続?広く知ってほしい顿狈厂のこと
- 2. 1 はじめに - 前回のお礼 - 6,000+ Views ホットエントリ入り ssmjp効果スゴい! リーチアウト活動の有効性を再認識 /nakatomoorg/ssmjpdnssecurity
- 3. 2 主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
- 4. 3 ?以下のキーワードを理解し、区別できるようになる ? 【おさらい】スタブリゾルバ、フルリゾルバ、ネームサーバ ? 【New!】レジストリ、レジストラ、レジストラント、WHOIS ?ドメインやその情報を管理?保護するための仕組みを理解する ? レジストリロック、レジストラロック ? コントロールパネルの多要素認証など ?DNS運用に関する今どきのトピックを知る ? 自前運用からの脱却、ダイバーシティ ? MyEtherWallet.com(MEW) 仮想通貨盗難事件 ? DNSブロッキング 本日のゴール DNSやドメインにまつわるちょっと耳よりな話を通じて ? みなさんのシステムの運用品質がちょっとよくなる、トラブルを未然に防止できる ? DNSやDNS Summer Day 2018に興味を持ってくれる人がちょっとでも増える
- 5. 4 ?ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 ?WWW, メール, VoIP, etc??? ?DNSの情報に依存する仕組みも多い ?SSL証明書 ?送信ドメイン認証(SPF/DKIM) ?メール送受信時のパラノイドチェック(正引きと逆引きの一致) 【おさらい】DNSとは example.jp A ? example.jp. A is 203.0.113.1 DNSサーバ群
- 6. 5 ?.(root)を起点としインターネット全体に広がる分散データベース ?フルリゾルバが.(root)から再帰探索を行い情報を取得(=名前解決) ?情報は(スタブ|フル)リゾルバで一定期間保持され再利用、効率化 ?低負荷、高レスポンス性を実現するため原則UDPで通信 【おさらい】DNSのメカニズム . jp. example.jp. example.jp. A ? フルリゾルバ ↑覚えよう! (キャッシュDNSサーバ) ネームサーバ ↑覚えよう! (権威DNSサーバ) example.jp. A ? スタブリゾルバ ↑覚えよう! (クライアント) example.jp. A is 203.0.113.1 example.jp. NS is??? Root Top Level Domain 2nd Level Domain
- 8. 7 ?ドメインを登録し利用するためには.comや.jpなどのTLD:Top Level Domainの ネームサーバを管理する登録管理機関(レジストリ)へ情報伝達が必要となる ?登録者(レジストラント)からは登録取次事業者(レジストラ)を通じて行う ドメイン登録管理のメカニズム システム連携 レジストリ DB レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 TLD ネームサーバ 同期 3つを区別することが、ドメインを的確に理解するために重要 主にWeb EPP(※)など ※Extensible Provisioning Protocol WHOIS .com .org .jp …etc
- 9. 8 ?ドメインの各情報を記載した誰でも参照可能なデータベース ?登録者情報 ?ネームサーバ情報 ?ドメインの状態 など なぜ? ?なにかしらの問題、悪用が生じた際の、 コンタクト先(PoC:Point of Contact)情報 として重要 ?登録情報を書き換えることでドメイン そのものを乗っ取ることが可能 ? ネームサーバ変更 ? 登録者変更、削除 など WHOIS 情報を適切に維持することが重要 かつ要求されている WHOISの例 http://whois.jprs.jp/?key=dnsops.jp
- 11. 10 はて、なんでそんなことできちゃうの? システム連携 レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 このご時世、ID/PWDのみによる認証はもうとっくに限界よ! 主にWeb EPP(※)など ※Extensible Provisioning Protocol 各種攻撃への対策 は十分ですか? 脆弱なID/PWD設定 していませんか? マルウェア 感染してませんか? レジストリ DB TLD ネームサーバ 同期 WHOIS .com .org .jp …etc
- 12. 11 ?一部のレジストリやレジストラが提供 している機能を上手く使う ?レジストリロック ? 主にWHOISの登録情報変更を 制限する機能 ? レジストリが提供 ?レジストラロック ? 主にドメインの移転や削除を 制限する機能 ? レジストラが提供 ?レジストラ各社コントロールパネルの の認証機能強化とその利用 ? 多要素認証など ドメインハイジャックへの対策 レジストリロックの例 【引用元】https://jprs.jp/about/dom-rule/registry-lock/ まだまだぜんぜん利活用が不十分
- 13. 12 知っておきたいドメインの状態 通常状態 利用可 Active, Connected, okなど レジストリにより なにかしらの制限がかけられた状態 利用可 serverUpdateProhibitedなど 利用不可 serverHold (Expired) など レジストラにより なにかしらの制限がかけられた状態 利用可 clientTransferProhibited, clientDelete Prohibitedなど 利用不可 clientHoldなど EPP:Extensible Provisioning Protocolのステータスコードがベース 【参考】http://www.icann.org/epp レジストリロック ドメイン有効期限切れ レジストラロック 次頁へ登録情報不備など
- 15. 14 ?ネガティブキャッシュ、知ってますか? 「Status: ClientHold」の恐怖(続き) jp. 900 IN SOA z.dns.jp. root.dns.jp. ( 1526998502 ;serial 3600 ;refresh 900 ;retry 1814400 ;expire 900 ;minimum ) com. 900 IN SOA a.gtld-servers.net. (snip)( 1526999411 ;serial 1800 ;refresh 900 ;retry 604800 ;expire 86400 ;minimum ) ドメインによっては完全復旧に24時間以上を要する DNSにおけるキャッシュ機能には大きく分けて、以下の2種類があります。 1)通常のキャッシュ その名前が「存在すること」をキャッシュします。 キャッシュ保持期間はDNS各レコ ードのTTL(Time To Live)値として指定します。 2)ネガティブキャッシュその名前が「存在しないこと」をキャッシュします。 ネガティブキャッシュ保持期 間はSOAのminimum値として指定します。 JP ccTLD (?) gTLD (?) 【引用元】 https://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf ? country code TLD : 国別トップレベルドメイン ? generic TLD : 汎用トップレベルドメイン
- 18. 17 【今どきトピック】 DNSブロッキング 従前のコンセンサスがいつの間にか一方的に覆されてしまい、 その影響や制約を受け続けることは技術者として間違いなく不幸 もちろんDNS Summer Day 2018でも取りあげます 今からでも遅くないので、関心を持ち積極的に関与していきましょう! まずは知るところから!
- 20. 19 【再掲】主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
- 21. 20 まとめ DNSは誰もが常に利用している重要インフラでありながらも、あまり意識されることの ない空気のようなもの。一方、ひとたびその運用に問題が発生すると、影響が広範囲 になってしまいがち。もう少しDNSへの理解や関心を高めることで、みなさんのDNS の運用品質が高まります。DNS Summer Day 2018 へのご参加お待ちしています。 スタブリゾルバ フルリゾルバ ネームサーバ レジストラント レジストラ レジストリ WHOIS コントロールパネル の多要素認証 レジストラロック レジストリロック 仮想通貨盗難事件 DNSSEC RPKI DNSブロッキング自前運用からの脱却 ダイバーシティ <本日のキーワード>