FIT.LT #1

1. 神崎蘭子とDNSSEC
2016.12.24

2. 0.自己紹介
➤ どこかの学科のB2→○○○？
➤ 神崎蘭子エバンジェリスト
➤ 進捗やばいです
➤ 遍歴：ウェブアプリ開発→Webデザイン→インフラ→機械学習(Now)

3. 1.神崎蘭子とは？
➤ 後でお話しします

4. 2.DNSとは？
➤ DNS(Domain Name Server)

5. 3.DNSの脆弱性
➤ キャッシュポイズニング
➤ DNSキャッシュサーバに偽のDNS情報をキャッシュさせて、クライアントに応答
する手口。最近ではカミンスキー型攻撃が有名。

6. 4.DNSを偽装から防ぐためには
➤ そもそも正規ではないサーバから偽装されたパケットが送信されるのを防ぎたい
➤ 正規なネームサーバからの応答かチェックする？
➤ パケットの内容が偽装されていないかチェックする？
➤ 問い合わせレコードは存在するかどうか？
➤ 問い合わせポートをランダムにする？
➤ 適切なアクセス制御を行う？
➤ そうだ、DNSSECだ！

7. 5.DNSSECとは？
➤ DNSSEC(DNS Security Extensions)
➤ 応答を受け取ったサーバーが、その情報が本当に正しいものかを確かめて、情報
の信頼性を向上させる仕組み
➤ 暗号化技術として「公開鍵暗号」「メッセージダイジェスト」「電子署名」が使
われている

8. 6.DNSSECのプロセス
➤ 対象ゾーン内のリソースレコードを、秘密鍵で署名した電子署名を作成し、対応す
る公開鍵を公開する
➤ このゾーンに対してDNSキャッシュサーバから問い合わせがあった場合、権威ネー
ムサーバは電子署名付きの応答を返す
➤ DNSキャッシュサーバが、この電子署名付きの応答をゾーン管理者による公開鍵で
復号できた場合には、そのメッセージは確かに該当ゾーンの管理者が作成したもの
で、かつ改ざんもされていないことが確認できる

9. 7.DNSSECのリソースレコード
➤ DNSKEY
➤ ゾーンを署名する秘密鍵に対応する公開鍵。キャッシュサーバが確認するところ。
➤ RRSIG
➤ レコードの電子署名。通常はここを見て、正規の権威NSの応答かを判別する
➤ DS
➤ DNSKEYのハッシュ値
➤ NSEC/NSEC3
➤ 存在しないゾーンに問い合わせがあったとき、権威NSが応答をするときに署名す
るレコード

10. 8.DIGコマンドを使った確認方法
$ dig 神崎蘭子.jp +dnssec
; <<>> DiG 9.8.3-P1 <<>> 神崎蘭子.jp +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44082
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;神崎蘭子.jp. IN A
;; ANSWER SECTION:
神崎蘭子.jp. 272 IN A 104.24.124.53
神崎蘭子.jp. 272 IN A 104.24.125.53
神崎蘭子.jp. 272 IN RRSIG A 13 2 300 20161225040412 20161223020412 35273 神崎蘭子.jp.
wsaPE+5KN9rGvZPD5i02G1FdQVLO/JcPQVMM2b1IPiPk4hEtL6I7PMND cyR80zQdqDDsvWftWodGyAJfzDSNyw==
;; AUTHORITY SECTION:
神崎蘭子.jp. 86372 IN NS david.ns.cloudflare.com.
神崎蘭子.jp. 86372 IN NS jamie.ns.cloudflare.com.
;; ADDITIONAL SECTION:
david.ns.cloudflare.com. 718 IN A 173.245.59.152
david.ns.cloudflare.com. 718 IN RRSIG A 13 4 86400 20161224041638 20161222021638 35273 cloudflare.com.
Si8JUimm0HR58JQGXk8JTHWXiRHHmTmP7RZpIW2fY7jBgl81HzXxSd+3 U+DhQjKusE/VgMf94UqXvoU1fWRGgQ==
;; Query time: 38 msec
;; SERVER: *****#53(*****)
;; WHEN: Sat Dec 24 12:04:40 2016
Windowsの場合はPowershellか
ら
Get-DnsServerTrustAnchor -
Name 神崎蘭子.jp

11. 9.DNSSECの課題点
➤ パケットサイズが増加してしまう
➤ 電子署名が加わるため、従来と比べパケットサイズが増加してしまい、UDPの許
容範囲である512バイトを超えてしまう恐れがある
➤ サーバー負荷の増大
➤ 検証作業を行う必要があるため、権威ネームサーバーとキャッシュサーバーの負
荷が上がる。
➤ 時刻同期
➤ DNSSECでは署名された時刻を元に検証を行うため、時刻がずれていると正しく
検証ができない恐れがある

12. 10.DNSSECの対応状況
➤ ドメイン
➤ 多くのccTLDにおいては対応済み。しかし、逆引きDNSに関してはまだ対応が遅
れている。
➤ ネームサーバー
➤ BINDやdnsmasqなどの主要ソフトウェアは対応済み。しかし、設定が複雑なので
一般ユーザーにはまだ浸透していない
➤ 主要DNSホスティングであるAWS Route 53やGehirnではまだ対応を検討中
➤ CDN大手のCloudFlareやAkamaiなどでは対応済み

13. まとめ
➤ DNSSECはキャッシュポイズミング対策には有効であるが、設定が複雑なので保守
管理が大変そう
➤ DNSサーバーの負荷が上がるので、オンプレミスで構築しているところは厳しそう
➤ 神崎蘭子.jpはDNSSEC対応だよ！

14. 闇に飲まれよ！