「#ssmjp 2019/04 DNSの話を聞く会」に参加した
概要
2019年4月23日(火)@IIJ飯田橋で開催された #ssmjp のDNSの話を聞く会の感想です。
会のスケジュール
時間 | 登壇者 | 内容 |
---|---|---|
19:30-19:40 | @tigerszk | 前枠/会場諸注意 |
19:40-20:00 | @sischkgさん | 「BINDのメモリリークとRoot KSK Rollover」 |
20:00-20:20 | @fj_twtさん | 「DNS BOM-BA-YE!! 〜DNS[をで]止め(ろ|るな)!〜」 |
20:20-20:25 | DNS Summer Dayのおしらせ | |
20:25-20:35 | 休憩 | |
20:35-21:35 | @tss_ontapさん | 「黒塗りの DNS (萎縮編)」 |
「BINDのメモリリークとRoot KSK Rollover」
資料:
概要:
- BINDのメモリリーク
- Root KSK Rollover
- Root Zone のKSK(=Trust Anchor)を新しいものに変更する作業
- Validator(フルリゾルバ)に、対応する新しいTrust Anchor(=KSK)を設定する必要がある
- Signaling Trust Anchor Knowledge
- RFC8145 Signaling Trust Anchor Knowledge in DNS Security Extensions (DNSSEC)
- 新しいTrust AnchorをValidatorへ設定したか調査するために導入
- Validatorが使用しているTrust AnchorのKey Tagを送信
- その際、複数のKey Tagを含むクエリを送信する(→ 前述の脆弱性)
- 新しいValidatorのみ実装のため、全てを観測できない(参考にならなかった)
- 次回のRoot KSK Rollover時には役立つかも(個人の感想)
感想:
- 次回は「RFC5011: Automated Updates of DNS Security (DNSSEC) Trust
Anchors “DNSSEC トラストアンカーの自動更新”」が全て実装されてて欲しいと思った。
「DNS BOM-BA-YE!! 〜DNS[をで]止め(ろ|るな)!〜」
資料:
概要:
- DNSを止めるな!
- DNSの停止==電気通信事故(電気通信事業法)
- 2時間以上かつ3万人以上の被害が、重大事故
- BINDの脆弱性が出るタイミング予測する試み
- 「特定ディレクトリ」(private)のタイムスタンプ更新 -> 5日後にリリース
- ん!? private/ が 2019-04-17 20:27 に更新
- ShodanでBINDのバージョンを調査 9.11.6-P1 を発見
- 今週中に新しいバージョンが出そう
- DNSで止めるな!
- DNSで止める!
- 児童ポルノブロッキング -> 緊急避難に当たる
- 「民間の自主的な取り組み」として実施
- 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の上で実施
- マルウェアフィルタリング -> 利用者の同意を得て実施
- DNSを止めろ!
- OP58B(Outbound Port 53 Blocking)
- NIST SP800-81-2 では、企業のファイアウォールで制限することを考慮すべきとある
補足:
- 予言通り新しいBINDがリリースされました
感想:
- BINDのリリースを予測するやり方は面白い。ただ、これが広まると cron.dailyで、privateの更新日を毎日変えられそう。
「DNS Summer Dayのおしらせ」
名称 |
|
主催 |
|
日時 |
2019年6月28日 (金) 10:00-18:00(予定) |
会場 |
フクラシア東京ステーション 5階 会議室H 〒100-0004 東京都千代田区大手町2-6-1 朝日生命大手町ビル5F |
協賛 |
ご興味のある方は、事務局(sec@dnsops.jp)までご連絡ください。 |
参加費 |
無料 |
参加申込 |
必要ありません。直接会場にお越しください。 |
https://dnsops.jp/event20190628.html
「黒塗りのDNS(萎縮編)」
資料:
概要:
- m.chukyo-u.ac.jp が、中華料理屋のサイトに変わっている!
- 原因:m.chukyo-u.ac.jpとして利用していたレンタルサーバの契約を終了したが、Aレコードの設定を削除し忘れていた。レンタルサーバの運営者が別契約者にm.chukyo-u.ac.jpで使用していたIPアドレスを再度割り振ったため(乗っ取りではない)
- 契約を解除した後もリソースレコードを設定したままにしてはならない
- 放置されたCNAMEの先も狙われている!
- ■■■■.CO.JP 事件
- NSに廃止済みの e-ontap.com のホストが指定されている
- 3990円で登録
- e-ontap.com の昔のWebページには、「Reduce the IT operation risk to your Internet business.」と書いてあった!
- 詳しい経緯は e-ontap.com へどうぞ
- レジストリ側だけ修正していた(これだけでは不十分)、権威DNSサーバ側の修正が必要
- 共用サーバでの lame delegation 乗っ取り(まとめ)
- 誰でもゾーンが作成できる共用権威サーバが危ない
- ドメイン名の権利確認がないと危ない(初期運用のドメイン名はどうするのか?)
- ゾーン作成前に委任すると危ない
- 委任のキャッシュがどこかに残っているうちにゾーンを削除すると危ない
- 移管したとたんゾーンが消えるサービスは危ない
- ずっと消さないのもトラブルの元
- 親子同居は委任がなくても危ない
- example.jpのゾーンがなく www.example.jp だけあって偽親が作られる可能性もある(サービスのUIと説明に問題があるのでは?)
- 借りた任意のサブドメイン名を返すのも危ない
- CNAMEを向けられていることはサービス運営者にはなかなかわからない
- そもそもの話、他人のドメイン名を借りること自体が色々危ない
- さらにいうと中古ドメイン名は危ない(中古を使うのの中古にするのも)
- 共用レンタルサーバでのメールの窃盗/盗聴の要点
感想:
- 共用サーバでの lame delegation 乗っ取り
- 私が利用していたDOZENSやGoogle Cloud DNSではドメイン名の権利確認をしているので、権利確認しないサービスがたくさん存在することに驚いた!
- ただ、上記のDOZENSやGoogle Cloud DNSの権利確認は、「現在の権威DNSサーバに指定のDNAMEにTXTレコードに指定のランダム文字列を記載させる」方法だった。(他の方法もあったけど使っていない)
- ドメイン名登録直後でも簡単にドメイン名(DNSサーバ)を利用するためにも、ドメイン名の登録は登録者だけが利用できるDNSホスティングサービスがあるところがいいだろう
- ただし、NSレコードを任意の値に設定できないサービスやレジストラを移転すると利用できなくなる場合は、レジストラ以外のDNSホスティングサービスを利用するべきでしょう
- 共用レンタルサーバでのメール窃盗について