Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DNS悩み多きシステムの基礎から最新状況まで

2,204 views

Published on

QUNOG3(2015/10/16)

Published in: Internet
  • Be the first to comment

DNS悩み多きシステムの基礎から最新状況まで

  1. 1. DNS(Domain Name System) 悩み多きシステムの 基礎から最新状況まで 日本DNSオペレーターズグループ 代表幹事 石田慶樹 QUNOG3 2015/10/16 1Copyright(C) JPIX 2015, All Right Reserved.
  2. 2. 本日の予定 基礎とあれこれ(30分) 担当:石田慶樹 最新状況(15分) 担当:末松慶文さん@QTNet 質疑応答(15分) 2Copyright(C) JPIX 2015, All Right Reserved.
  3. 3. 自己紹介 氏名:石田慶樹(いしだよしき) 所属: 日本インターネットエクスチェンジ株式会社 経歴: 1988年 東京大学助手 1994年 九州大学講師 1998年 インターネット事業会社へ転職 2007年より現職 2006年6月~ 日本DNSオペレーターズグループ代表幹事 3Copyright(C) JPIX 2015, All Right Reserved.
  4. 4. 目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015, All Right Reserved. 4
  5. 5. DNSとは Domain Name System/ドメインネームシステム ドメイン名とIPアドレスの対応付けを行うためのメカニ ズム(の一つ) 数字の羅列ではなく人間にとって覚えやすい意味の ある文字列を利用するため 世界規模の(唯一成功した)分散管理データベース 商標やブランドに密接に関係 Copyright(C) JPIX 2015, All Right Reserved. 5
  6. 6. なぜDNSは悩み多きシステムなのか? 設計  古い  曖昧  実装依存 ソフトウェア  2つ異なる機能  明文化されていない機能の実装  追加機能による高機能化 設定  見よう見まねで何となく動く  正しく設定されなくてもなんとかなっている  コンフィグファイルとデータ(ゾーン)の区別  設定と挙動に関する誤解 Copyright(C) JPIX 2015, All Right Reserved. 6
  7. 7. 目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015, All Right Reserved. 7
  8. 8. ドメイン名とは ドメイン名 www.example.jp www.ドメイン名例.jp (www.xn--eckwd4c7cu47r2wf.jp) mail.example.com 8Copyright(C) JPIX 2015, All Right Reserved.
  9. 9. ドメイン名の構造 ツリー構造 ルート ドメイン トップ レベル ドメイン Top Level Domain TLD セカンド レベル ドメイン Second Level Domain SLD . de netjp exampleexampleドメイン名例 com co www www mailns FQDN:Fully Qualified Domain Name トップレベルドメインまでのすべてを含むドメイン名 9Copyright(C) JPIX 2015, All Right Reserved.
  10. 10. TLDの種類 gTLD(分野別トップレベルドメイン名)  750以上→最終的には1200程度  generic top-level domain  .com, .net, .xxx, .みんな, .moe ccTLD(国コードドメイン名)  301種類  country-code top-level domain  , .jp, .de, .uk, .tv, .cc, .香港, .台灣 予約済TLD  test, example, invalid, localhost, local 10Copyright(C) JPIX 2015, All Right Reserved.
  11. 11. ドメン名の管理構造 . de netjp exampleexampleドメイン名例 com co www www mailns ICANN/IANA レジストリ レジストラント レジストラ リセラー オペレータ サービス プロバイダー 11Copyright(C) JPIX 2015, All Right Reserved.
  12. 12. gTLDに関わる主要当事者 ICANN レジストリ レジストラ (リセラー) レジストラント 1TLDあたり1レジストラ リセラーを経由せずにレ ジストラントはレジストリと の直接契約もあり ドメイン名の登録者 ICANNと契約 レジストリ/レジストラ間契約 再販契約/登録取次レジストラ認定契約 ドメイン名登録 12Copyright(C) JPIX 2015, All Right Reserved.
