MoinQ: DNS/共用ゾーンサービス/危険性/脅威/tss

DNS/共用ゾーンサービス/tssについて、ここに記述してください。

中京大学工学部情報工学科 鈴木常彦

共用 DNS 権威サーバの脆弱性 Dec 4, 2019 IPSJ CSEC87 http://www.e-ontap.com/dns/csec87/#(1)

共用 DNS 権威サーバの問題のまとめ

    権威・キャッシュ兼用は危ない
    誰でも任意のゾーンが作れる共用権威サーバが危ない
    ドメイン名の権利確認がないと危ない (初運用のドメイン名はどうするのか?)
    Lame delegation は危ない
    親子同居は委譲がなくても危ない 　
    兄弟ドメインの同居も危ない (親のゾーンがない場合) / sibling glue も危ない
    ゾーン作成前に委譲すると危ない
    委譲したままゾーンを削除すると危ない / 委譲のキャッシュにも注意 (盲点!)
    浸透しない! などと移転作業中であることをツイートするのは危ない

    使用をやめたレコード (CDN等の再利用可能なドメイン名へのCNAMEなど) の放置は危ない (subdomain takeover)
    Public suffix が登録制限されていないと危ない

    対策が迅速に進むことは期待できない / 注意喚起はどうあるべきか 

18m53s slide 24/25
* help? contents? Copyright © 2019 T.Suzuki a.k.a. tss

タイトルは内容の一部しか示していない。

• DNSにからむ(毒盛)脆弱性がいろいろ集められている。

-- ToshinoriMaeno 2019-12-06 14:20:17

1. 整理すると

2. 共用ゾーンサービス

誰でも任意のゾーンが作れる共用権威サーバが危ない [この表現は権利確認を行っていないことを意味する]

1. lame delegation を残すと乗取られる。
2. 親子関係のゾーンを許すと危ない。
3. 兄弟のゾーンを許すと危ない。

どれも説明は十分ではない。

• 詳しくは論文をどうぞ。http://www.e-ontap.com/dns/csec87/paper.html

3. orphaned domain name

権利確認のないサービス上のDNSレコードを指す名前を遺棄すると危ない。 (subdomain takeoverとして知られる)

4. メイルサービス

メイルサーバーの配送手順に問題がある。

5. リゾルバー毒盛

リゾルバーへの毒盛(fragmentation利用)に sibling domain の glueが利用できる。

• 否定返答に付随するAuthority sectionなども危険だったが、主要リゾルバーは対策済み。