第17回セキュリティさくらのLT枠で発表しました。

1. セキュリティさくら
Æ

2. 2
今日のテーマ
『DNSサーバの運用を考える』

3. 3
DNSサーバ
●
ドメイン名とIPアドレスの対応付けを行う
– 結構歴史が古い、重要なインフラ

4. 4
DNSサーバ
●
ドメイン名の情報を分散して管理
ル ー ト ド メ イ ン
<ICANN>
ト ッ プ レ ベ ル ド メ イ ン(TLD)
<レ ジ ス ト リ>
セ カ ン ド レ ベ ル ド メ イ ン(SLD)
<個 人 お よ び 組 織>
以 下 サ ー ド 、 フ ォ ー ス …

5. 5
DNSサーバ
●
ドメイン名の情報を分散して管理
ル ー ト ド メ イ ン
<ICANN>
ト ッ プ レ ベ ル ド メ イ ン(TLD)
<レ ジ ス ト リ>
セ カ ン ド レ ベ ル ド メ イ ン(SLD)
<個 人 お よ び 組 織>
以 下 サ ー ド 、 フ ォ ー ス …

6. 6
運用の例
●
例)Webサーバを公開する
1. ドメインを取得する
2. WebサーバとDNSサーバを
用意する
3. DNSサーバのIPアドレスとド
メインの対応関係を上位DNS
サーバに登録する
4. DNSサーバにWebサーバのIP
アドレスとドメインの対応関係
を登録する
abc.com
XXX.XXX.XXX.XXX
⇅
abc.com
YYY.YYY.YYY.YYY
⇅
server.abc.com

7. 7
運用の例
●
構成図

8. 8
運用方針
●
自身で運用
– 詳細な設定が可能
– 設定が大変
– マシンパワーが必要
– リスクが大きい
●
ホスティングサービスを利用
– 高稼働率
– 高負荷対策
– セキュリティ対策
– 詳細な設定が出来ない
→DNSのセキュリティ事情が知りたい
月額1,000円 / 20レコード
1ドメイン 月額1,000円
月額2,800円
正引き 月額 2,000円 / 1ゾーン
逆引き 月額 1,000円 / 1ゾーン

9. 9
DNSのセキュリティ
●
想定される攻撃
– DNSゾーン転送要求
●
アクセス制限不備により外部からDNSサーバ内の登録情報
を取得される
– DNSキャッシュポイズニング
●
DNSサーバのキャッシュ情報を外部から書き換え、ユーザ
を別のサイトに誘導する
– DNSリフレクション
●
送信元IPを偽装し、標的ホストにDNSサーバより大量の
返答パケットを送りつけさせる
– DNS水責め攻撃
●
管理するドメインについて激しく問合せを繰り返す

10. 10
DNSのセキュリティ
●
想定される攻撃により生じるリスク
– DNSゾーン転送要求
●
ネットワーク構成などを把握されてしまう。
(攻撃の下調べなど)
– DNSキャッシュポイズニング
●
ユーザが偽サイトを利用することであらゆる苦しみを受け
る。
– DNSリフレクション
●
攻撃の踏み台にされてしまう。
– DNS水責め攻撃
●
DNSサーバが死ぬ。（サービス不能などを引き起こす）

11. 11
DNSのセキュリティ
●
攻撃の多くがDNSの仕組みを悪用したもの
●
通常の通信と見分けにくい
– DNSサーバは攻撃者にとって恰好の獲物

12. 12
DNSのセキュリティ
DDoS攻撃ベクトル上位3つ (2016年第4四半期調べ)
1st UDPフラグメンテーション (27%)
2nd DNS (21%)
3rd NTP (15%)
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-
internet/q4-2016-state-of-the-internet-security-executive-
summary.pdf
※攻撃ベクトル：攻撃手法のようなものです。

13. 13
取るべき対策
●
古いDNSサーバが標的となっていることが多い
– 不必要なDNSサーバは公開をやめる
– 常に最新のバージョンのソフトウェアを使用する
●
具体的な対応策
– DNSSECなどを導入する
– ログ収集・解析を頑張る
– アクセスコントロールを徹底する
●
セキュリティ商品を使う
– それもうホスティングサービス使った方がいいよね？
– あまり存在しない

14. 14
まとめ
●
DNSサーバへの攻撃は通常の通信と見分けがつきにくいため
対処が難しい。
●
DNSサーバを運用するためにはリスクを把握した上で常に最
新の情報に目を向けておく必要がある。
●
そもそも外部に委託した方が良いのでは。（私見）