1. DNS/セキュリティ

securityを根にした木構造にしたいと思ったが、 そう簡単ではないので、いくつかの根の元に書いてみる。-- ToshinoriMaeno 2021-03-25 05:28:28

DNS/1/セキュリティ DNS/lame_delegation 

セキュリティ考察の対象

1.1. CIA

機密性(Confidentiality)はDNS ゾーンデータにはもともと必要ありません。

Statement on DNS EncryptionRoot Server OperatorsMarch 2021 https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf

DoS 対策は重要ですが、ここでは扱いません。(Availability)

Integrity (完全性) を中心に議論することにします。

1.2. 項目

関連項目: DNS/脆弱性 DNS/なりすまし DNS/乗取 /privacy


https://news.ycombinator.com/from?site=thehackerblog.com

/GoDaddy では問題がよく起きる。狙われているのだろう。

/毒盛対策 DNS/脅威

警告:DNSの/仕組みなど基本を理解していることを前提にしています。

How DNS kills the Internet https://research.kudelskisecurity.com/2014/09/23/how-dns-kills-the-internet/

1.3. 被害

DNSで入手する情報が間違っていたり偽だったりとかだと、

DNS(ゾーンサーバー、キャッシュサーバー)を落とすという攻撃もある。(サービス妨害)

1.4. 分類してみる

DNSという仕組みに対する攻撃を系統的に分類するという仕事はまだされてなさそう。 (大規模な攻撃がすでにあったものさえも表面的な観察だけのようだ。)

DNSのセキュリティ  DNSの運用に起因するセキュリティ問題 https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-aharen.pdf

2017年での最大の脅威は登録情報の書き換えというDNSプロトコルには関係のない攻撃だ。-- ToshinoriMaeno 2017-01-26 02:49:44

ルータとかのDNS(リゾルバーアドレス?)設定を書き換える攻撃も増えているようだ。

ここでは偽のDNS情報をクライアントプログラム(例えば、web browser)に渡すとしたら、 という観点から、以下の手法を検討してみる。DNS/hijacking に構成し直し中。

  1. DNS/1/レジストラ情報の改変 : DNSは直接は関係しない。JPRSはDNS/1/ドメイン名/ハイジャックと呼んでいる。

    • レジストラへの侵入、webインターフェースの不具合など。 /eNom

  2. DNS/1/ゾーンサーバ/上の情報の改変 ゾーンサーバに侵入するとか、 ゾーン同居の処理不良、管理不良ドメイン (例:さくらゾーンサービスの不良)

  3. DNS/毒盛 リゾルバーキャッシュへの毒盛

    • DNSプロトコルの弱点を利用する。
  4. 末端が参照するリゾルバー/フォワーダー情報の改変
    • switcher, DNS changer など。ウィルスを利用するもの。
  5. 間違ったNS設定は付けこまれる恐れがある。
    • 期限切れで誰でも取得できるようになったドメイン内のゾーンサーバを登録しているドメインは危ない。 偽情報を紛れ込ませるわけではないので、使う側が気をつける以外には対策はない。(visa.co.jp事件)
  6. 共用DNSゾーンサービス内の使っていないDNSサーバを上位サーバに登録し忘れていると、
    • 勝手にゾーンサービスに登録されて(使われて)危ない。(さくらは制限している) これはドメインハイジャックと呼ぶのがぴったり。(委譲情報の改変は必要ない。)
  7. /Typosquatting 紛らわしい名前、見分けのつきにくい名前を登録しておく。ミスで嵌るのを拾う。

Typosquatting, also called URL hijacking, a sting site, or a fake URL,
is a form of cybersquatting, and possibly brandjacking which relies on mistakes
such as typographical errors made by Internet users 
when inputting a website address into a web browser. 

-- ToshinoriMaeno 2017-01-06 11:08:01

これら以外にはDNSサービスを妨害する目的の攻撃もある。

DDoS attacksに対抗するのをDNS securityだと言っているところもある。

島村 充:

http://www.iij.ad.jp/company/development/tech/techweek/pdf/161111_04.pdf

1.5. 本題

1.6. DNSは信用すると危ない

UDPは偽造しやすい。できるかぎり、TCPだけを使うようにしよう。

ゾーンサーバからの返事を信用しては危険です。

リゾルバーに偽のレコードをキャッシュさせる攻撃:

-- ToshinoriMaeno 2016-08-26 01:50:20

1.7. 初級の知識では対策は難しい

できるかぎり、TCPだけを使うようにしよう。

ゾーンサーバからの偽情報判別はリゾルバーに期待する。

-- ToshinoriMaeno 2016-08-26 02:09:54

1.8. DNSECは普及していない

対応が難しく、面倒という状況が続いている。

リゾルバー側が対応するだけでは不十分で、すべてのゾーンが対応することは期待できない。

1.9. DNS Cookiesはこれから

1.10. リゾルバーの改良で凌ぐ

NS毒盛やCNAME毒盛は簡単な対策がある。

-- ToshinoriMaeno 2016-08-26 02:27:28

1.11. DNS攻撃リンク

DNS攻撃の分類・歴史・トレンド http://www.terilogy.com/momentum/topics/tapas02.html

http://ya.maya.st/trash/openresolver.pdf DNSオープンリゾルバ問題

1.12. 参考文献

https://www.elsevier.com/books/dns-security/liska/978-0-12-803306-7# DNS Security 1st Edition

Defending the Domain Name System Authors: Allan Liska Geoffrey Stowe

DNS Security: In-depth Vulnerability Analysis and Mitigation Solutions https://www.amazon.com/DNS-Security-depth-Vulnerability-Mitigation-ebook/dp/B007ZW50WE#reader_B007ZW50WE

The Challenge of Defending the Domain Name System http://www.bankinfosecurity.com/interviews/challenge-defending-domain-name-system-i-3381#.WHGtd_r44G8.twitter

Moin2Qmail: DNS/セキュリティ (last edited 2021-09-13 07:09:46 by ToshinoriMaeno)