広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

ssmjp20171031

広く知ってほしいDNSのこと～とあるセキュリティ屋から見たDNS受難の10年間～

2017年10月31日

NRIセキュアテクノロジーズ株式会社日本DNSオペレーターズグループInternet Week 2017 プログラム委員会

中島智広

Copyright（C） NRI SecureTechnologies, Ltd. All rights reserved. 1

本日のゴール

参加者全員が以下のキーワードの区別が付くようになる

▪ スタブリゾルバ、フルリゾルバ、ネームサーバ

▪ レジストラ、レジストリ

「DNSの脅威」を正しく知り、正しく怖がる

「DNSの浸透問題」が都市伝説であることを知る

技術者としてDNSを正しく理解し、備えるモチベーションを得る

社会人一年目からDNSに携わり気づけば10年。その間、本当にいろいろなことがありました。教科書に載っていないDNSのいろいろ、その一部をお話しします。

はじめに

結果


ネットワーク上で名前解決を行うためのプロトコルでありネットワークを通じて提供されるあらゆるサービスが依存

WWW, メール, VoIP, etc・・・

DNSの情報に依存する仕組みも多い

SSL証明書

送信ドメイン認証(SPF/DKIM)

パラノイドチェック(正引きと逆引きの一致)

DNSとは

example.jp A ?

example.jp. A is 124.146.181.148

DNSサーバ群


フルリゾルバが代理で.(root)から再帰的に名前解決

名前解決の結果はキャッシュDNSサーバで保持され再利用

低負荷、高レスポンス性を実現するため原則UDPで通信

DNSのメカニズム

.(root)

jp.

example.jp.

example.jp. A ?

キャッシュDNSサーバ(フルリゾルバ)

↑覚えよう！

権威DNSサーバ(ネームサーバ)

↑覚えよう！

example.jp. A ?

クライアント(スタブリゾルバ)

↑覚えよう！

example.jp. A is

124.146.181.148

example.jp.

NS is・・・


ネームサーバ

ゾーン情報を保持、管理、公開するためのサーバ。日本ではAuthoritative Serverを直訳して権威DNSサーバとも呼ばれる。

フルリゾルバ

ネームサーバで公開されている情報を、ルートからたどって参照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決するもの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ばれる。日本ではキャッシュDNSサーバとも呼ばれる。

スタブリゾルバ

再帰問い合わせ機能を持たないリゾルバ。単に名前解決をしたいだけの機器に組み込まれる。一般的なクライアントOS

（Windows/Macなど)のDNS設定はスタブリゾルバの設定。

ネームサーバ、フルリゾルバ、スタブリゾルバ

3つを区別することが、DNSを的確に理解するために重要

ゾーン情報の公開

再帰問合わせ

キャッシュ

キャッシュ


全世界のサーバが協調して動作する分散型データベースと言えば聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み

DNSを取り巻く脅威

5

.(root)

jp.

example.jp.

example.jp. A ?


↑覚えよう！


↑覚えよう！

example.jp. A ?


↑覚えよう！

example.jp. A is

192.0.2.1

example.jp.

NS is・・・


ケース1）応答割り込みによるキャッシュ汚染攻撃

example.jp.

問い合わせ権威DNSサーバ(ネームサーバ)

↑覚えよう応答


↑覚えよう


↑覚えよう攻撃者

汚染

Rqt

N

WRr

)

65536655361(15.0

Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変

Rr:応答攻撃のレートRq問い合わせ攻撃のレートW:正規応答が返ってくるまでの時間N:ネームサーバの数t:時間

Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく話題となった。現在はDNS実装に緩和策が施されており、直ちに危険なものではない。


