DNS/IW2012/ランチセミナー/一括
Contents
1. DNS/IW2012/ランチセミナー/1
http://www.geekpage.jp/blog/?id=2012/12/13/1
- サブドメインを委譲(委任)するのに、親ドメインでサブドメインを作成する必要はない。
- 委譲したいサブドメイン名に対する NSレコードを作成するだけ。
../2 つぎ
2. DNS/IW2012/ランチセミナー/2
http://www.geekpage.jp/blog/?id=2012/12/13/2
「サブドメインが存在しても必ず委任されているわけではない」
「ゾーンカットに設定されるリソースレコード」というのは間違い。
ゾーンカットとは: 親と子の分かれ目のこと
- 子側は、SOAレコードとNSレコードの二つ
NSレコードは、親と子の両方で設定されているのですが、実は役割が微妙に異なっています。
微妙に異なるのではなく、まったく異なる役目をもつ。以下にある。
親側のNSは委任を示していて、子側のNSは権威を示しています。 委任が成立するためには、この両方が必要です。
以下の説明は間違い。役割が異なるので、優先という言葉はあてはまらない。
子のNSは権威を示しているので、DNS仕様上は親と子を比べると子が優先されます。
3. DNS/IW2012/ランチセミナー/3
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=3
7つの特徴
親の立場から
(1) 子の状況にかかわらず一方的に委任できる
(2) 子の状況が変化しても検知しない
子の立場から
(3) 委任の有無に関わらず権威を自称できる
(4) どの親からどんな形で委任を受けているかの情報を持たない
複雑になってしまった特徴(3つ)
(5) NSレコードで名前を指定
(6) 委任情報と権威情報を同種のリソースレコードで指定
(7) 権威の根拠が権威のない情報に依拠 (1,2 ) 委任が成立する条件と書いておきながら、一方的に委任できるとあるのは矛盾している。
- 「 一方的に委任したつもり」くらい。子の状況は関知しない。
無責任な親を決め込める。非常に危険です。(運用が重要)
(3) 権威を自称できるということは実際には「権威ではない」ということ。
(5) NS値が名前になっているのは十分理由がある。しかし、それが致命的欠陥になっている。
(7) 権威というものが言葉だけのものであり、実際にどの情報を信用するかは、別問題。
3.1. まとめ
この部分に書かれたことをそのまま受け入れるとDNSを誤解することになるので、 自分でよく考えることを勧める。-- ToshinoriMaeno 2012-12-14 04:15:34
../4 つぎ
4. DNS/IW2012/ランチセミナー/4
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=4
(2,3) についての解釈 ドメイン名を乗っ取られてしまうリスク (5) で解説
共用DNSサービスでの危険性
ドメイン名パーキング
Split DNS 内部用に権威DNSサーバやルートDNSサーバ
example.co.jp zone は jp, co.jp, root から委譲されている可能性がある。
どこからも委譲されていない可能性もある! ---> 共用DNSサービスの問題点へ
5. DNS/IW2012/ランチセミナー/5
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=5
5.1. DNS 批判
計や仕様をミスってしまった (特徴 5, 6, 7)
- 「委任先を名前で指定するのが不自然」とあるが、十分理由があるので、不自然は不適当。
仕組みが複雑になったことはその通りで、設計ミスと言うより、思想のミスだろう。
- visa.co.jp だけが問題だったわけではない。(2005年) 誰が指摘したか。:-)
- 失効ドメインを登録したままにしておくことの危険性
5.2. 毒盛
Kashpureff による alternic
カミンスキー型攻撃 (2008) の嘘に触れないのは仲間だからか。
これらの弱点が名前で委任していることと関係あると言えるのか。
- 委譲(委任)がからむ弱点であることは確かだが。
5.3. どちらを優先すべきなのか
迷うこと自体がすでに間違った方向だ。
- 改善の提案は提案で別途説明すべき話だろう。
-- ToshinoriMaeno 2012-12-14 23:47:21
6. DNS/IW2012/ランチセミナー/6
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=6
6.1. 自称権威なのに
権威を持たない情報に権威を持つ情報が依存している
DNSにおいては「権威」という言葉にはたいした意味はない。
- 権威があろうがなかろうが、親に認めてもらえなければ、自称権威なんてなんの役にもたたない。
自称権威: ゾーン内のNSレコードは現状ではNSを追加することにのみ使われるべき。(特に移転時)
- SOA と NS (委譲される側) は権威を表すものではない。
6.2. トピック
1.幽霊ドメイン名脆弱性
- BINDなどの実装上の不備
DNS権威サーバ移転時に「浸透遅い」と思ったら、幽霊ドメイン名脆弱性を心配した方がよい。
-- ToshinoriMaeno 2012-12-14 07:55:13
7. DNS/IW2012/ランチセミナー/7
ここをどう料理してくるかに興味があった。-- ToshinoriMaeno 2012-12-14 04:39:12
- さくらDNSの問題(6/29)とか、JPRSからの注意喚起(6/22)
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=7
7.1. トピック
2. 共用DNSサービスにおける危険性
サービス事業者が顧客に提供するDNSサービスやシステムにおいて、 複数の顧客のドメイン名(ゾーン)を同一の権威DNSサーバーで共用している場合で、 かつ、顧客によるゾーンの新規作成を許可している。
顧客のドメイン名とはなにか、が問題なわけです。
かつ、サービス事業者のシステムにおいて、
顧客が作成するゾーンのチェックや制限が不十分である場合に考えられる危険性ですね。
どういうチェックや制限かが大問題なのだが、触れられていない!
代表的な二つの例としてあげられているのは
事例1:「オレオレ子供」によるドメイン名ハイジャック
- さくらDNSにおいて、指摘のために前野が作成した qmail.tokumaru.org サブドメインがこれである。
このケースは誰がみても明らかな登録システムの不良であった。
事例2:使用休止ドメイン名の不正使用
休止ドメインにかぎらない。これもさくらで発生した。(現在も残っている。)
7.2. 警告
これら二つの事例以外にも共用DNSサービスにはさまざまな問題がある。DNS/サービス
- ドメインの所有しているかどうかに関係なく、だれでも任意のゾーンを登録させているのが 問題を生み出している。
それを分かっていて放置している業者、そういう業者を放置している指導機関の責任は重い。 -- ToshinoriMaeno 2012-12-14 04:48:53
8. DNS/IW2012/ランチセミナー/8
http://www.geekpage.jp/blog/?id=2012/12/13/1&p=8
3.ドメイン名の強制停止に伴う影響 - 強制停止の概要
お名前.comがレジストラの権限を逸脱して、忍者ドメインを乗っ取った事件
実際に行われているのは「強制変更」 技術的にはドメイン名ハイジャックと呼ばれているものと全く同等
レジストリであるJPRSはお名前の行動を咎めることなく、警告も出さなかった。
森下さんはさすがに気が咎めたのだろうが、
- いろんな言い訳をしているように読める。
こういう形でやるのが、他のドメイン名に副作用を及ぼさないかなどの技術的な考察が十分であるとは中々いいにくい面もございます。 これに関しては今後も技術的な考察が必要なのではないかということで、「技術的考察が必要な内容」に加えて発表されて頂きました。
8.1. 強制変更の問題
元の状態に戻すのに時間がかかってしまう場合があります。
巻き添えを喰らって、....
8.2. 警告
ドメインがレジストラにより乗っ取られる可能性があることを衆知したという意味では 有益な事件であった。
そういう場合に備えて、ドメイン管理をしましょう。 -- ToshinoriMaeno 2012-12-14 04:59:36