1. DNS/危険なサービス

DNS/サービス/危険性 を名前変更しました。

さくらで発覚した共用DNSサービスの脆弱性を説明します。 -- ToshinoriMaeno 2012-07-15 08:34:49

DNS/サービス＿さくら も見てください。

DNS/IW2012/ランチセミナー でも触れられています。

(警告) DNS初心者むけではありません。

1.1. 謝辞

脆弱性の発見、指摘、協力、そして議論していただいたかたに感謝します。

• 感謝の意味で、アカウントを以下に挙げておきます。

  • tss, yatz82, seaki, KiyoshiSatoh, OrangeMorishita, sugitaro

徳丸さんにはドメインを使わせていただき、さくらへの連絡の労もとっていただきました。

• 状況によってはIPAへの届出も引き受けていただけることになっていました。

さくらDNSでのドメイン登録検査 : DNS/さくら/dnscurve.jp

脆弱性を指摘しても、おいたを見つかった子供のような反応をされたのでは、がっくりします。

• もう二度とあいつには注意してやらんということにならないようにしたいので、

  ここに感謝の気持ちを書いておきます。ありがとうございました。-- ToshinoriMaeno 2012-07-04 04:15:41

1.2. きっかけ

直接はこの辺かもしれません。(もっと前から気になっていたこともありますが。)

• https://twitter.com/yatz82/status/172575091023024128

スーパードメインが登録できる脆弱性に気づいたのがきっかけです: DNS/zone/www.dnscurve.jp

• Ghost Domain Names の実装に関して、yatz82 さんがvalue-domain で試していたことから推測した。

1.3. 脆弱になりそうな状況

以下の運用条件とサーバ条件がすべて満たされると、さくらで発覚したような脆弱性が発現するでしょう。

1.3.1. 運用

• 共用のDNSサーバの存在
  1. 任意のドメインが登録できる。(制約はあっても公表されていない。）
  2. 誰でも登録できる。（いちおうサービスの契約は必要だが）
• 一台あるいはごく少数の台数のサーバでサービスしている。
• ゾーン登録時の確認： ドメインの所有確認をしていない。（ここが最重要）

1.3.2. さくらでの間違い運用

• サブドメイン（ゾーン）登録時： スーパードメイン（親ドメインなど）が存在していても登録者の同一性を確認しない。 (不良だったらしいが)
• ドメイン登録時:
  • サブドメイン（ゾーン）の不存在を確認していない。(問題点を認識していなかった)

1.3.3. サーバの不備

• 委譲されていない子孫ゾーンを委譲があるかのごとく扱うサーバを使っている。
  • 同一サーバで複数のゾーンを扱っている。

1.4. ドメイン所有者の責任も

上記の条件には該当しない脆弱性も存在する。

• ドメイン所有者の責任が大きい。

影響が大きいので対策完了を待っている。

• JPサーバに登録されているが、さくら上にゾーンが設定されていないものとか。

www サブドメインがゾーンとして登録されているが、親ドメインが存在していないもの。

• 現状では乗っ取りの危険はなさそうだが、DNS運用としては不備がある。

-- ToshinoriMaeno 2012-12-24 05:28:14

1.5. JPRSの注意喚起

/JPRSの注意喚起 JPRS：サービス運用上の問題に起因するドメイン名ハイジャックの危険性について

• http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

以下の概要はわかりづらいので、上に書いた条件と付き合わせてみて欲しい。

レンタルサーバーサービスやクラウドサービスなどにおいて
事業者がDNSサービスを提供する際、
複数の利用者のドメイン名（ゾーン）を同一の権威DNSサーバーに共存させる形で運用する場合があります。
このような形でDNSサービスを運用し、かつ、
各サービスの利用者自身によるゾーンの新規作成を許可している場合、
DNSサービスにおける運用上の問題により、
各サービスにおいて運用中のドメイン名が、
悪意を持つ第三者によってハイジャックされる危険性があります。

/スーパードメイン登録　../脆弱性の公表方針

/偽兄弟登録

サーバの実装不良については説明がない。(のちに「親子同居問題」として取り上げているが、 この命名も誤解を招く。偽家族ならまだましだが。)

1.6. 任意のドメインを登録できる業者

/リスト

1.7. DNSは限界 tm ‏ @beyondDNS

もし共用の権威サーバを利用しているなら、

• 運用ガイドラインがどうなっているか（どういうドメイン・ゾーンが登録できるのか）

をきちんと確認しましょう。ガイドラインが公開されていない業者を利用するのはあぶないと考えるべきです。

登録できるレコードの条件が明示されていないような共用サーバを権威サーバにするのは非常に危険です。

誰がどのような情報を預けているか分からないような共用の権威サーバを使うのは非常に危険だということです。

1.8. 権威サーバの区別

Orange トリビアその19にもあるように、問い合わせ側からみた場合、

• DNS権威サーバにはプライマリとかセカンダリというような区別はない。

つまり、外部の「/セカンダリサービス」を利用するということは

• DNSを完全にコントロールされてしまうということになる。

要注意。

1.9. 共用サーバ

ドメイン販売業者などがおまけで提供している権威サーバは除外するとして、
  共用の権威サーバに対して、誰がどのようなデータを登録できるか、
教えていただけませんか。

使っておられるかたからの情報をお待ちします。（拡散希望です。）

まったく返事はない。DNS業界は死人の集まりか。-- ToshinoriMaeno 2012-04-26 23:46:02

共用権威サーバに登録できるのは誰か。
なにを登録できるのか。
サーバはどういう返事をするのか。

これらがはっきり示されている共用サーバはあるのでしょうか。

幽霊ドメイン名はキャッシュサーバ上だけではなく、
登録時に所有者を確認していない権威サーバにも存在している可能性があります。
こちらの方がより危険かもしれません。

(DNSにおいて [共用サーバで集中管理するようなサービスはやってはいけない]

信用できないし、こけたときの被害も大きい。インターネットの目指すものではない。

• サービスがあったとしても、使ってはいけないサービスです。

1.10. キャッシュサーバでの対策

信用したくない権威サーバには問い合わせしない設定が可能なキャッシュサーバがあります。

• unbound では do-not-query-address を指定します。

BINDではBIND4の時代から、bogus サーバを排除する機能があるようです。 -- ToshinoriMaeno 2012-05-16 03:49:22