DNS Summer Days 2012 (9/1分) #dnsops
鈴木先生:すごい気になる発言があって、キャッシュサーバと権威サーバを兼ねている事業者がたくさんある、と。どういう条件でそうおっしゃっているのか気になる。任意の登録ができるのが問題なのですが、そんな「まさかな」サーバーが本当にそんなにあるのか?気になります。 #dnsops
2012-09-01 10:48:12聞こうと思っていたことを @tss_ontap さんに聞いていただけました。 #dnsops
2012-09-01 10:48:23鈴木先生:どういう風にしてゾーンが登録されるのか、外から見えない事業者が多いのですが、どうやってそれを知っているのか? 田中さん:キャッシュが兼用できるか、までしか調べていません。当社から移転した先を調べたのですが、キャッシュとして動いているかも確認した。 #dnsops
2012-09-01 10:49:07田中さん: 結構多くのサーバーが、キャッシュとしても動作していました。 鈴木先生:ちょっと安心しました。でもたくさんあるのかな、と。 #dnsops
2012-09-01 10:50:18鈴木先生:あと、dns1,2ですか、NSが上位から向いていて、でも委任されていない場合、ハイジャックできるので、そのあたりはしっかり対策して欲しい。 田中さん:lame delegation状態は、結構あります。しかし調査は困難。Nominumの方でログを見て。 #dnsops
2012-09-01 10:50:57危険度にはレベルがありますね。1)再帰検索要求を受け付ける 2)かつ、そこに顧客のドメイン名を登録可能になっている 3)かつ、顧客にキャッシュDNSサーバーとして標準提供している #dnsops
2012-09-01 10:51:03田中さん: そのリストを上位のネームサーバにて確認。当社のサーバーに向いていることがわかりました。そのため乗っ取り可能なことがわかるのですが、解約されている場合もあって連絡ができず、また上位を変更することもできないですので。 #dnsops
2012-09-01 10:51:56#dnsops 上位から権威委任がされているが委任先にゾーンが無いというのは、そのドメインの管理権限が無いと解消できないからな…。もしくはダミーのゾーンを作るのが良いのかな。
2012-09-01 10:52:26鈴木先生:現在も危険な状態だと。 田中さん:かなりありますね。登録されているけど当社に向いていないものは数百あると。 #dnsops
2012-09-01 10:52:44宇井さん:いろんな要素が絡んでいるのは確かで、権威サーバとキャッシュサーバーを兼ねないっていうのは10年ほど言っている気が。lame delegationについても昔から危険だと。定期的に全部チェックしており、管理している事業者さんにリストを渡している。 #dnsops
2012-09-01 10:53:51宇井さん:今回のケースで、もう少し、この組み合わせでこういう危険性があるね、ということは伝える必要があるかな、と。技術者向けセミナー等で言っている場合も。しかし、向いていないから切ってしまって良いか?というと難しい。手元で運用している事業者さんで判断してもらう #dnsops
2012-09-01 10:55:00しかない。なので、JPRSからリストを出すしか無い。一応、ここで、やっています、と言わせてください。一般向けとしては、リーフレットやInteropなどで啓発しています。これからもしていけたらいいなと思います。 #dnsops
2012-09-01 10:55:56#dnsops 権威委任が外れたゾーンはキャッシュが消える時点で速やかにゾーンを削除すべき、では権威委任が外れないままのゾーンはどうすれば良いの?
2012-09-01 10:56:35鈴木先生:さくらさんが槍玉に上がってしまって、申し訳ないのですが、逆に、さくらさんは表に出してくださっている。他の事業者さんは出してこないので、業界全体としてユーザーにやさしい方向にしていただければ。 #dnsops
2012-09-01 10:56:41田中さん:公開については当社でも議論に。晒してしまうと他の事業者さんにも影響が(探されてしまう)。MLなどでは返事がなかったが、直接他の事業者さんから連絡があった。 #dnsops
2012-09-01 10:57:44さくらインターネット以外から改善報告が無いというのが気になっている by tss 鈴木先生。公開したことで潜在的に他社にも問題があるかもしれないことを知らせるのは良いことかどうか悩ましかった by さくらインターネット田中社長。 #dnsops
2012-09-01 10:58:04田中さん:大きな事業者だと対応もできますが、小さいところだと一人でやっている場合もあるので、重要性を説いていく必要があるかと。 #dnsops
2012-09-01 10:58:16山本さん:やっているのはやっていると思いますが、非常に優しいというか。。。JPRSさんにはもっと強く言って欲しい。ちゃんとできない所は、厳しく言えば、ふるい落とされるべき。ビジネスではあると思うが、JPRSさんには、指導は厳しく。 #dnsops
2012-09-01 10:59:54