Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

続・広く知ってほしいDNSのこと

4,251 views

Published on

ssmjp20180524でお話した内容です。

Published in: Technology
  • Be the first to comment

続・広く知ってほしいDNSのこと

  1. 1. ssmjp20180524 続・広く知ってほしいDNSのこと ~DNSの運用をちょっとよくしていく話~ 2018年05月24日 日本DNSオペレーターズグループ 中島 智広
  2. 2. 1 はじめに - 前回のお礼 - 6,000+ Views ホットエントリ入り ssmjp効果スゴい! リーチアウト活動の有効性を再認識 https://www.slideshare.net/nakatomoorg/ssmjpdnssecurity
  3. 3. 2 主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
  4. 4. 3 以下のキーワードを理解し、区別できるようになる ▪ 【おさらい】スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ 【New!】レジストリ、レジストラ、レジストラント、WHOIS ドメインやその情報を管理・保護するための仕組みを理解する ▪ レジストリロック、レジストラロック ▪ コントロールパネルの多要素認証など DNS運用に関する今どきのトピックを知る ▪ 自前運用からの脱却、ダイバーシティ ▪ MyEtherWallet.com(MEW) 仮想通貨盗難事件 ▪ DNSブロッキング 本日のゴール DNSやドメインにまつわるちょっと耳よりな話を通じて • みなさんのシステムの運用品質がちょっとよくなる、トラブルを未然に防止できる • DNSやDNS Summer Day 2018に興味を持ってくれる人がちょっとでも増える
  5. 5. 4 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) メール送受信時のパラノイドチェック(正引きと逆引きの一致) 【おさらい】DNSとは example.jp A ? example.jp. A is 203.0.113.1 DNSサーバ群
  6. 6. 5 .(root)を起点としインターネット全体に広がる分散データベース フルリゾルバが.(root)から再帰探索を行い情報を取得(=名前解決) 情報は(スタブ|フル)リゾルバで一定期間保持され再利用、効率化 低負荷、高レスポンス性を実現するため原則UDPで通信 【おさらい】DNSのメカニズム . jp. example.jp. example.jp. A ? フルリゾルバ ↑覚えよう! (キャッシュDNSサーバ) ネームサーバ ↑覚えよう! (権威DNSサーバ) example.jp. A ? スタブリゾルバ ↑覚えよう! (クライアント) example.jp. A is 203.0.113.1 example.jp. NS is・・・ Root Top Level Domain 2nd Level Domain
  7. 7. 6 ネームサーバ ゾーン情報を保持、管理、公開するためのサーバ。日本では Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。 フルリゾルバ ネームサーバで公開されている情報を、ルートからたどって参照 (再帰探索、再帰問い合わせ)する機能を持つリゾルバ(=名前解決 するもの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば れる。日本ではキャッシュDNSサーバとも呼ばれる。 ネットワーク接続時にDHCPでOSに自動設定されるDNSはこちら スタブリゾルバ 再帰問い合わせ機能を持たないリゾルバ。単に名前解決をしたい だけの機器やOSに組み込まれる。 【おさらい】ネームサーバ、フルリゾルバ、スタブリゾルバ ゾーン情報の公開 再帰問い合わせ キャッシュ キャッシュ 3つを区別することが、DNSを的確に理解するために重要
  8. 8. 7 ドメインを登録し利用するためには.comや.jpなどのTLD:Top Level Domainの ネームサーバを管理する登録管理機関(レジストリ)へ情報伝達が必要となる 登録者(レジストラント)からは登録取次事業者(レジストラ)を通じて行う ドメイン登録管理のメカニズム システム連携 レジストリ DB レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 TLD ネームサーバ 同期 3つを区別することが、ドメインを的確に理解するために重要 主にWeb EPP(※)など ※Extensible Provisioning Protocol WHOIS .com .org .jp …etc
  9. 9. 8 ドメインの各情報を記載した誰でも参照可能なデータベース 登録者情報 ネームサーバ情報 ドメインの状態 など なぜ? なにかしらの問題、悪用が生じた際の、 コンタクト先(PoC:Point of Contact)情報 として重要 登録情報を書き換えることでドメイン そのものを乗っ取ることが可能 ▪ ネームサーバ変更 ▪ 登録者変更、削除 など WHOIS 情報を適切に維持することが重要 かつ要求されている WHOISの例 http://whois.jprs.jp/?key=dnsops.jp
  10. 10. 9 【おさらい】日経新聞、はてなドメイン名ハイジャック事件 http://www.itmedia.co.jp/news/article s/1411/06/news123.html 国内事業者のネームサーバ情報が第三者により書き換えられた
  11. 11. 10 はて、なんでそんなことできちゃうの? システム連携 レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 このご時世、ID/PWDのみによる認証はもうとっくに限界よ! 主にWeb EPP(※)など ※Extensible Provisioning Protocol 各種攻撃への対策 は十分ですか? 脆弱なID/PWD設定 していませんか? マルウェア 感染してませんか? レジストリ DB TLD ネームサーバ 同期 WHOIS .com .org .jp …etc
