続・広く知ってほしいDNSのこと
Download as PPTX, PDF9 likes6,228 views
ssmjp20180524でお話した内容です。
続・広く知ってほしいDNSのこと
- 2. 1 はじめに - 前回のお礼 - 6,000+ Views ホットエントリ入り ssmjp効果スゴい! リーチアウト活動の有効性を再認識 https://www.slideshare.net/nakatomoorg/ssmjpdnssecurity
- 3. 2 主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
- 4. 3 以下のキーワードを理解し、区別できるようになる ▪ 【おさらい】スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ 【New!】レジストリ、レジストラ、レジストラント、WHOIS ドメインやその情報を管理・保護するための仕組みを理解する ▪ レジストリロック、レジストラロック ▪ コントロールパネルの多要素認証など DNS運用に関する今どきのトピックを知る ▪ 自前運用からの脱却、ダイバーシティ ▪ MyEtherWallet.com(MEW) 仮想通貨盗難事件 ▪ DNSブロッキング 本日のゴール DNSやドメインにまつわるちょっと耳よりな話を通じて • みなさんのシステムの運用品質がちょっとよくなる、トラブルを未然に防止できる • DNSやDNS Summer Day 2018に興味を持ってくれる人がちょっとでも増える
- 5. 4 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) メール送受信時のパラノイドチェック(正引きと逆引きの一致) 【おさらい】DNSとは example.jp A ? example.jp. A is 203.0.113.1 DNSサーバ群
- 6. 5 .(root)を起点としインターネット全体に広がる分散データベース フルリゾルバが.(root)から再帰探索を行い情報を取得(=名前解決) 情報は(スタブ|フル)リゾルバで一定期間保持され再利用、効率化 低負荷、高レスポンス性を実現するため原則UDPで通信 【おさらい】DNSのメカニズム . jp. example.jp. example.jp. A ? フルリゾルバ ↑覚えよう! (キャッシュDNSサーバ) ネームサーバ ↑覚えよう! (権威DNSサーバ) example.jp. A ? スタブリゾルバ ↑覚えよう! (クライアント) example.jp. A is 203.0.113.1 example.jp. NS is・・・ Root Top Level Domain 2nd Level Domain
- 8. 7 ドメインを登録し利用するためには.comや.jpなどのTLD:Top Level Domainの ネームサーバを管理する登録管理機関(レジストリ)へ情報伝達が必要となる 登録者(レジストラント)からは登録取次事業者(レジストラ)を通じて行う ドメイン登録管理のメカニズム システム連携 レジストリ DB レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 TLD ネームサーバ 同期 3つを区別することが、ドメインを的確に理解するために重要 主にWeb EPP(※)など ※Extensible Provisioning Protocol WHOIS .com .org .jp …etc
- 9. 8 ドメインの各情報を記載した誰でも参照可能なデータベース 登録者情報 ネームサーバ情報 ドメインの状態 など なぜ? なにかしらの問題、悪用が生じた際の、 コンタクト先(PoC:Point of Contact)情報 として重要 登録情報を書き換えることでドメイン そのものを乗っ取ることが可能 ▪ ネームサーバ変更 ▪ 登録者変更、削除 など WHOIS 情報を適切に維持することが重要 かつ要求されている WHOISの例 http://whois.jprs.jp/?key=dnsops.jp
- 11. 10 はて、なんでそんなことできちゃうの? システム連携 レジストラ 各社管理 システム レジストラ ↑覚えよう! (登録取次事業者) レジストリ ↑覚えよう! (登録管理機関) レジストラント ↑覚えよう! (登録者) 操作、申請 このご時世、ID/PWDのみによる認証はもうとっくに限界よ! 主にWeb EPP(※)など ※Extensible Provisioning Protocol 各種攻撃への対策 は十分ですか? 脆弱なID/PWD設定 していませんか? マルウェア 感染してませんか? レジストリ DB TLD ネームサーバ 同期 WHOIS .com .org .jp …etc
- 12. 11 一部のレジストリやレジストラが提供 している機能を上手く使う レジストリロック ▪ 主にWHOISの登録情報変更を 制限する機能 ▪ レジストリが提供 レジストラロック ▪ 主にドメインの移転や削除を 制限する機能 ▪ レジストラが提供 レジストラ各社コントロールパネルの の認証機能強化とその利用 ▪ 多要素認証など ドメインハイジャックへの対策 レジストリロックの例 【引用元】https://jprs.jp/about/dom-rule/registry-lock/ まだまだぜんぜん利活用が不十分
- 13. 12 知っておきたいドメインの状態 通常状態 利用可 Active, Connected, okなど レジストリにより なにかしらの制限がかけられた状態 利用可 serverUpdateProhibitedなど 利用不可 serverHold (Expired) など レジストラにより なにかしらの制限がかけられた状態 利用可 clientTransferProhibited, clientDelete Prohibitedなど 利用不可 clientHoldなど EPP:Extensible Provisioning Protocolのステータスコードがベース 【参考】http://www.icann.org/epp レジストリロック ドメイン有効期限切れ レジストラロック 次頁へ登録情報不備など
- 15. 14 ネガティブキャッシュ、知ってますか? 「Status: ClientHold」の恐怖(続き) jp. 900 IN SOA z.dns.jp. root.dns.jp. ( 1526998502 ;serial 3600 ;refresh 900 ;retry 1814400 ;expire 900 ;minimum ) com. 900 IN SOA a.gtld-servers.net. (snip)( 1526999411 ;serial 1800 ;refresh 900 ;retry 604800 ;expire 86400 ;minimum ) ドメインによっては完全復旧に24時間以上を要する DNSにおけるキャッシュ機能には大きく分けて、以下の2種類があります。 1)通常のキャッシュ その名前が「存在すること」をキャッシュします。 キャッシュ保持期間はDNS各レコ ードのTTL(Time To Live)値として指定します。 2)ネガティブキャッシュその名前が「存在しないこと」をキャッシュします。 ネガティブキャッシュ保持期 間はSOAのminimum値として指定します。 JP ccTLD (†) gTLD (‡) 【引用元】 https://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf † country code TLD : 国別トップレベルドメイン ‡ generic TLD : 汎用トップレベルドメイン
- 18. 17 【今どきトピック】 DNSブロッキング 従前のコンセンサスがいつの間にか一方的に覆されてしまい、 その影響や制約を受け続けることは技術者として間違いなく不幸 もちろんDNS Summer Day 2018でも取りあげます 今からでも遅くないので、関心を持ち積極的に関与していきましょう! まずは知るところから!
- 20. 19 【再掲】主催イベントのお知らせ – DNS Summer Day 2018 - https://dnsops.jp/event20180627.html 国内で年2回開催している DNS関連イベントの一つ DNS Summer Day DNSOPS.JP BoF @Internet Week
- 21. 20 まとめ DNSは誰もが常に利用している重要インフラでありながらも、あまり意識されることの ない空気のようなもの。一方、ひとたびその運用に問題が発生すると、影響が広範囲 になってしまいがち。もう少しDNSへの理解や関心を高めることで、みなさんのDNS の運用品質が高まります。DNS Summer Day 2018 へのご参加お待ちしています。 スタブリゾルバ フルリゾルバ ネームサーバ レジストラント レジストラ レジストリ WHOIS コントロールパネル の多要素認証 レジストラロック レジストリロック 仮想通貨盗難事件 DNSSEC RPKI DNSブロッキング自前運用からの脱却 ダイバーシティ <本日のキーワード>