Differences between revisions 8 and 9
Revision 8 as of 2023-02-19 02:07:01
Size: 6323
Editor: ToshinoriMaeno
Comment:
Revision 9 as of 2023-02-19 02:09:32
Size: 6308
Editor: ToshinoriMaeno
Comment:
Deletions are marked like this. Additions are marked like this.
Line 5: Line 5:
[[/2023]] <<TableOfContents()>>
Line 9: Line 9:

<<TableOfContents()>>

1. DNSSEC

/2011   /2017   /2019   /2022   /2023   /Against   /DOflag   /DoS   /DowngradeAttack   /FAQ   /IETF2008   /IPv6   /JP   /JPNIC   /NSEC3+opt-out   /RFC   /TLD   /ZSKロールーオーバー   /against   /compatibility   /delegation   /design   /dns.jp   /draft-ietf   /good-bad   /gov.ac   /open-resolver   /security   /tools   /watch   /できないこと   /なにができるのか   /なにがまずいのか   /不要論   /勧めない理由   /実装   /政府が推進?   /普及状況2013   /普及状況2017   /検証の普及   /業者   /用語   /用途   /確認方法   /移転   /署名の設定   /署名の認証   /脆弱性   /調査   /運用   /金儲けの機会   /関連ページ   /限界  

Contents

  1. DNSSEC
    1. validator
    2. NSEC3
    3. dns.jp
    4. gov.mufj.jp
    5. ルートゾーンKSK更新の影響
  2. DNSSECについて
    1. なぜだめなのか
    2. JPRSによる紹介
    3. 概要
    4. KSK更新に関連しての通知
    5. なにができるのか
    6. なにができないのか
    7. なにがまずいのか
    8. DNSは十分に安全
    9. リンク

Against DNSSEC 15 January 2015 https://sockpuppet.org/blog/2015/01/15/against-dnssec/

/Against

https://sockpuppet.org/blog/2015/01/15/against-dnssec/

https://tools.ietf.org/html/rfc2065 [1997]

1.1. validator

共用リゾルバーでは検証されているか。

  • jp.sharp のような設定が排除されない現状をどう受け止めるか。-- ToshinoriMaeno 2023-02-19 02:07:01

1.2. NSEC3

NSEC3の使い方は付録にある。 https://jprs.jp/tech/material/rfc/RFC5155-ja.txt

[dns-operations] Forged Delegation Injection into Empty Non-Terminal with NSEC3 https://lists.dns-oarc.net/pipermail/dns-operations/2018-January/017214.html

1.3. dns.jp

/dns.jp

1.4. gov.mufj.jp

NSEC3+opt-outの問題 /NSEC3+opt-out

/gov.ac ENT 問題

1.5. ルートゾーンKSK更新の影響

ルートゾーンKSK更新の影響のまとめ  ルートゾーンKSK/日本では/お騒がせ見出し

  • 検証(BINDでいうdnssec-validate yes) を有効に指定していなければ、影響はありません。 

  この時期にDNSSEC検証を有効にする理由はありません。有効にしていなければ、影響はうけません。

いますぐに大きなUDPパケットを受け取るように設定する必要もありません。

KSK更新が影響するのはDNSSEC検証有効になっている場合だからです。

大きなUDPパケットを受け取れるかを確認することは容易ではありません。

  • リゾルバーはUDPで受け取れなかったらTCPを使います。 

 外向きTCP/53が使えるか、確認しておくことを勧めます。

/2017 DNSを使っていなければ、ルートゾーンKSK更新の影響がないことを確信するまでに使った時間!

  • 学べば学ぶだけ、DNSSECはだめだと分かる。-- ToshinoriMaeno 2017-08-11 23:56:48

/open-resolver /用語/DNSKEY

/2011   /2017   /2019   /2022   /2023   /Against   /DOflag   /DoS   /DowngradeAttack   /FAQ   /IETF2008   /IPv6   /JP   /JPNIC   /NSEC3+opt-out   /RFC   /TLD   /ZSKロールーオーバー   /against   /compatibility   /delegation   /design   /dns.jp   /draft-ietf   /good-bad   /gov.ac   /open-resolver   /security   /tools   /watch   /できないこと   /なにができるのか   /なにがまずいのか   /不要論   /勧めない理由   /実装   /政府が推進?   /普及状況2013   /普及状況2017   /検証の普及   /業者   /用語   /用途   /確認方法   /移転   /署名の設定   /署名の認証   /脆弱性   /調査   /運用   /金儲けの機会   /関連ページ   /限界  

2. DNSSECについて

/DOflag

/JPNIC : 間違いだらけの説明

DNSの安全性を強化するために必要なのはDNSSECなのでしょうか。

  • 改めて、考えてみたいと思います。-- ToshinoriMaeno 2015-03-20 01:55:31

    • DNSSECはKaminskyの指摘以前に計画されている。:-) 少なくともKaminsky流の攻撃を防ぐためのものではない。

/政府が推進?

