home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / dns / dns-minutes-93nov.txt < prev   
Text File  |  1994-02-08  |  12KB  |  268 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by Rob Austein/Epilogue Technology
  5.  
  6. Minutes of the Domain Name System Working Group (DNS)
  7.  
  8.  
  9. Documents
  10.  
  11. Three new DNS-related Informational RFCs have come out recently.
  12. RFC 1535 (also known as ``the EDU.COM emergency RFC'') details problems
  13. with a widely-used but ill-advised DNS search heuristic, and proposes a
  14. solution.  RFC 1536 details common DNS implementation errors, with
  15. proposed solutions; this document was accepted as a DNS Working Group
  16. project at the 27th IETF (Amsterdam), completed, and accepted on the
  17. mailing list.  RFC 1537 details common DNS configuration errors; while
  18. it was never formally accepted as a DNS Working Group document, it was
  19. reviewed by the working group members.  These three RFCs are closely
  20. related and cross-reference each other, so, on advice of the RFC Editor,
  21. the DNS Working Group Chair approved ``fast track'' publication of these
  22. documents on behalf of the Working Group.  If anybody has serious
  23. problems with these documents, blame it on the Chair.
  24.  
  25. Dave Perkins reported on the current status of the DNS MIB documents on
  26. behalf of the Network Management Area Directorate (NMDIR). Basically,
  27. there are no remaining hard problems, just some remaining detail work.
  28. One of the authors, Rob Austein, has received a detailed list of
  29. remaining concerns, none of which appear to be show-stoppers.  It should
  30. be possible to get these documents out the door before the 29th IETF in
  31. Seattle.  Dave pointed out two design issues that are not objections but
  32. of which he thinks the DNS Working Group should be aware:
  33.  
  34.  
  35.   1. Due to SNMP protocol limitations, the length limits on DNS names
  36.      used as indices to ``conceptual tables'' in the MIBs will be
  37.      shorter than the DNS name length limit of 255 octets.  Based on
  38.      analysis of current usage, this should not be a problem, so we'll
  39.      flag it with a warning statement in the document but otherwise
  40.      leave it alone.
  41.   2. The most recent versions of the documents (not yet released as
  42.      Internet-Drafts) use the SNMPv2 SMI rather than the SNMPv1 SMI, in
  43.      order to clear up some problems with unsigned 32-bit integers.
  44.      NMDIR wants to be sure that the DNS Working Group realizes that
  45.      this means only SNMPv2-capable implementations will be able to use
  46.      these MIBs.
  47.  
  48.  
  49. DNS Security Sub-Group
  50.  
  51. James Galvin gave a report on the meeting held by the DNS Security
  52. ``sub-group'' (a spin off from the DNS Working Group at the 26th IETF in
  53. Columbus).
  54.  
  55.  
  56.      The DNS Security design team of the DNS Working Group met for
  57.      one morning at the Houston IETF. The discussion began with a
  58.      call for threats that the members of the group were most
  59.      concerned about.  The list included the following:
  60.  
  61.        o disclosure of the data - some expressed a desire to be
  62.          able to encrypt the data in responses
  63.  
  64.        o modification of the data
  65.  
  66.        o masquerade of the origin of the data
  67.  
  68.        o masquerade of a secondary - some expressed a desire to be
  69.          able to reliably identify both peers in a zone transfer;
  70.          this would provide the basis for controlling access to
  71.          zone transfers
  72.  
  73.      During the discussion of these threats it was agreed to accept
  74.      the following assumptions:
  75.  
  76.       1. DNS data is ``public''
  77.       2. backward/co-existence compatibility is required
  78.  
  79.      With respect to the first, accepting it set aside any further
  80.      discussion of the threat of disclosure of the data.  The second
  81.      assumption is included explicitly to remind everyone that we do
  82.      not want parallel DNS systems in the Internet.
  83.      In addition, it was explicitly agreed that we would not address
  84.      authentication of secondaries or access control issues.  Thus,
  85.      the current list of desired security services is:
  86.  
  87.        o data integrity
  88.        o data origin authentication
  89.  
  90.      It was noted that a digital signature mechanism would support
  91.      the desired services.