  13. 13. 主要当事者と主要システム ICANN レジストリ レジストラ (リセラー) レジストラント レジストリ システム TLD DNS whois システム レジストラ システム DNS DNS ルートサーバ DBオペレータ DNSオペレータ DNSオペレータ このいずれかに存在 13Copyright(C) JPIX 2015, All Right Reserved.
  14. 14. DNSとは Domain Name System/ドメインネーム システム FQDNとIPアドレスの対 応付けを行うためのメ カニズム(の一つ) 数字の羅列ではなく人 間にとって覚えやすい 意味のある文字列を利 用するため 世界規模の(唯一成功 した)分散管理データ ベース . de netjp exampleexampleドメイン名例 com co www www mailns DNS DNS DNS DNS DNSDNS 14Copyright(C) JPIX 2015, All Right Reserved.
  15. 15. DNS インターネットそのものを支える基盤技術 FQDNからIPアドレスを解決するディレクトリサービ ス ツリー状の分散データベースにより実現一見うまく 動いているかに見える 実際には様々な問題点が散見される 昔の問題あるソフトウェアの利用 設定の正しくないサーバ/クライアントの存在 ミドルボックスによる意図しない妨害 プロトコル自体の問題点 脆弱性を狙った攻撃 問題解決は運用組織の自主性に任されている 15Copyright(C) JPIX 2015, All Right Reserved.
  16. 16. DNSサーバ 権威DNSサーバ DNSのドメインに関するデータを保持するサーバ DNSキャッシュサーバからの問い合わせに対して応 える キャッシュDNSサーバ クライアント端末からのDNSの問い合わせに対し てルートから順に再帰的に問い合わせをすること により解決しクライアントに答えるサーバ データを一定時間に保持(キャッシュ)することから DNSキャッシュサーバと呼ばれる 16Copyright(C) JPIX 2015, All Right Reserved.
  17. 17. DNSのサーバ 権威DNSサーバ  Authoritative Name Server  権威ネームサーバ  DNS権威サーバ  権威サーバ  コンテンツサーバ  キャッシュDNSサーバ  Full-Service Resolver, Full Resolver  Recursive Server, Recursive Name Server  キャッシュ ネームサーバ  DNSキャッシュサーバ  キャッシュサーバ  スタブ リゾルバ(Stub Resolver) 色々な呼び方がされているのが 分かりにくくしている一因 17Copyright(C) JPIX 2015, All Right Reserved.
  18. 18. DNSの構成 . jp example.jp NS ネームサーバ 問い合わせ 返答 example.jp .. jpjp root-servers 13系列 JP DNS サーバ 5系列 primary secondary NS 上位サーバ 上位サーバ PC クライアント スタブリゾルバ キャッシュDNSサーバからは Primary/Secondaryの区別はない 権威DNSネームサーバキャッシュDNSサーバ 反復的に問い合わせを行い 名前を解決する 上位から下位のサーバ を指定することを委任 (delegation)と呼ぶ 18Copyright(C) JPIX 2015, All Right Reserved.
  19. 19. 目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015, All Right Reserved. 19
  20. 20. 脅威にさらされるDNS DNSへの脅威 1. DNSサーバへの脅威 2. 保持しているデータへの脅威 3. DNSを踏み台とした脅威 脅威の原因  UDPであること(パケットの一方的送付が可能)  Source Address Spoofingが容易な接続環境  プロトコル/仕様そのものに起因する要因  不適切に設定されたDNSサーバ群  一部機器での不用意なDNSの実装 20Copyright(C) JPIX 2015, All Right Reserved.
  21. 21. 1. DNSサーバへの脅威 ソフトウェアの脆弱性  特に主流のソフトウェアであるBINDは毎年多数の重要性 の高い脆弱性が発見されている(年間5件程度)  特に夏頃に脆弱性の報告が多い(BINDの夏)  BINDは多機能で権威/キャッシュの両方に利用可能なた め利用者数が多い 解決策としては別の実装やアプライアンスの利用  権威DNSサーバ側  NSD  Knot DNS  キャッシュDNSサーバ側  UNBOUND 21Copyright(C) JPIX 2015, All Right Reserved. 「重複」!