2.1. なぜだめなのか

やれることの割に管理運用の手間が掛かり過ぎる。これに尽きる。

開発に手間がかかっている。その分、DNSの改善や保守がおろそかになる。

DNSでの毒盛対策が進まない。

2.2. JPRSによる紹介

https://jprs.jp/tech/material/iw2009-lunch-L1-01.pdf#page=14

/TLD/jp ドメイン情報  https://jprs.jp/doc/dnssec/jp-dps-jpn.v1.4.html

2.3. 概要

分割、整理中です。-- ToshinoriMaeno 2017-08-11 23:57:49

  • DNS(UDP)は中間者攻撃には対抗できないことが分かっています。 DNSSECはDNS(UDP)の弱点である毒(偽レコード)を検出するためのひとつの仕組みです。
    • 本当に毒盛に弱いのでしょうか。よく検討する必要があるでしょう。
    これまでの理解では、DNSSECでしか守れないのは中間者攻撃による毒盛だけです。 しかし、中間者攻撃されるとしたら、DNSレコードだけ守ることにどれほどの意味があるでしょうか。

2.4. KSK更新に関連しての通知

毒入れされやすいUDPを使い続けるのがまずいことははっきりしているのに、こだわる理由が分かりません。

  • ただ、DNSSECがうまく行っていない理由もあきらかにしておかないと、過ちを繰り返すことになるでしょう。

-- ToshinoriMaeno 2015-03-08 01:18:04

DNSSEC 署名検証チェック http://www.e-ontap.com/dns/validation.html

2.5. なにができるのか

DNSSECはman-in-the-middle-attacksによるキャッシュ毒盛からDNSデータを守るためだという。 (Is DNSSEC Worth the Effort?)

  • だとすると、MITMAの危険性を評価することが重要になるが、それはとても難しい。

2.6. なにができないのか

MITMAを前提にするなら、DNSSECを使っていないという偽情報(毒)は容易に入れられる。

  • そこでは、DNSSECを使っていないサイトは信用しないということでないとあぶない。

DNSSECで守れるものもあるが、守れないものの方がはるかに多いのが現状だ。 -- ToshinoriMaeno 2015-03-19 15:32:06

/できないこと

2.7. なにがまずいのか

/なにがまずいのか

2.8. DNSは十分に安全

  • その手間が問題なのか。いや、TLDなどへの負荷が集中するので、それらの管理者が避けたがっているからだ。

UDP を使い続けるなら、DNSCurveのようなより単純な仕組みを使う方がよさそうだ。

2.9. リンク

「実践DNS」

http://sockpuppet.org/blog/2015/01/15/against-dnssec/ /Against DNSSEC

http://ianix.com/pub/dnssec-outages.html

https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t9/t9-Funato.pdf

https://news.ycombinator.com/item?id=7449960

Resolving DNS Queries and Caching Validated Responses https://support.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-implementations-11-2-0/13.html

DNS/DNSSECいうな

http://www.theregister.co.uk/2015/03/18/is_the_dns_security_protocol_a_waste_of_everyones_time_and_money/

  • Is the DNS' security protocol a waste of everyone's time and money?

http://www.circleid.com/posts/20150318_is_dnssec_worth_the_effort/ Is DNSSEC Worth the Effort?  Head of Security at .SE

  • DNSSECの売り込みにすぎないようだ。

/RFC

/CloudFlare

/2011   /2017   /2019   /2022   /2023   /Against   /DOflag   /DoS   /DowngradeAttack   /FAQ   /IETF2008   /IPv6   /JP   /JPNIC   /NSEC3+opt-out   /RFC   /TLD   /ZSKロールーオーバー   /against   /compatibility   /delegation   /design   /dns.jp   /draft-ietf   /good-bad   /gov.ac   /open-resolver   /security   /tools   /watch   /できないこと   /なにができるのか   /なにがまずいのか   /不要論   /勧めない理由   /実装   /政府が推進?   /普及状況2013   /普及状況2017   /検証の普及   /業者   /用語   /用途   /確認方法   /移転   /署名の設定   /署名の認証   /脆弱性   /調査   /運用   /金儲けの機会   /関連ページ   /限界  

MoinQ: DNSSEC (last edited 2023-02-19 02:09:32 by ToshinoriMaeno)