown からの入力に大きな利益を得ました。作者は彼らの
貢献に感謝します。
10. References
10. 参考文献
10.1. Normative References
10.1. 参照する参考文献
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[2] Narten, T., Nordmark, E., Simpson, W., and H. Soliman,
"Neighbor Discovery for IP version 6 (IPv6)", RFC 4861,
September 2007.
[3] Thomson, S., Narten, T., and T. Jinmei, "IPv6 Stateless Address
Autoconfiguration", RFC 4862, September 2007.
10.2. Informative References
10.2. 有益な参考文献
[4] Mockapetris, P., "Domain Names - Concepts and Facilities",
RFC 1034, November 1987.
[5] Mockapetris, P., "Domain Names - Implementation and
Specification", RFC 1035, November 1987.
[6] Droms, R., Ed., "Dynamic Host Configuration Protocol for IPv6
(DHCPv6)", RFC 3315, July 2003.
[7] Droms, R., "Stateless Dynamic Host Configuration Protocol
(DHCP) Service for IPv6", RFC 3736, April 2004.
[8] Droms, R., Ed., "DNS Configuration options for Dynamic Host
Configuration Protocol for IPv6 (DHCPv6)", RFC 3646,
December 2003.
[9] Jeong, J., Ed., "IPv6 Host Configuration of DNS Server
Information Approaches", RFC 4339, February 2006.
[10] Johnson, D., Perkins, C., and J. Arkko, "Mobility Support in
IPv6", RFC 3775, June 2004.
[11] Arkko, J., Ed., "SEcure Neighbor Discovery (SEND)", RFC 3971,
March 2005.
[12] ANSI/IEEE Std 802.11, "Part 11: Wireless LAN Medium Access
Control (MAC) and Physical Layer (PHY) Specifications",
March 1999.
[13] IEEE Std 802.11a, "Part 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specifications: High-speed
Physical Layer in the 5 GHZ Band", September 1999.
[14] IEEE Std 802.11b, "Part 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) specifications: Higher-Speed
Physical Layer Extension in the 2.4 GHz Band", September 1999.
[15] IEEE P802.11g/D8.2, "Part 11: Wireless LAN Medium Access
Control (MAC) and Physical Layer (PHY) specifications: Further
Higher Data Rate Extension in the 2.4 GHz Band", April 2003.
[16] Damas, J. and F. Neves, "Preventing Use of Recursive
Nameservers in Reflector Attacks", Work in Progress, July 2007.
[17] Ferguson, P. and D. Senie, "Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source
Address Spoofing", BCP 38, RFC 2827, May 2000.
Authors' Addresses
著者のアドレス
Jaehoon Paul Jeong (editor)
ETRI/Department of Computer Science and Engineering
University of Minnesota
117 Pleasant Street SE
Minneapolis, MN 55455
USA
Phone: +1 651 587 7774
Fax: +1 612 625 0572
EMail: jjeong@cs.umn.edu
URI: http://www.cs.umn.edu/~jjeong/
Soohong Daniel Park
Mobile Convergence Laboratory
SAMSUNG Electronics
416 Maetan-3dong, Yeongtong-Gu
Suwon, Gyeonggi-Do 443-742
Korea
Phone: +82 31 200 4508
EMail: soohong.park@samsung.com
Luc Beloeil
France Telecom R&D
42, rue des coutures
BP 6243
14066 CAEN Cedex 4
France
Phone: +33 02 3175 9391
EMail: luc.beloeil@orange-ftgroup.com
Syam Madanapalli
Ordyn Technologies
1st Floor, Creator Building, ITPL
Bangalore - 560066
India
Phone: +91-80-40383000
EMail: smadanapalli@gmail.com
Full Copyright Statement
完全著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETF信託(2007)。
This document is subject to the rights, licenses and restrictions
contained in BCP 78, and except as set forth therein, the authors
retain all their rights.
この文書はBCP78に含まれる権利と許可と制限の適用を受け、そして
この中に明らかにされる以外は著者がすべての権利を維持します。
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND
THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS
OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれる情報はあるがままに供給されます、貢献者と貢献
者が代表するか貢献者を後援する組織(もしあれば)とインターネット学会
とIETF信託とインターネット技術標準化タスクフォースは、明確にも暗
黙にも、この情報の使用が権利の侵害しないことや商業利用や特別の目的へ
の利用に適当である事の保障を含め、全ての保証を拒否します。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed to
pertain to the implementation or use of the technology described in
this document or the extent to which any license under such rights
might or might not be available; nor does it represent that it has
made any independent effort to identify any such rights. Information
on the procedures with respect to rights in RFC documents can be
found in BCP 78 and BCP 79.
この文書に記述された実装や技術に関して主張される知的財産権や他の権利の
正当性や範囲について、この様な権利の元でライセンスが利用可能か利用不
可能かの範囲について、IETFは何の立場もとりません;この様な権利を
認識する独立の調査をしたとは述べません。RFC文書の権利に関する手続
きの情報はBCP78とBCP79を見てください。
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use of
such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository at
http://www.ietf.org/ipr.
IETF事務局に公開されたIPRの写しと、利用可能な許可証と、仕様書
の実装者や利用者によってされた一般的な許可書や許可を得るためにされた
試みの結果は、http://www.ietf.org/iprにあるIETFオンラインIPR
貯蔵庫で得られます。
The IETF invites any interested party to bring to its attention any
copyrights, patents or patent applications, or other proprietary
rights that may cover technology that may be required to implement
this standard. Please address the information to the IETF at
ietf-ipr@ietf.org.
IETFは興味を持った誰からでもこの標準を実行するのに必要な技術をカ
バーする著作権や特許や特許出願や他の所有権の注意を持ってくるように求
めます。どうかietf-ipr@ietf.orgのIETFに情報を伝えてください。