  12. 12. 11 一部のレジストリやレジストラが提供 している機能を上手く使う レジストリロック ▪ 主にWHOISの登録情報変更を 制限する機能 ▪ レジストリが提供 レジストラロック ▪ 主にドメインの移転や削除を 制限する機能 ▪ レジストラが提供 レジストラ各社コントロールパネルの の認証機能強化とその利用 ▪ 多要素認証など ドメインハイジャックへの対策 レジストリロックの例 【引用元】https://jprs.jp/about/dom-rule/registry-lock/ まだまだぜんぜん利活用が不十分
  13. 13. 12 知っておきたいドメインの状態 通常状態 利用可 Active, Connected, okなど レジストリにより なにかしらの制限がかけられた状態 利用可 serverUpdateProhibitedなど 利用不可 serverHold (Expired) など レジストラにより なにかしらの制限がかけられた状態 利用可 clientTransferProhibited, clientDelete Prohibitedなど 利用不可 clientHoldなど EPP:Extensible Provisioning Protocolのステータスコードがベース 【参考】http://www.icann.org/epp レジストリロック ドメイン有効期限切れ レジストラロック 次頁へ登録情報不備など
  14. 14. 13 「Status: ClientHold」の恐怖 (顧客)朝からWebサイトも見られない、メールもつ かえない、どうなってるんだ?早くなんとかしてく れ! WHOISは適切に登録、レジストラからの通知を見落とさないように! (レジストラ)情報認証手続き(メールアドレスの所有 確認)を行っていないため、一時的に利用を制限し ました。 (システム担当者)名前解決ができない、でもDNSに 異常はない。WHOIS調べるとStatus:ClientHoldに なってる。これ何だ? 【参考】https://help.onamae.com/app/answers/detail/a_id/15333/ 制限された例
  15. 15. 14 ネガティブキャッシュ、知ってますか? 「Status: ClientHold」の恐怖(続き) jp. 900 IN SOA z.dns.jp. root.dns.jp. ( 1526998502 ;serial 3600 ;refresh 900 ;retry 1814400 ;expire 900 ;minimum ) com. 900 IN SOA a.gtld-servers.net. (snip)( 1526999411 ;serial 1800 ;refresh 900 ;retry 604800 ;expire 86400 ;minimum ) ドメインによっては完全復旧に24時間以上を要する DNSにおけるキャッシュ機能には大きく分けて、以下の2種類があります。 1)通常のキャッシュ その名前が「存在すること」をキャッシュします。 キャッシュ保持期間はDNS各レコ ードのTTL(Time To Live)値として指定します。 2)ネガティブキャッシュその名前が「存在しないこと」をキャッシュします。 ネガティブキャッシュ保持期 間はSOAのminimum値として指定します。 JP ccTLD (†) gTLD (‡) 【引用元】 https://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf † country code TLD : 国別トップレベルドメイン ‡ generic TLD : 汎用トップレベルドメイン
  16. 16. 15 【FACT】DNS運用には苦労が多い 要脆弱性対応、要高可用性対策 人がいない etc… 【今どきトピック】自前運用からの脱却、ダイバーシティ 【引用元】 https://dnsops.jp/event/20160624/h28_kumam oto_earthquake.pdf みなさんの現場はいかがでしょう? そもそも自前で運用する必要、 本当にありますか? 【引用元】 https://www.slideshare.net/ryuichitakashima3/d ns-20171130-dnsopsjp-bof
  17. 17. 16 概要 「経路ハイジャック」と「不正なDNS 応答」の合わせ技で、ユーザを不正 なサーバへ誘導し、フィッシングに よって仮想通貨が窃取された 被害を防ぐために必要だったもの 【今どきトピック】MyEtherWallet.com(MEW) 仮想通貨盗難事件 合わせ技の本攻撃を100%防ぐには両技術ともに普及が必要だが、 どちらか片方だけでも攻撃成功の難易度は格段に高まる 【引用元】https://security.srad.jp/story/18/04/27/0649209/ 悪意のある第三者による不正な経路広報 を防ぐため、電子証明書を利用し広報元 を認証する仕組み RPKI 電子署名により、「正規のDNS応答」と「悪意 のある第三者による不正なDNS応答」を区 別する仕組み DNSSEC 社会インフラとして安全安心なインターネットにDNSSECは必要
  18. 18. 17 【今どきトピック】 DNSブロッキング 従前のコンセンサスがいつの間にか一方的に覆されてしまい、 その影響や制約を受け続けることは技術者として間違いなく不幸 もちろんDNS Summer Day 2018でも取りあげます 今からでも遅くないので、関心を持ち積極的に関与していきましょう! まずは知るところから!
  19. 19. 18 【今どきトピック】 DNSブロッキング(参考) 【引用元】http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00469/【引用元】http://www.itmedia.co.jp/news/articles/1804/19/news082.html
  20. 20. 19 【再掲】主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
  21. 21. 20 まとめ DNSは誰もが常に利用している重要インフラでありながらも、あまり意識されることの ない空気のようなもの。一方、ひとたびその運用に問題が発生すると、影響が広範囲 になってしまいがち。もう少しDNSへの理解や関心を高めることで、みなさんのDNS の運用品質が高まります。DNS Summer Day 2018 へのご参加お待ちしています。 スタブリゾルバ フルリゾルバ ネームサーバ レジストラント レジストラ レジストリ WHOIS コントロールパネル の多要素認証 レジストラロック レジストリロック 仮想通貨盗難事件 DNSSEC RPKI DNSブロッキング自前運用からの脱却 ダイバーシティ <本日のキーワード>

×