ケース2-1）金盾（Great Firewall of CHINA）

原典：JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」

中国の国家規模のDNSスプーフィングは昔から広く知られる


ケース2-2）中東の某国

https://ripe75.ripe.net/presentations/20-A-curious-case-

of-broken-DNS-responses-RIPE-75.pdf

今日ではもはや中国に限る話ではない


ケース2-3）DigiNotar事件

9

原典：PKI Day 2012 神田雅透氏「サイバー攻撃ツールとしての公開鍵証明書の役割」

DNSスプーフィングされても重要な通信はSSL/TLSで保護されるから大丈夫だよ。

偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生


ケース3）日経新聞、はてなドメイン名ハイジャック事件

http://www.itmedia.co.jp/news/article

s/1411/06/news123.html

国内事業者のネームサーバ情報が第三者により書き換えられた


想定される脅威のまとめ

悪意ある第三者

攻撃手法

DNS応答への割り込みによるキャッシュ汚染攻撃

何らかの手法によるDNSサーバを乗っ取ったDNS応答の改ざん

など

国家規模の何か

攻撃手法

通信経路ハイジャック

DNSサーバへの介入などによるDNS応答そのものの改ざん

など

対策手法

改ざんを検知する仕組みの導入

攻撃を検知・防御する仕組みの導入

対策手法

改ざんを検知する仕組みの導入


DNSの不都合な事実

攻撃ポイントがたくさんある

プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない

DNSへの攻撃が成功すると

悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布)

中間者攻撃(Man In the Middle Attack)

サービス妨害(DoS)

etc・・・

あらゆるサービスが依存する重要なインフラにも関わらず、DNSの応答が正しさを確認する方法がないことが問題

DNSの脆さと相手認証の必要性

DNSにおいて通信相手と通信の中身の認証が必要


DNSSEC(DNS SECurity extension)は公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様

DNSスプーフィングを根本的に防ぐことが可能

DNSSECとは

example.jp.

example.jp. A ?


応答+検証済みフラグ


ユーザ(スタブリゾルバ)

攻撃者

検証


署名の検証に失敗すると名前解決そのものが失敗(ServFail)

鍵と署名の交換を定期的に行う必要があり運用が煩雑

DNSSECの留意点

.(root)

jp.

example.jp.名前解決不能

(ServFail)



検証

問い合わせ

検証済フラグ付き応答検証

問い合わせ

署名付応答鍵情報(DS)の登録

鍵情報(DS)の登録

問い合わせ


トラストアンカー


DNSSECの捉え方とよくある意見

今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が顕在化したときに備え、それらから守るための手段を社会インフラとしてのDNSおよびDNS運用者は用意しておく必要があります。DNSSECはそのために用意された既に利用可能な仕組みです。

DNSSECはセンスが悪い。署名失敗時のリスクが高すぎる。

UDPやめてTCPにすればいいじゃない。

個々のご意見はごもっともなのですが、批判するだけでは解決しません。代替案とともにIETFなどでの標準化活動をお願いします。


世界的なDNSSECの普及動向

https://stats.labs.apnic.net/dnssec

順位

cc

TLD

国名 DNSSEC

Validation

1 KI キリバス共和国 95.07%

10 SE スウェーデン 76.40%

17 PT ポルトガル 63.77%

51 HK 香港 36.54%

55 FR フランス 33.22%

70 AU オーストラリア 26.18%

82 US アメリカ 23.09%

99 EU 欧州連合 18.41%

115 RU ロシア 14.97%

167 JP 日本 6.63%


DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関心であり、その最たる例が「浸透問題」です。技術者として的確にDNS

の知識を備えておきましょう。

メッセージ

https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html

要は正しい手順に従ってないだけ


日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開催されています。ぜひご参加ください。

お知らせその１

DNS Summer Day

主催：DNSOPS.JP

費用：無償

夏のイベント

2018年6月下旬予定

第19回 DNSOPS.JP BoF

主催：DNSOPS.JP

費用：無償

Internet Week 2017 DNS DAY

主催：JPNIC/後援：DNSOPS.JP

費用：11,000円

同日夜開催

冬のイベント

2017年11月30日

https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html


登録受付中！！

日程： 2017年11月28日(火)～12月1日(金) (4日間)

場所：浅草橋(東京)

ヒューリックホール＆ヒューリックカンファレンス

https://internetweek.jp/

お知らせその２


Internet Week 2017 おすすめプログラムピックアップ

まるわかりIoT講座～スタートダッシュを決める150分～

IoTもおまかせ！サーバーレスで変わるインフラとの関わり方

11月29日(水) 09:30-12:00(150分)

転ばぬ先のIoTセキュリティ～コウカイする前に知るべきこと～

11月29日(水) 13:15-15:45(150分)

11月29日(水) 16:15-18:45(150分)

DNS DAY

キャッチアップ！2020に向けたメール運用

11月30日(木) 09:30-12:00(150分)

11月30日(木) 13:15-18:45(300分)

最新技術の三連星基礎を高める450分

一般学生※

150分枠 5,500円 550円

300分枠 11,000円 1,100円

※25歳以下に限る

Technology

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―