Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

神崎蘭子とDNSSEC

1,034 views

Published on

FIT.LT #1

Published in: Engineering
  • Be the first to comment

神崎蘭子とDNSSEC

  1. 1. 神崎蘭子とDNSSEC 2016.12.24
  2. 2. 0.自己紹介 ➤ どこかの学科のB2→○○○? ➤ 神崎蘭子エバンジェリスト ➤ 進捗やばいです ➤ 遍歴:ウェブアプリ開発→Webデザイン→インフラ→機械学習(Now)
  3. 3. 1.神崎蘭子とは? ➤ 後でお話しします
  4. 4. 2.DNSとは? ➤ DNS(Domain Name Server)
  5. 5. 3.DNSの脆弱性 ➤ キャッシュポイズニング ➤ DNSキャッシュサーバに偽のDNS情報をキャッシュさせて、クライアントに応答 する手口。最近ではカミンスキー型攻撃が有名。
  6. 6. 4.DNSを偽装から防ぐためには ➤ そもそも正規ではないサーバから偽装されたパケットが送信されるのを防ぎたい ➤ 正規なネームサーバからの応答かチェックする? ➤ パケットの内容が偽装されていないかチェックする? ➤ 問い合わせレコードは存在するかどうか? ➤ 問い合わせポートをランダムにする? ➤ 適切なアクセス制御を行う? ➤ そうだ、DNSSECだ!
  7. 7. 5.DNSSECとは? ➤ DNSSEC(DNS Security Extensions) ➤ 応答を受け取ったサーバーが、その情報が本当に正しいものかを確かめて、情報 の信頼性を向上させる仕組み ➤ 暗号化技術として「公開鍵暗号」「メッセージダイジェスト」「電子署名」が使 われている
  8. 8. 6.DNSSECのプロセス ➤ 対象ゾーン内のリソースレコードを、秘密鍵で署名した電子署名を作成し、対応す る公開鍵を公開する ➤ このゾーンに対してDNSキャッシュサーバから問い合わせがあった場合、権威ネー ムサーバは電子署名付きの応答を返す ➤ DNSキャッシュサーバが、この電子署名付きの応答をゾーン管理者による公開鍵で 復号できた場合には、そのメッセージは確かに該当ゾーンの管理者が作成したもの で、かつ改ざんもされていないことが確認できる
  9. 9. 7.DNSSECのリソースレコード ➤ DNSKEY ➤ ゾーンを署名する秘密鍵に対応する公開鍵。キャッシュサーバが確認するところ。 ➤ RRSIG ➤ レコードの電子署名。通常はここを見て、正規の権威NSの応答かを判別する ➤ DS ➤ DNSKEYのハッシュ値 ➤ NSEC/NSEC3 ➤ 存在しないゾーンに問い合わせがあったとき、権威NSが応答をするときに署名す るレコード
  10. 10. 8.DIGコマンドを使った確認方法 $ dig 神崎蘭子.jp +dnssec ; <<>> DiG 9.8.3-P1 <<>> 神崎蘭子.jp +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44082 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;神崎蘭子.jp. IN A ;; ANSWER SECTION: 神崎蘭子.jp. 272 IN A 104.24.124.53 神崎蘭子.jp. 272 IN A 104.24.125.53 神崎蘭子.jp. 272 IN RRSIG A 13 2 300 20161225040412 20161223020412 35273 神崎蘭子.jp. wsaPE+5KN9rGvZPD5i02G1FdQVLO/JcPQVMM2b1IPiPk4hEtL6I7PMND cyR80zQdqDDsvWftWodGyAJfzDSNyw== ;; AUTHORITY SECTION: 神崎蘭子.jp. 86372 IN NS david.ns.cloudflare.com. 神崎蘭子.jp. 86372 IN NS jamie.ns.cloudflare.com. ;; ADDITIONAL SECTION: david.ns.cloudflare.com. 718 IN A 173.245.59.152 david.ns.cloudflare.com. 718 IN RRSIG A 13 4 86400 20161224041638 20161222021638 35273 cloudflare.com. Si8JUimm0HR58JQGXk8JTHWXiRHHmTmP7RZpIW2fY7jBgl81HzXxSd+3 U+DhQjKusE/VgMf94UqXvoU1fWRGgQ== ;; Query time: 38 msec ;; SERVER: *****#53(*****) ;; WHEN: Sat Dec 24 12:04:40 2016 Windowsの場合はPowershellか ら Get-DnsServerTrustAnchor - Name 神崎蘭子.jp
  11. 11. 9.DNSSECの課題点 ➤ パケットサイズが増加してしまう ➤ 電子署名が加わるため、従来と比べパケットサイズが増加してしまい、UDPの許 容範囲である512バイトを超えてしまう恐れがある ➤ サーバー負荷の増大 ➤ 検証作業を行う必要があるため、権威ネームサーバーとキャッシュサーバーの負 荷が上がる。 ➤ 時刻同期 ➤ DNSSECでは署名された時刻を元に検証を行うため、時刻がずれていると正しく 検証ができない恐れがある
  12. 12. 10.DNSSECの対応状況 ➤ ドメイン ➤ 多くのccTLDにおいては対応済み。しかし、逆引きDNSに関してはまだ対応が遅 れている。 ➤ ネームサーバー ➤ BINDやdnsmasqなどの主要ソフトウェアは対応済み。しかし、設定が複雑なので 一般ユーザーにはまだ浸透していない ➤ 主要DNSホスティングであるAWS Route 53やGehirnではまだ対応を検討中 ➤ CDN大手のCloudFlareやAkamaiなどでは対応済み
  13. 13. まとめ ➤ DNSSECはキャッシュポイズミング対策には有効であるが、設定が複雑なので保守 管理が大変そう ➤ DNSサーバーの負荷が上がるので、オンプレミスで構築しているところは厳しそう ➤ 神崎蘭子.jpはDNSSEC対応だよ!
  14. 14. 闇に飲まれよ!

×