パスワードを忘れた? アカウント作成
9484849 story
ネットワーク

ICANNが策定中の新gLTDの問題点:内部ネットワークとの衝突 34

ストーリー by hylom
ありそう 部門より
あるAnonymous Coward 曰く、

ICANNは現在、gTLD(分野別トップレベルドメイン)と呼ばれる新しいTLDを追加する作業を進めており、すでに「.moe」など多くのgTLDが申請されている。これに対し、新たな問題点も危惧されている。その1つに、社内ネットワークなどの内部ネットワークで定義されているドメインとの衝突が挙げられている(本家/.)。

社内ネットワークなど、一般に公開されていないネットワークでは、勝手にドメインを定義して利用できる。そのため、場合によっては「.corp」や「.mail」、「.exchange 」といったドメインが使われている場合がある。しかし、これらがgLTDとして使われるようになると、社内ネットワークにアクセスするつもりが、社外のサーバーにアクセスしてしまう、という問題が発生する可能性がある。これらを利用した攻撃なども考えられるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • あのぉ (スコア:5, おもしろおかしい)

    by TarZ (28055) on 2013年07月18日 15時15分 (#2423648) 日記

    .moe はわたしが使っている TLD ですので勝手に使わないで下さい。なおこの件については ICANN にも通報済みです。

  • 人気TLD予想 (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2013年07月18日 15時24分 (#2423656)

    .local

    • Re:人気TLD予想 (スコア:5, 参考になる)

      by Anonymous Coward on 2013年07月18日 16時09分 (#2423666)

      Special-Use Domain Namesとして予約済だそうです
      http://www.iana.org/assignments/special-use-domain-names/special-use-d... [iana.org]

      親コメント
      • by JULY (38066) on 2013年07月18日 16時28分 (#2423674)

        おぉぉ、これは知らなかった。

        昔、.local がプライベート用として Draft として出ていて [ietf.org]、結局 RFC にならずに失効していたのは知っていたんだけど、こんな最近になって、RFC になるとは...

        でも、用途はプライベート用ではなくて、マルチキャスト用みたいですね。じゃぁ、特に Active Directory を構築しているケースで、既にアウトの状態が山ほどありそうな...。

        余談:
        今は、Microsoft も「自分の組織が持っているドメインのサブドメインを使って」と言っているはずなんだけど、未だに Active Directory のドメイン名を hoge.local と付ける人が後を絶たない気がするなぁ。

        親コメント
        • Windowsで使われているLLNMRはRFC 4795 http://tools.ietf.org/html/rfc4795 [ietf.org] によると特定のTLDを対象としたものではないらしいですね。例えば「host1.」に対する名前解決にも答えると書いてある。LLMNRはNetBIOS over TCP/IPの名前解決の後継という扱いだから互換性のためにそうしているのかも。

          --
          屍体メモ [windy.cx]
          親コメント
        • by Anonymous Coward

          AD環境じゃないけど、LAN内のホストhogeにhogeでアクセスすると不通時にhoge.comとかを開かれてしまうので、
          hoge.hogehoge.localみたいにしてるんですが、自前のドメインを持っていない場合はどうするものなんでしょーか?

          # .localを選んだのは偶然

          • by Anonymous Coward

            .local でいいんじゃないの? mDNSと併用しなければ害はないし (LinuxのmDNS実装だと、.localが使われてるネットワークではmDNSのdaemonが自分で自分をdisableする)

    • by upken (38225) on 2013年07月18日 15時32分 (#2423658)

      .local は Mac の内部ネットワークで使われているから、もし取れたら(主にMacユーザーで)問題が多発しそうですね。

      親コメント
      • by zzzzz (5124) on 2013年07月19日 12時38分 (#2424219) 日記
        ActiveDirectoryではインターネットと関係なしに中で閉じたドメインを作る時は.localが通例ですよ。MSのドキュメントでもそうなってたはず。

