※ 2019 年 2 月 1 日現在の情報をもとに作成しています
1. はじめに
以下のサポート記事で Umbrella が DNS Flag Day をサポートする旨の発表がありました。本記事では、Umbrella における DNS Flag Day の影響について説明します。
Umbrella support for DNS Flag Day
https://support.umbrella.com/hc/en-us/articles/360022604411-Umbrella-support-for-DNS-Flag-Day
2. DNS Flag Day とは
DNS Flag Day とは DNS 業界が推し進めるイベントのことで、2019 年 2 月 1 日より、DNS Flag Day に賛同している企業・組織において、新たにリリースされる DNS ソフトウェアおよびパブリック DNS サービスから EDNS に関するワークアラウンドが削除されます。
具体的なワークアラウンドとしては、「EDNS を有効にした DNS リクエストに対して、正しい応答が得られなかった場合に、EDNS を無効にして再度 DNS リクエストを送る」などとなります。
Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) においても、2 月からこの ENDS に関するワークアラウンドは行われなくなります。
3. EDNS とは
EDNS とは RFC 6891 で定義されている DNS の拡張仕様のことで、UDP による 512 バイトを超える DNS 通信を可能にしたり、DNS 通信の中に追加の情報を付与できるようにします。現在は、EDNS のバージョン 0 が主に使用されており、EDNS のことを EDNS0 と呼ぶこともあります。
Umbrella では以下の 2 種類の通信において EDNS を使用しています。
- DNS クライアントから Umbrella の DNS サーバーへの通信
- Umbrella の DNS サーバーから権威 DNS サーバーへの通信
それぞれの通信における DNS Flag Day の影響について、次項以降で説明します。
4. DNS クライアント・Umbrella の DNS サーバー間の影響
Umbrella では、以下のソフトウェアや機器から Umbrella の DNS サーバーへ送る DNS リクエストで EDNS が有効になっています。
- ISR1K/4K、WLC などの Umbrella と連携設定をしたネットワーク機器
- Roaming Client/AnyConnect Umbrella Roaming Security Module
- Cisco Security Connector
- Chromebook Client
- Virtual Appliance
これらの EDNS には、そのソフトウェアや機器を一意に識別する情報が含まれ、個別のポリシーの適用や詳細なレポート表示が可能となります。この詳細についてはこちらの記事を参照してください。
DNS Flag Day の影響についてですが、Umbrella の DNS サーバー側では、当然、これらの EDNS が有効になった DNS リクエストを適切に処理しますので、影響は発生しません。
5. Umbrella の DNS サーバー・権威 DNS サーバー間の影響
Umbrella の DNS サーバーは、権威 DNS サーバーへ DNS リクエストを送る際、一般的な DNS サーバーと同様に EDNS を有効にします。これにより、512 バイトを超える UDP 通信が可能になり、EDNS Client Subnet などの追加機能も提供します。
もし、送信先の権威 DNS サーバー側で EDNS を適切に処理できず、正しい応答が得られなかった場合、その時の名前解決は失敗することが考えられます。Umbrella では、今後もこの影響についてモニタリングやアセスメントを続けていきます。
なお、権威 DNS サーバーを管理されている方で、DNS Flag Day の影響が気になる場合は、前述のサポート記事 (英語) に記載されている ISC EDNS Compliance Tester という外部ツールで確認いただければと思います。
