DNS Summer Days 2012 (9/1分) #dnsops
田中さん:はじめに: ・あるドメインについて、同じネームサーバに、委任される形が取られることも。 #dnsops
2012-09-01 10:18:38田中さん:キャッシュ兼用における問題点: ・キャッシュ兼用していると、委任されていないゾーンが一部のクライアントへ返される。 ・RFC的には、委任された情報以外は返してはいけないはず。 #dnsops
2012-09-01 10:21:05DNS Summer Days 2012 2日目実施中。遅れてきた方は、#dnsops をつけてつぶやいて頂ければ1Fエントランスにスタッフが迎えに行きますが、ちょっとお待たせするケースもありますのでご了承ください。スタッフもプレゼンを聞きたいのです!
2012-09-01 10:22:37田中さん:上位ゾーンを第三者に登録される問題: ・悪意のある第三者が、上位のドメインを登録できてしまうと脆弱性になる、と。 #dnsops
2012-09-01 10:24:18#dnsops delegationの問題、委任の弱点/さくらインターネット株式会社 田中邦裕さん。( @kunihirotanaka ) 朝急いで作った資料、と仰ってましたが本当でしょうかw http://t.co/PDadxeqO
2012-09-01 10:25:31田中さん:下位ゾーンを第三者に登録される問題: ・キャッシュ兼用していると、委任されていないゾーンが一部のクライアントへ返される。 ・当社自身、上位ゾーンの問題を修正した際に、こちらの問題が顕在化してしまった、と。 #dnsops
2012-09-01 10:26:06田中さん:上位ゾーンを第三者に登録される問題: ・ツイッターなどで委任設定する情報を事前にキャッチし、先にゾーンを登録してしまう。その場合、正規ユーザが使えなくなります。 ・上下のドメインが別々のユーザーで登録されている場合がありました。ひとつひとつ確認しました。 #dnsops
2012-09-01 10:28:31田中さん:対応策の例: ・まずキャッシュとコンテンツのサーバーを分離すべきである。同じサーバーになっていますと、正規のレコードをキャッシュサーバーに登録できるということで危険です。 #dnsops
2012-09-01 10:29:16田中さん: →tcpdumpにて、キャッシュとして利用していると思われるホストのユーザーに連絡(確認)をする、といったこともしました。 →キャッシュサーバーとして使われている可能性があるのであれば、レスポンスが帰らないように設定変更する必要が。 #dnsops
2012-09-01 10:30:41#dnsops 上位から権威委任されていないと答えないとなると、それはそれで委任前に確認したり、LAN内に設置する権威サーバなどで運用に支障がでそうな気もするなぁ
2012-09-01 10:31:16田中さん: ・ゾーン登録時に所有者確認をする →完璧に確認できているわけではありません。移転してくる場合、特定のゾーンを登録できるところは少ないです。 →whois情報を元にメール確認。レジストラが発行している場合は可能ですが。。。 #dnsops
2012-09-01 10:32:36#dnsops hostmasterアドレスがきちんと届くようになっていれば、ドメイン認証系の手続きで汎用的に使えるように思うんだけどなぁ。
2012-09-01 10:33:34田中さん: →DNS事業者がwhoisに登録されている場合も多いため、所有者まで届かないことが。 →特定のコンテンツをwwwに設置。しかし、DNSの登録確認をHTTPで行うのか、という矛盾したことに。 #dnsops
2012-09-01 10:33:42特定のレコードを登録してもらうか、サブドメインへの委任を禁止するで良いんじゃないかな。サブドメインが必要な人は親を含め自前で権威サーバを運用してもらうということで #dnsops
2012-09-01 10:34:31田中さん: →例えば、登録時はwhoisを確認し、あとは特定のレコードを当社で登録しておいて、そのレコードが無くなった場合は移転した、と判断する場合も。しかしwwwでの確認も必要なのかな、と。 #dnsops
2012-09-01 10:35:13田中さん: ・同一ツリーのゾーンを登録しない →90万ドメインを分離するのは不可能。AmazonさんではVMで分けられているが。しかしサポート面に心配。お客様によりDNSの設定が変わってしまう。 #dnsops
2012-09-01 10:36:49田中さん: ・同一ツリーで登録が必要な場合、同一会員に限定 ・NSが委任されているか否かは常にチェック →プログラム改修の際には、rootサーバーからのツリーを確認する必要が。 →ゾーンの親子関係を登録させないというのが最終的なゴールかも。 #dnsops
2012-09-01 10:40:08田中さん:登録されているゾーンの状態: ・93万ゾーンのうち、6万ゾーンほどが当社DNSに委任されていない ・7000件ほどはNSではなくてAレコードを登録されていた →ブログをお客様が使いたい場合に、Aレコードだけを向けられる場合がある。 #dnsops
2012-09-01 10:42:54田中さん: ・34000万件程度がNXDOMAIN。まずはこれを消したい。そしてNSが向いていないものをお客様にユーザーにお願い ・800件弱がSERVFAIL。ネームサーバが落ちているよう。 #dnsops
2012-09-01 10:43:52