1. DNS/危険なサービス

DNS/サービス/危険性 を名前変更しました。

さくらで発覚した共用DNSサービスの脆弱性を説明します。 -- ToshinoriMaeno 2012-07-15 08:34:49

DNS/サービス_さくら も見てください。

DNS/IW2012/ランチセミナー でも触れられています。

(警告) DNS初心者むけではありません。

1.1. 謝辞

脆弱性の発見、指摘、協力、そして議論していただいたかたに感謝します。

徳丸さんにはドメインを使わせていただき、さくらへの連絡の労もとっていただきました。

さくらDNSでのドメイン登録検査 : DNS/さくら/dnscurve.jp

脆弱性を指摘しても、おいたを見つかった子供のような反応をされたのでは、がっくりします。

1.2. きっかけ

直接はこの辺かもしれません。(もっと前から気になっていたこともありますが。)

スーパードメインが登録できる脆弱性に気づいたのがきっかけです: DNS/zone/www.dnscurve.jp

1.3. 脆弱になりそうな状況

以下の運用条件とサーバ条件がすべて満たされると、さくらで発覚したような脆弱性が発現するでしょう。

1.3.1. 運用

1.3.2. さくらでの間違い運用

1.3.3. サーバの不備

1.4. ドメイン所有者の責任も

上記の条件には該当しない脆弱性も存在する。

影響が大きいので対策完了を待っている。

www サブドメインがゾーンとして登録されているが、親ドメインが存在していないもの。

-- ToshinoriMaeno 2012-12-24 05:28:14

1.5. JPRSの注意喚起

/JPRSの注意喚起 JPRS:サービス運用上の問題に起因するドメイン名ハイジャックの危険性について

以下の概要はわかりづらいので、上に書いた条件と付き合わせてみて欲しい。

レンタルサーバーサービスやクラウドサービスなどにおいて
事業者がDNSサービスを提供する際、
複数の利用者のドメイン名(ゾーン)を同一の権威DNSサーバーに共存させる形で運用する場合があります。
このような形でDNSサービスを運用し、かつ、
各サービスの利用者自身によるゾーンの新規作成を許可している場合、
DNSサービスにおける運用上の問題により、
各サービスにおいて運用中のドメイン名が、
悪意を持つ第三者によってハイジャックされる危険性があります。

/スーパードメイン登録 ../脆弱性の公表方針

/偽兄弟登録

サーバの実装不良については説明がない。(のちに「親子同居問題」として取り上げているが、 この命名も誤解を招く。偽家族ならまだましだが。)

1.6. 任意のドメインを登録できる業者

/リスト

1.7. DNSは限界 tm ‏ @beyondDNS

もし共用の権威サーバを利用しているなら、

をきちんと確認しましょう。ガイドラインが公開されていない業者を利用するのはあぶないと考えるべきです。

登録できるレコードの条件が明示されていないような共用サーバを権威サーバにするのは非常に危険です。

誰がどのような情報を預けているか分からないような共用の権威サーバを使うのは非常に危険だということです。

1.8. 権威サーバの区別

Orange トリビアその19にもあるように、問い合わせ側からみた場合、

つまり、外部の「/セカンダリサービス」を利用するということは

要注意。

1.9. 共用サーバ

ドメイン販売業者などがおまけで提供している権威サーバは除外するとして、
  共用の権威サーバに対して、誰がどのようなデータを登録できるか、
教えていただけませんか。

使っておられるかたからの情報をお待ちします。(拡散希望です。)

まったく返事はない。DNS業界は死人の集まりか。-- ToshinoriMaeno 2012-04-26 23:46:02

共用権威サーバに登録できるのは誰か。
なにを登録できるのか。
サーバはどういう返事をするのか。

これらがはっきり示されている共用サーバはあるのでしょうか。

幽霊ドメイン名はキャッシュサーバ上だけではなく、
登録時に所有者を確認していない権威サーバにも存在している可能性があります。
こちらの方がより危険かもしれません。

(DNSにおいて [共用サーバで集中管理するようなサービスはやってはいけない]

信用できないし、こけたときの被害も大きい。インターネットの目指すものではない。

1.10. キャッシュサーバでの対策

信用したくない権威サーバには問い合わせしない設定が可能なキャッシュサーバがあります。

BINDではBIND4の時代から、bogus サーバを排除する機能があるようです。 -- ToshinoriMaeno 2012-05-16 03:49:22