  22. 22. 2. 保持しているデータへの脅威 ドメイン名の乗っ取り レジストリやレジストラのデータの書き換え ドメイン名登録/変更用のアカウントの乗っ取り 権威DNSサーバの乗っ取り 脆弱性を利用した権威DNSサーバの乗っ取り キャッシュDNSサーバへの毒入れ キャッシュポイズニングとも呼ばれる カミンスキー型攻撃 22Copyright(C) JPIX 2015, All Right Reserved.
  23. 23. カミンスキー型攻撃 カミンスキー氏が2008年に発表 力技による毒入れ手法 http://jprs.jp/related-info/guide/009.pdf より 23Copyright(C) JPIX 2015, All Right Reserved.
  24. 24. カミンスキー型攻撃 カミンスキー攻撃を招いた3つの脆弱性  UDPの本質的脆弱性  Source Address Spoofingが容易 ⇒BCP38  DNSの脆弱性  Query/Responseに対してのセキュリティ不在 ⇒DNSSEC  BIND等ソフトウェアもしくは設定の脆弱性  ソースポート固定  エントロピーの不足 ⇒パッチの適用 24Copyright(C) JPIX 2015, All Right Reserved.
  25. 25. カミンスキー型攻撃へのDNSでの対策 ランダム性を増加させる キャッシュDNSサーバのポートランダム化は必須 権威DNSサーバ側でも危険性を軽減する方策は 可能 本質的対策はDNSSEC DNSSECによりデータが改ざんされたことを検出 毒入れされた相手には接続できない 25Copyright(C) JPIX 2015, All Right Reserved.
  26. 26. DNSSECとは DNSSEC: DNS SECurity extensionの略 RFC4033, RFC4044, RFC4045 電子署名によりデータの内容を保証 権威DNSサーバのデータを証明書で署名することに よりキャッシュDNSサーバ側でそのコンテンツが正当 であるかの判定ができる DNSのツリー構造の中に証明書を登録することによ りDNSの中に閉じて解決が可能 但しルートの証明書についてだけは別途正当性の確 認が必要 26Copyright(C) JPIX 2015, All Right Reserved.
  27. 27. DNSSECの構造 . jp example.jp NS ネームサーバ 問い合わせ 返答 .. jpjpNS PC クライアント ゾーン データ ZSK 秘密鍵 KSK 秘密鍵ZSK 公開鍵 KSK 公開鍵 署名 ゾーン データ 署名 ZSK 公開鍵署名 署名 登 録 KSK 公開鍵と 等価情報 権威DNSネームサーバキャッシュDNSサーバ 27Copyright(C) JPIX 2015, All Right Reserved.
  28. 28. 3. DNSを踏み台とした脅威 DDoSのツールとしてDNSを利用 主としてUDPなので利用しやすい 不適切に設定されたDNSサーバが多い 不用意な実装された機器が多い 同様な例はUDPを使うNTPでも発生 最近の傾向としてDNSに着目した攻撃も多発 Webサーバの攻撃の替わりにDNSを攻撃 抜本的対策が難しい側面も 28Copyright(C) JPIX 2015, All Right Reserved.
  29. 29. DNS Reflector Attacks インターネット 攻撃者 踏み台 踏み台 クエリ クエリ 被害者 リプライ リプライ オープン リゾルバ ソースアドレスを 被害者のアドレスに偽造 オープン リゾルバ DNS コンテンツ サーバ クエリ リプライ クエリ リプライ 29Copyright(C) JPIX 2015, All Right Reserved.