  92.      The meeting continued with a brainstorming period during which
  93.      the desired functional requirements of a secure DNS were
  94.      collected.  This list does not represent mandatory
  95.      functionality but, rather, it is desired functionality.  It was
  96.      agreed that this list was subject to discussion on the mailing
  97.      list for a period of time that would conclude on November 30.
  98.      The requirements are listed here in no particular order.
  99.  
  100.        o sites must be able to support at least their internal
  101.          users in the presence of external network failures
  102.  
  103.        o it should be possible for a site to pre-configure other
  104.          authoritative servers without having to query the
  105.          ``system'' to find the server
  106.  
  107.        o it should be possible to request services only from
  108.          security enhanced servers, only from non-security enhanced
  109.          servers, or to indicate that either is acceptable
  110.  
  111.        o it should be possible to recognize security enhanced
  112.          responses
  113.  
  114.        o it should be possible to assign cryptographic keys (make
  115.          use of the security services) to leaf nodes in the DNS
  116.          tree, i.e., fully qualified domain names
  117.  
  118.        o it should be possible to not trust secondary servers
  119.  
  120.        o a mechanism must exist for revoking cryptographic keys
  121.          that works within the DNS time-to-live framework
  122.  
  123.        o security services should be supported with no additional
  124.          DNS queries beyond what would be required if security was
  125.          not supported
  126.  
  127.        o it must be possible to ensure that cached data expires
  128.          according to its TTL
  129.  
  130.      The meeting concluded with agreement on the following three
  131.      milestones.
  132.  
  133.       1. The desired functional requirements are to be reviewed and
  134.          agreed upon by November 30.
  135.  
  136.       2. Strawman proposals that meet as many of the desired
  137.          requirements as possible are due by January 31, 1994.
  138.  
  139.       3. The group would produce a single, draft proposal at the
  140.          next IETF meeting, March 1994.
  141.  
  142.  
  143.  
  144. The DNS Security effort will be spun off as a separate working group in
  145. the Service Applications Area (SAP), as soon as James can get the
  146. charter approved.  The DNS Security mailing list is
  147. dns-security@tis.com; requests to subscribe should be sent to
  148. dns-security-request@tis.com.
  149.  
  150. Discussion of the incremental zone transfer protocol
  151. (draft-ietf-dns-ixfr-00.txt) was deferred because none of the authors
  152. were present at the meeting.  Comments on this draft should be sent to
  153. the authors and/or the Namedroppers mailing list.
  154.  
  155.  
  156.  
  157. DNS Efforts to Support SIPP
  158.  
  159. Sue Thomson gave a brief report on current DNS efforts to support SIPP
  160. (the merger of the SIP and PIP proposals).  See the latest version of
  161. the Internet-Draft, draft-ietf-sip-sippdns-nn.txt, for details.
  162.  
  163.  
  164. DNS Reliability Issues - Boeing
  165.  
  166. Ed King gave a presentation on DNS reliability issues in Boeing's
  167. production environment.  Ed has to support DNS on a corporate network
  168. with thousands of subnets and DNS software from many vendors in a
  169. production environment that never shuts down and where an interruption
  170. to DNS services due to a power hit can leave hundreds of engineers
  171. sitting idle waiting for their workstations to finish booting.  Much of
  172. the problem is that each vendor has their own slightly different (and
  173. often more than slightly broken) interface between DNS, local host
  174. tables, and the vendor's own pet name resolution mechanism.  Replacing
  175. or repairing all the DNS software in an environment isn't economically
  176. feasible, so the most constructive approach seems to be to write a ``DNS
  177. Requirements'' document to use as a reference when pressuring vendors to
  178. fix their DNS implementations.  The DNS portion of the Host Requirements
  179. documents (RFC 1123 section 6.1) and the newly published DNS ``Common
  180. Errors'' Informational RFCs are good starting points, but companies like
  181. Boeing need a document that has the force of a standard and that goes
  182. into more detail on interface design issues than Host Requirements does.
  183.  
  184. No definite decision was reached as a result of Ed's presentation, but
  185. watch Namedroppers for further discussion and probably a call to form a
  186. working group.
  187.  
  188.  
  189. DNS Support for DHC and Mobile Hosts
  190.  
  191. Masataka Ohta gave a presentation on a possible way to implement some of
  192. the DNS support needed for dynamic host configuration and mobile hosts.