        ところが、MacOSのOpenDirectory / Netinfo も暗黙で.localというネットワークが想定されているので、両者が混在した場合、ネットワーク上のマシンをホスト名で探す時に、ホスト名に勝手に.localがくっついちゃってAD側とごっちゃになって見えるはずのものが見えず混乱したりします。(IPアドレス直打ちなら通る)

        Mac側に.localをつけないで探しなさいと環境設定のどこだかで教えてあげようというTipsがあったりします。

        親コメント
      • by Anonymous Coward

        確かに.localを上手に使う仕組みを作ったのはAppleの人間だけど、Macのドメインじゃねーよ。

  • たとえ閉じたネットワークだろうと、TLDを勝手につけたら駄目というかRFC違反だし自業自得だと思いますが…
    (言ってしまえば、グローバルに使われる範囲なIPアドレスを、「インターネットと直接ルーティングしないから問題ない」といってLAN用専用としてプライベートに使う [srad.jp]ようなものでしょ。)

    問題はサフィックスリストじゃないかなとか思う。ドメイン名の後半部分を省略可能にし、省略した場合は適当に補完してくれる機能。
    そもそも「FQDN」=「Fully Qualified Domain Name」=「完全修飾ドメイン名」という用語があるぐらいで、部分的に省略したドメイン名を使うことはごく当たり前の用法です。
    会社とかで事業部や部署毎にサブドメインを分ける運用をしていたら

    server.moe.exchange.example.co.jp.

    みたいなFQDNが割り当てられることもありえるでしょう。これを、サフィックスリストに example.co.jp. や exchange.example.co.jp. を設定しておけば、
    server.moe
    とか
    server.moe.exchange
    といった省略記法が使えるようになります。TLDがmoeやexchangeのFQDNととても紛らわしい。

    #というわけで、まあ、TLDが乱立しやすくなったため問題が発生しやすくなっただけで、昔から時々発生する全然新しくない問題だと思うんだよなぁ。

    • by Anonymous Coward on 2013年07月18日 21時56分 (#2423889)

      > TLDを勝手につけたら駄目というかRFC違反
      間違い。
      RFC 920などでgTLDが定義されたことはあるが、その他のTLDの使用に関する制限がRFCで規定されたことはない。

      親コメント
    • by Anonymous Coward

      >たとえ閉じたネットワークだろうと、TLDを勝手につけたら駄目というかRFC違反だし自業自得だと思いますが…

      激しく同意。

      私が勤めた会社では、ローカルドメインは社内DNSを建てて管理、
      インターネットへのアクセスはproxyを経由してアクセスする、
      (proxyは社内DNSを参照)という運用だったので、いまいち
      「内部ネットワークとの衝突」が想像できません……。

      1つのDNSで、グローバルのドメインと社内ローカルドメインを
      両方管理している場合って、そんなに多いのでしょうか。

      • by zzzzz (5124) on 2013年07月19日 12時57分 (#2424241) 日記
        MSが出しているActiveDirectoryのガイダンスではインターネットでfoo.bar.comのドメインを持っている組織が、同じドメイン名でADも構築する事例があたりまえに出てきます。

        LAN内部はADと統合したDNSで所属するPCの名前を自動登録して内部用の名前解決。でDMZや外側に置いてあるホストは個別に登録してあげる。AD統合のDNSは内向きに専念してドメインの外(含インターネット)から内側に対する名前解決の場合は返答させない構成。

        当然インターネット側にはよそ様向きに設置したホスト用に別途DNSサーバを立てます。

        外資系の会社はこれに忠実みたいで、ワールドワイドでインターネットもADも同一のドメイン名という事例をいくつか知ってます。

        親コメント
      • by Ryo.F (3896) on 2013年07月18日 18時11分 (#2423753) 日記

        私が勤めた会社では、ローカルドメインは社内DNSを建てて管理、インターネットへのアクセスはproxyを経由してアクセスする、(proxyは社内DNSを参照)という運用だったので、いまいち「内部ネットワークとの衝突」が想像できません……。

        内部ネットワーク上にウェブサーバがあった場合には、「内部ネットワークとの衝突」を容易に想像する事はできるのでは?