  30. 30. DNS Reflector Attacksの対策 ① ソースアドレスを偽造したIPパケットの停止 ⇒ BCP38 ☆ ISPが対応 ② 設定の間違ったDNSサーバやオープンリゾルバの停止 ⇒ サーバやホームルータの設定の見直し ⇒ レンタルサーバやVPSの設定の見直し ☆ ISP, サーバ関連事業者やベンダが対応 ③ コンテンツサーバでの対策 ⇒ レスポンスが特定アドレスに集中しないような対策 ⇒ DNS Response Rate Limitingの導入 ☆ DNS提供者が対応 30Copyright(C) JPIX 2015, All Right Reserved.
  31. 31. DNS Reflector Attacks インターネット 攻撃者 踏み台 踏み台 クエリ クエリ 被害者 リプライ リプライ オープン リゾルバ ソースアドレスを 被害者のアドレスに偽造 オープン リゾルバ DNS コンテンツ サーバ クエリ リプライ クエリ ① ① ② ② ③ 31Copyright(C) JPIX 2015, All Right Reserved.
  32. 32. DNSを踏み台とした攻撃 DNS水責め攻撃 DNSのサーバへの攻撃 DNS Reflection Attackの変形 カミンスキー型攻撃との組み合わせ オープンリゾルバやbotを介した攻撃 ターゲットとされたドメイン名を使えなくするこ とが目的(?) 本質的な対処は難しい側面も 32Copyright(C) JPIX 2015, All Right Reserved.
  33. 33. DNS水責め攻撃 ① 攻撃者はソースアドレスを偽ってオープンリゾルバとなってい るホームルータやbot(「踏み台」と呼ぶ)に対して特定(攻撃 対象?)のドメイン名(「対象ドメイン名」と呼ぶ)に関して 001.example.jp 002.example.jp … といった問い合わせを行う ② 「踏み台」からはISPのキャッシュDNSサーバに対して問い合 わせを行う ③ ISPのキャッシュサーバは「対象ドメイン名」の権威DNSサーバ に問い合わせを行う ④ そのようなFQDNは存在しないのでエラーとなる ⑤ エラーとなったデータはキャッシュされない 33Copyright(C) JPIX 2015, All Right Reserved.
  34. 34. DNS水責め攻撃(続き) ⑥ ISPのキャッシュDNSサーバは大量に類似の問い合わせを受 け負荷が高まる ⑦ 「対象ドメイン名」の権威DNSサーバも大量に問い合わせを 受けて負荷が高まる ⑧ ISPも「対象ドメイン名」も機能不全に陥る 34Copyright(C) JPIX 2015, All Right Reserved.
  35. 35. DNS水責め攻撃 35 インターネット 攻撃者 BOT クエリ 対象ドメイン名オープン リゾルバ クエリ 権威 DNS サーバ キャッシュ DNS サーバ クエリ キャッシュ DNS サーバ BOT クエリ クエリ クエリ 35Copyright(C) JPIX 2015, All Right Reserved. クエリ
  36. 36. 対策 対策が困難 本質的解決 ソースアドレスのValidation オープンリゾルバ/BOTの排除 一時的な解決 対象ドメイン名に対する何らかの制御 不審な問い合わせの制御 自網外からのDNSの問い合わせの制御 いずれも リソースを要する 36Copyright(C) JPIX 2015, All Right Reserved.
  37. 37. 名前衝突の問題 「新gTLDの外部のサイトが見えない」 .corp 勝手TLD 新gTLD追加前 .com .org インターネット .jp企業やISP ネットワーク .corp 勝手TLD 新gTLD追加後 .corp 新gTLD .com .org 衝 突 インターネット .jp企業やISP ネットワーク 矢印: ドメイン名の問合せ 凡例 四角: ドメイン名 新gTLD 追加 !? 同じTLDのサイトが 存在することによって 予期せぬ問題が発生 37Copyright(C) JPIX 2015, All Right Reserved.
  38. 38. 【対策】勝手TLDは使わない ・勝手TLDは使わない server.tokyo → server.tokyo+(会社ドメイン) ・短縮名・サーチリストは使わない 問題起きてからの対策は大変 ユーザサポート・教育コスト システム変更 証明書入替え 早めにシステムを点検し対応を 38Copyright(C) JPIX 2015, All Right Reserved.
