InternetWeek 2014 DNS関連
-
- いいね!10
Yoshikazu GOTO
@goto_ipv6
キャッシュDNSサーバー ・キャッシュポイズニング ・リフレクター攻撃 DNSプロキシー ・リフレクター攻撃 ・DNS設定の不正変更 #iw2014jp #iw2014jp_t7
2014-11-20 09:49:26
Yoshikazu GOTO
@goto_ipv6
森下さん:DNSのデータに対する攻撃の例: ・先日、あったばかり →登録情報の不正書き換えによるドメイン名ハイジャック →→何らかの形で不正書き換えすることで、委任情報が書き換わってしまうので、意図しないサイトに誘導されてしまう #iw2014jp #iw2014jp_t7
2014-11-20 09:50:13
Yoshikazu GOTO
@goto_ipv6
森下さん ・権威DNSサーバーの登録データの不正書き換え →共用DNSサーバーの場合に、勝手に、子供の情報を書き加えられてしまったり #iw2014jp #iw2014jp_t7
2014-11-20 09:51:05
Yoshikazu GOTO
@goto_ipv6
森下さん:その攻撃の効果(攻撃者の意図)は何か?: ・DNSを使わせない(DoS) →例)DNS水責め攻撃、サーバーの脆弱性をついた攻撃 ・偽のDNSデータを使わせる →例)キャッシュポイズニング、ドメイン名ハイジャック #iw2014jp #iw2014jp_t7
2014-11-20 09:51:50
Yoshikazu GOTO
@goto_ipv6
・DNSを攻撃の手段として利用する →例)DNSリフレクター攻撃 ・DNSの情報を不正に入手する →例)不正なゾーン転送要求・ゾーン列挙(DNSSEC)・キャッシュ覗き(オープンリゾルバの場合など) #iw2014jp #iw2014jp_t7
2014-11-20 09:52:50
Yoshikazu GOTO
@goto_ipv6
森下さん:対策を考慮する上でのポイント: ・今、どんな脅威にさらされているのか? →取るべき対策やその湯鮮度を考える上での出発点 ・その対策で、何から何をどう守るか? #iw2014jp #iw2014jp_t7
2014-11-20 09:54:16
Yoshikazu GOTO
@goto_ipv6
・その対策で守れることと守れないことは何か? →対策の有効範囲の明確化 #iw2014jp #iw2014jp_t7
2014-11-20 09:54:17
Yoshikazu GOTO
@goto_ipv6
森下さん:DNSにおける三大事項:仕様・実装・運用: ・仕様 →プロトコルには、不明瞭な点がいっぱいあって、弱点もある →既存の実装への影響 #iw2014jp #iw2014jp_t7
2014-11-20 09:55:38
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
キャッシュ覗き e-ontap.com/internet/osc20… (スライドはアクセス制限されていることがわかっているので +rec だが +norec で調べるほうが望ましい) #iw2014jp_t7
2014-11-20 09:55:44
Yoshikazu GOTO
@goto_ipv6
・実装 →プロトコルが不明瞭なので、実装次第、ということが多い →実装が判断しなければならないことが多い →→バグが多くなる? →デファクトスタンダードの存在 #iw2014jp #iw2014jp_t7
2014-11-20 09:55:46
Yoshikazu GOTO
@goto_ipv6
・運用 →仕様や実装にすごく影響を与える →ポリシーが運用に与える影響 #iw2014jp #iw2014jp_t7
2014-11-20 09:56:03
Yoshikazu GOTO
@goto_ipv6
森下さん:なので、すごく、「インターネットのプロトコルっぽいんですね。私が知るかぎりでも、一番、インターネットのプロトコルっぽいです。 #iw2014jp #iw2014jp_t7
2014-11-20 09:56:43
Yoshikazu GOTO
@goto_ipv6
森下さん:参考:有用な文献資料: ・RFC 3833 →DNSプロトコル上の脅威を文書化し、それに対する防御手段としてのDNSSECの有効範囲を考察したもの →JPRSで日本語訳を公開 #iw2014jp #iw2014jp_t7
2014-11-20 09:57:56
Yoshikazu GOTO
@goto_ipv6
森下さん: ・DNS Threat Analysis - NLnet Labs document 2006-SE-01 Version 1.0 #iw2014jp #iw2014jp_t7
2014-11-20 09:58:58
Yoshikazu GOTO
@goto_ipv6
・どこを見ればよいか? →目次を見てください、すると、何が書いてあるかわかります →4ページ目の図 →本文中に、「Recommendations」を拾い読みする #iw2014jp #iw2014jp_t7
2014-11-20 09:59:042) DNSの仕様に起因するセキュリティ問題
其田 学(株式会社インターネットイニシアティブ)
Yoshikazu GOTO
@goto_ipv6
其田さんによる「DNSの仕様に起因するセキュリティ問題」です。 #iw2014jp #iw2014jp_t7
2014-11-20 09:59:44
Yoshikazu GOTO
@goto_ipv6
(其田さん PC もモニターに映らず…。先程は映っていたようですが…) #iw2014jp #iw2014jp_t7
2014-11-20 10:00:53
Yoshikazu GOTO
@goto_ipv6
其田さん:お待たせしました。今プロジェクターとの相性が悪いのですが。。。 #iw2014jp #iw2014jp_t7
2014-11-20 10:02:58
Yoshikazu GOTO
@goto_ipv6
其田さん:主に、キャッシュポイズニングについて話します。フォーカスは、いわゆる毒入れをどういうふうに防ぐか、と。 #iw2014jp #iw2014jp_t7
2014-11-20 10:03:25
Yoshikazu GOTO
@goto_ipv6
其田さん:キャッシュポイズニングの定義: ・キャッシュDNSサーバーに対して、不正なレコードをキャッシュさせ ・不正なレコードを返してしまうこと #iw2014jp #iw2014jp_t7
2014-11-20 10:03:52
Yoshikazu GOTO
@goto_ipv6
其田さん:本日の結論: ・DNSプロトコルは完全性の保障がないので、毒入れを完全に防ぐことは不可能 ・対策を施すことにより毒入れの成功確率を下げ、リスクを下げることは可能 #iw2014jp #iw2014jp_t7
2014-11-20 10:04:36
Yoshikazu GOTO
@goto_ipv6
其田さん:DNSプロトコルの復習: ・セキュリティ的な性質 ・委任 ・問い合わせの種類 ・問い合わせの複雑性 ・ランキング #iw2014jp #iw2014jp_t7
2014-11-20 10:05:27
Yoshikazu GOTO
@goto_ipv6
其田さん:セキュリティ的な性質: ・機密性 →なし、DNSは公開データ ・可用性 →非常に高い可能性が求められる →プロトコルレベルでの冗長性 ・完全性 →補償なし #iw2014jp #iw2014jp_t7
2014-11-20 10:06:09
Yoshikazu GOTO
@goto_ipv6
其田さん:委任: ・親のゾーンの一部を分けて、他のサーバーに管理を分けること ・委任先のNSレコードが、委任したゾーンの内部名の場合は、通常はGlueレコードでのりづけし、そのアドレスを返す #iw2014jp #iw2014jp_t7
2014-11-20 10:07:34