DNSキャッシュサーバ
3.5 危険な DNS 設定とは :
ネットワークの実際と設定の不一致
•
ネットワークの実体が正式な状態とずれる要因
–
管理業者の移転やサーバ設定の更新時の 設定変更忘れ
dns.jp root-servers.net
example.jp
の登録・ns.exmaple.jp
・ns2.example.jp
設定変更忘れ
–
ミススペルなどの設定ミス
(example.jp
→ exmaple.jp)
ns.exam ple.net
ns2.exa mple.net ns.exma
ple.net
あるはずの無いサーバが正式なサーバに
LAME Delegation
と呼ばれる良くない状態となるLAME delegation 状態
• LAME delegation とは、正式な DNS サーバ (Authority) として登録されたサーバがおかし い状態
1.
そもそもDNS
サーバとして応答しない1. DNS
サーバがあるのに応答しない
/
サーバがそもそも無い2.
正式なサーバではないと返答Non-authoritative answer
が返ってくる3.
複数のコンテンツサーバの応答が一致しない問いあわせるサーバにより返答が違う
ドメイン情報ハイジャックの可能性
•
手つかずのドメインや失効し たドメインを取得し、不正なDNS
サーバを立てられてしま う•
内部でDNS
サーバを 共用していると、dns.jp root-servers.net
example.jp
の登録・ns.exmaple.jp
・ns2.example.jp
共用していると、
内部サーバで名前 解決されるので
被害に気がつきにくい
ns.exam ple.net
ns2.exa mple.net ns.exma
ple.net
第三者が
EXMAPLE.NET ドメインを取得すると
正式なDNS
サーバを勝手に立てられてしまう不正なDNSサーバを立てられると
• ウェブサイトへのアクセスを誘導できる
•
フィッシング詐欺や認証情報の取得など• メールの宛先をそのままに誘導できる
• メールアドレスがあれば、正式な SSL 証明書
• メールアドレスがあれば、正式な SSL 証明書 を取得できる可能性がある
• ただし、全部のトラフィックを誘導できるわけ
ではない。ネットワーク構成やソフトウェアの
3.6 LAME delegation の対策
• 今から取れる保険的対策
•
組織の正しいDNS
サーバを調査する–
ネットワーク上の現物調査ではなく、ネットワーク構成上そう あるべき正しいサーバを調査する。–
自社のDNS
サーバだけではなく、委託先のDNS
サーバがあ れば、それも調査をおすすめします。• DNS
レジストリへの登録や、DNS
サーバの設定が 違っていたら、正しい状態に修正する– DNS
レジストリの修正は、一般にドメイン名登録業者(
レジス トラ)
に依頼することとなります–
ウェブでのインタフェースが用意されている事も–
コンテンツサーバが複数ある場合は、同じドメイン名に関す正式な DNS サーバの調査方法 (1)
手順を踏んで調べる方法
•
自組織が運用している、本来そうあるべき正式なDNS
サー バの一覧を調べる• whois
で、レジストリに登録されている正式なDNS
サーバの 一覧を調べる一覧を調べる
• whois
の結果返されたDNS
サーバに、IP
アドレスでnslookup
をし、NS
レコードを調べる•
以下、全てのNS
に指定されているサーバについてたどっ ていき、本来そうあるべき一覧と違わなければOK
正式な DNS サーバの調査方法 (2)
簡易的に外部サイトを利用して調べる方法
DNS Bajaj ( http://www.zonecut.net/dns/ )
根本的解決
• 2 種類のDNSサーバを機能ごとに分けて 構築する
–
アクセス制限の対象や設定が全く違うコンテンツサーバ キャッシュサーバ
目的 自分のドメイン情報の管理 要求に応じたDNSの検索
アクセス元 基本的に外部 組織内部
アクセスする主体 キャッシュサーバ 一般のコンピュータ
上位ドメインへの登録 ○必要
/Authoritative
×不要/Non-authoritative
DNS
サーバによるアクセス制限の違いに注意
ドキュメント内
Copyright
(ページ 89-97)