  39. 39. 目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015, All Right Reserved. 39
  40. 40. 日本DNSオペレーターズグループ (DNSOPS.JP) http://dnsops.jp/ ■名称 本会は正式名称を「日本DNSオペレーターズグループ(英文名称: DNS Operators' Group, Japan)」とし、略称を「DNSOPS.JP」とします。 ■設立趣意 ドメインネームシステム(DNS)のオペレーションを通して社会基盤としてのインターネットの安定運 用に寄与することを目的とし、「日本DNSオペレーターズグループ(DNSOPS.JP)」を設立します。 本会は、DNSのオペレーションに関し、参加者間の情報交換、共有、議論の場の提供、円滑な運 用のための情報公開、および国内外における関係各組織との連携等を行います。 ■設立背景 DNSは、インターネットにおける重要な基盤技術の一つであり、円滑なインターネットの利用のため には、安定運用が必須です。昨今のADSL・FTTHの普及や、携帯電話・PHS等のモバイル機器に よるインターネット利用環境の多様化等によりわが国におけるインターネットの利用は急速に拡大 しており、それに伴いDNSの重要性はますます高くなっています。 また、DNSは、各家庭や企業等に設置されているPCやブロードバンドルータから、ISPやインター ネットレジストリが管理運用する大規模なDNSサーバに至るまで、多種多様な要素により構成され ています。 そのため、DNS全体の安定運用を実現するためには、実際のDNSサーバのオペレータ間における 連携のみならず、ネットワークのオペレータ、各種ネットワーク機器の開発者、DNSに関する研究 者・専門家・識者等を含んだ、横断的かつ全体的な連携が必要となり、これを行う場の設立が望 まれています。 Copyright(C) JPIX 2015, All Right Reserved. 40
  41. 41. QUNOGとDNSOPS.JP Copyright(C) JPIX 2015, All Right Reserved. 41 Routing/BGP: IRS Web/TLS: PKI E-mail: JEAG, DKIM.jp DNS: DNSOPS.JP ENOG JANOG QUNOG
  42. 42. DNSOPS.JPの活動 イベント(DNS Summer Days)の開催 2012年より毎年開催 DNSに関するチュートリアル→ビデオアーカイブ ホットな話題 BoFの開催 Internet Weekの中で開催 ライトニングトークが主 今年もやります。 Copyright(C) JPIX 2015, All Right Reserved. 42
  43. 43. DNS Summer Days/Tutorial 発表者 タイトル 発表年 ジャンル 森下 泰宏 DNS入門 2012 成り立ち 滝澤 隆史 DNS再入門 2014 仕様 滝澤 隆史 DNSのRFCの歩き方 2012 山口 崇徳 DNSのシステム設計 2013 設計 高嶋 隆一 DNS設定例の紹介(オーソリティティブ) 2014 設定山口 崇徳 DNS設定例の紹介(キャッシュ) 2014 東 大亮 DNSキャッシュサーバの設定ノウハウ 2014 水野 貴史 初心者のためのDNS運用入門 2014 運用伊藤 高一 DNSのよくある間違い 2012 山口 崇徳 DNSトラブルシューティング 2012 森下 泰宏 教科書には載っていないDNS 2013 仕様(応用) Copyright(C) JPIX 2015, All Right Reserved. 43
  44. 44. DNS Summer Days/Tutorial Copyright(C) JPIX 2015, All Right Reserved. 44 DNS Summer Daysの チュートリアルの歩き方 2015年7月24日 DNS Summer Days 2015 株式会社日本レジストリサービス(JPRS) 平林有理 Copyright © 2015 株式会社日本レジストリサービス 1 2015年7月27日更新 http://dnsops.jp/event20150724.html
  45. 45. Copyright(C) JPIX 2015, All Right Reserved. 45

×