        親コメント
        • by Anonymous Coward

          内と外、どっちを優先するか
          やりたいようにやれば良いんじゃねーの?

          • by Ryo.F (3896) on 2013年07月18日 21時55分 (#2423886) 日記

            内と外、どっちを優先するかやりたいようにやれば良いんじゃねーの

            どちらかを優先すればいい、という整理ができるなら、それでいいだろうね。

            でも、そうでないこともあるね。だから問題になってるんだ。よく考えてごらん。

            親コメント
      • by s02222 (20350) on 2013年07月19日 1時28分 (#2423964)
        その構成で、例えば、hoge.fuga.(社内サーバ)を使っているところに、誰かがfugaをgTLDとして登録してその下にhogeというサーバを置いた場合、社内から、その、新たに登録された方のhoge.fuga.(社外サーバ)へはアクセス出来ませんよね、という問題なのでその構成はあまり関係ないかと。

        どちらかというと、proxyサーバは外部DNSを参照するように設定して、社内システムへはproxyを介さずにアクセスする、という切り分けの方がこの問題に対しては強そうです。
        親コメント
        • by nim (10479) on 2013年07月19日 10時26分 (#2424108)

          >どちらかというと、proxyサーバは外部DNSを参照するように設定して、社内システムへはproxyを介さずにアクセスする、という切り分けの方がこの問題に対しては強そうです。

          そういう構成で社内か社外か判断するためには、普通名前解決を行うわけで、結局その時どっちを見たいのかわからなくなりませんか?

          親コメント
          • by s02222 (20350) on 2013年07月19日 11時09分 (#2424150)
            はい。完全に普通に使うのは無理です。

            例えば社内システムはproxy無しに設定したIEで、インターネットで調べものをする場合にはfirefoxで、という使い分けをユーザが意識して行う必要がありますが、落としどころとしてはその辺りが妥協できるラインかなぁ、と。
            親コメント
    • by Anonymous Coward

      > TLDを勝手につけたら駄目というかRFC違反
      参考までにどのRFCで禁止されているのか教えてください。

  • 実際に衝突することが発覚しちゃったら、内部でDNSサーバー立ててそれを参照させ、ついでに外向けのUDP 53を塞いで……あたりになるんでしょうか。
    あるいは衝突しちゃうドメインを全部リネームするか。どちらにしても結構な手間になりそうです。
    安全性で言えば後者ですが、コストで言うと前者の方がマシなこともあるかもしれません。

    .config とか見かけたことありますけど、この辺はすぐには衝突は来ない……かな?

  • 特殊なTLDが利用可能になるのあったんだけど、なんだったかな...

    # なおTorではない(onion)

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2013年07月18日 16時45分 (#2423689)
    我が家の.comnet [wikipedia.org]はぶつけられそうでやだなぁ・・・。
  • by Anonymous Coward on 2013年07月18日 16時47分 (#2423690)
    新たな問題点も危惧されている。
    とありますが、gTLDの検討では最初から見えていた問題ではないの?
    • by Anonymous Coward

      それはタレコみ子が翻訳時に組み込んだだけなんでその文章は無視して

  • by Anonymous Coward on 2013年07月18日 17時23分 (#2423715)

    何か専用のドメイン名をRFCで定義するとか。

    #ドメイン名持ちの企業なら、社内LANはそのサブドメインにするんじゃないのかな

  • by Anonymous Coward on 2013年07月18日 17時27分 (#2423719)

    ひかり電話ルーターは"ntt.setup"で自分のローカルアドレスを返す(少なくともウチのは)ので、.setupができたら、問題になりそう・・・

  • by Anonymous Coward on 2013年07月19日 16時13分 (#2424401)
    タイトルのgLTDは、gTLDのtypoとちゃうか? あとタレコミ本文中にも1カ所。

    突っ込みたがりの人の楽しみを取っちゃ申し訳ないとスルーしてたけど、
    そのままずっと残るのもどうかと思ったのでいまさらだけど。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...