  193. The presentation went into more detail than there is room for in these
  194. minutes, so expect to see a summary of this on the Namedroppers list.
  195.  
  196.  
  197. The Future of the DNS Working Group
  198.  
  199. Dave Crocker spoke about the future of the DNS Working Group.  As has
  200. been discussed at previous meetings, the DNS Working Group as currently
  201. organized doesn't really fit well into the current IETF organizational
  202. framework.  Accordingly, Dave asks that DNS reorganize itself more along
  203. the current IETF pattern.  The proposal is to move the ``permanent''
  204. functions of the DNS Working Group (DNS oversight within the IETF,
  205. mostly) into the SAP Area Directorate, that Dave will be forming ``Real
  206. Soon Now,'' while reincarnating specific closed-ended tasks as separate
  207. working groups within the SAP Area.  The SAP Area Directorate will hold
  208. open meetings at regular intervals, so that there will still be a forum
  209. for overall DNS design work.  For formal purposes, the current DNS
  210. Working Group will probably be retroactively construed as having been
  211. the DNS MIB Working Group, and will be closed down as soon as the DNS
  212. MIB documents hit the streets.  As a practical matter, and in the
  213. Chair's opinion, the current DNS Working Group will effectively
  214. reconstitute itself as the attendees of the DNS portion of the SAP Area
  215. Directorate open meetings.  Dave expects to have the reorganization
  216. completed by the 29th IETF in Seattle.
  217.  
  218. The discussion that followed Dave's statement made it clear that there
  219. are people with strong feelings on both sides of this issue (keep the
  220. DNS Working Group as it is versus reorganize per Dave's plan).  Unless
  221. somebody feels strongly enough about this to make a formal appeal, the
  222. reorganization will probably go through.
  223.  
  224.  
  225. Attendees
  226.  
  227. Steve Alexander          stevea@lachman.com
  228. Garrett Alexander        gda@tycho.ncsc.mil
  229. Robert Austein           sra@epilogue.com
  230. Anders Baardsgaad        anders@cc.uit.no
  231. Alireza Bahreman         bahreman@bellcore.com
  232. William Barns            barns@gateway.mitre.org
  233. Stephen Crocker          crocker@tis.com
  234. Donald Eastlake          dee@skidrow.lkg.dec.com
  235. Havard Eidnes            havard.eidnes@runit.sintef.no
  236. Erik Fair                fair@apple.com
  237. Roger Fajman             raf@cu.nih.gov
  238. Patrik Faltstrom         paf@nada.kth.se
  239. Antonio Fernandez        afa@thumper.bellcore.com
  240. James Fielding           jamesf@arl.army.mil
  241. James Galvin             galvin@tis.com
  242. Chris Gorsuch            chrisg@lobby.ti.com
  243. Ronald Jacoby            rj@sgi.com
  244. Rick Jones               raj@cup.hp.com
  245. Charlie Kaufman          kaufman@zk3.dec.com
  246. Elizabeth Kaufman        kaufman@biomded.med.yale.edu
  247. Stephen Kent             kent@bbn.com
  248. Edwin King               eek@atc.boeing.com
  249. Paul Lambert             paul_lambert@email.mot.com
  250. Walter Lazear            lazear@gateway.mitre.org
  251. Lars-Johan Liman         liman@ebone.net
  252. John Linn                linn@security.ov.com
  253. Jun Matsukata            jm@eng.isas.ac.jp
  254. Paul Mockapetris         pvm@darpa.mil
  255. Sath Nelakonda           sath@lachman.com
  256. Masataka Ohta            mohta@cc.titech.ac.jp
  257. Michael Patton           map@bbn.com
  258. Jon Postel               postel@isi.edu
  259. Jeffrey Schiller         jis@mit.edu
  260. Richard Schmalgemeier    rgs@merit.edu
  261. Michael St.  Johns       stjohns@arpa.mil
  262. John Stewart             jstewart@cnri.reston.va.us
  263. Theodore Ts'o            tytso@mit.edu
  264. Walter Wimer             walter.wimer@andrew.cmu.edu
  265. David Woodgate           David.Woodgate@its.csiro.au
  266. Weiping Zhao             zhao@nacsis.ac.jp
  267.  
  268.