SlideShare a Scribd company logo

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

Download as PPTX, PDF
Tomohiro Nakashima
Tomohiro Nakashima

2017年10月31日のssmjpでお話するDNSのプレゼンテーション資料です。

1 of 21
Downloaded 68 times
ssmjp20171031 広く知ってほしいDNSのこと ~とあるセキュリティ屋から見たDNS受難の10年間~ 2017年10月31日 NRIセキュアテクノロジーズ株式会社 日本DNSオペレーターズグループ Internet Week 2017 プログラム委員会 中島 智広
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 1 本日のゴール 参加者全員が以下のキーワードの区別が付くようになる ▪ スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ レジストラ、レジストリ 「DNSの脅威」を正しく知り、正しく怖がる 「DNSの浸透問題」が都市伝説であることを知る 技術者としてDNSを正しく理解し、備えるモチベーションを得る 社会人一年目からDNSに携わり気づけば10年。その間、本当にいろい ろなことがありました。教科書に載っていないDNSのいろいろ、その一 部をお話しします。 はじめに 結果
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 2 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) パラノイドチェック(正引きと逆引きの一致) DNSとは example.jp A ? example.jp. A is 124.146.181.148 DNSサーバ群
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 3 フルリゾルバが代理で.(root)から再帰的に名前解決 名前解決の結果はキャッシュDNSサーバで保持され再利用 低負荷、高レスポンス性を実現するため原則UDPで通信 DNSのメカニズム .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 124.146.181.148 example.jp. NS is・・・
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 4 ネームサーバ ゾーン情報を保持、管理、公開するためのサーバ。日本では Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。 フルリゾルバ ネームサーバで公開されている情報を、ルートからたどって参 照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決する もの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば れる。日本ではキャッシュDNSサーバとも呼ばれる。 スタブリゾルバ 再帰問い合わせ機能を持たないリゾルバ。単に名前解決をし たいだけの機器に組み込まれる。一般的なクライアントOS (Windows/Macなど)のDNS設定はスタブリゾルバの設定。 ネームサーバ、フルリゾルバ、スタブリゾルバ 3つを区別することが、DNSを的確に理解するために重要 ゾーン情報の公開 再帰問合わせ キャッシュ キャッシュ
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 5 全世界のサーバが協調して動作する分散型データベースと言えば 聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み DNSを取り巻く脅威 .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 192.0.2.1 example.jp. NS is・・・
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 6 ケース1)応答割り込みによるキャッシュ汚染攻撃 example.jp. 問い合わせ 権威DNSサーバ (ネームサーバ) ↑覚えよう応答 キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう クライアント (スタブリゾルバ) ↑覚えよう 攻撃者 汚染 Rqt N WRr     ) 6553665536 1(15.0 Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変 Rr:応答攻撃のレート Rq問い合わせ攻撃のレート W:正規応答が返ってくるまでの時間 N:ネームサーバの数 t:時間 Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく 話題となった。現在はDNS実装に緩和策が施されており、直ちに危険 なものではない。
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 7 ケース2-1)金盾(Great Firewall of CHINA) 原典:JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」 中国の国家規模のDNSスプーフィングは昔から広く知られる
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 8 ケース2-2)中東の某国 https://ripe75.ripe.net/presentations/20-A-curious-case- of-broken-DNS-responses-RIPE-75.pdf 今日ではもはや中国に限る話ではない
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 9 ケース2-3)DigiNotar事件 原典:PKI Day 2012 神田雅透氏「 サイバー攻撃ツールとしての公開鍵証明書の役割」 DNSスプーフィングされても重要な通信は SSL/TLSで保護されるから大丈夫だよ。 偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 10 ケース3)日経新聞、はてなドメイン名ハイジャック事件 http://www.itmedia.co.jp/news/article s/1411/06/news123.html 国内事業者のネームサーバ情報が第三者により書き換えられた
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 11 想定される脅威のまとめ 悪意ある第三者 攻撃手法 DNS応答への割り込みによる キャッシュ汚染攻撃 何らかの手法によるDNSサーバを 乗っ取ったDNS応答の改ざん など 国家規模の何か 攻撃手法 通信経路ハイジャック DNSサーバへの介入などによる DNS応答そのものの改ざん など 対策手法 改ざんを検知する仕組みの導入 攻撃を検知・防御する仕組みの導入 対策手法 改ざんを検知する仕組みの導入
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 12 DNSの不都合な事実 攻撃ポイントがたくさんある プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない DNSへの攻撃が成功すると 悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布) 中間者攻撃(Man In the Middle Attack) サービス妨害(DoS) etc・・・ あらゆるサービスが依存する重要なインフラにも関わらず、 DNSの応答が正しさを確認する方法がないことが問題 DNSの脆さと相手認証の必要性 DNSにおいて通信相手と通信の中身の認証が必要
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 13 DNSSEC(DNS SECurity extension)は 公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様 DNSスプーフィングを根本的に防ぐことが可能 DNSSECとは example.jp. example.jp. A ? 権威DNSサーバ (ネームサーバ) 応答+検証済みフラグ キャッシュDNSサーバ (フルリゾルバ) ユーザ (スタブリゾルバ) 攻撃者 検証
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 14 署名の検証に失敗すると名前解決そのものが失敗(ServFail) 鍵と署名の交換を定期的に行う必要があり運用が煩雑 DNSSECの留意点 .(root) jp. example.jp. 名前解決不能 (ServFail) キャッシュDNSサーバ (フルリゾルバ) クライアント (スタブリゾルバ) 検証 問い合わせ 検証済フラグ付き応答 検証 問い合わせ 署名付応答 鍵情報(DS)の登録 鍵情報(DS)の登録 問い合わせ 権威DNSサーバ (ネームサーバ) トラストアンカー
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 15 DNSSECの捉え方とよくある意見 今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が 顕在化したときに備え、それらから守るための手段を社会インフラとして のDNSおよびDNS運用者は用意しておく必要があります。 DNSSECはそのために用意された既に利用可能な仕組みです。 DNSSECはセンスが悪い。 署名失敗時のリスクが高すぎる。 UDPやめてTCPにすればいい じゃない。 個々のご意見はごもっともなのですが、批判するだけでは解決しません。 代替案とともにIETFなどでの標準化活動をお願いします。
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 16 世界的なDNSSECの普及動向 https://stats.labs.apnic.net/dnssec 順 位 cc TLD 国名 DNSSEC Validation 1 KI キリバス共和国 95.07% 10 SE スウェーデン 76.40% 17 PT ポルトガル 63.77% 51 HK 香港 36.54% 55 FR フランス 33.22% 70 AU オーストラリア 26.18% 82 US アメリカ 23.09% 99 EU 欧州連合 18.41% 115 RU ロシア 14.97% 167 JP 日本 6.63%
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 17 DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関 心であり、その最たる例が「浸透問題」です。技術者として的確にDNS の知識を備えておきましょう。 メッセージ https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html 要は正しい手順に 従ってないだけ
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 18 日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開 催されています。ぜひご参加ください。 お知らせ その1 DNS Summer Day 主催:DNSOPS.JP 費用:無償 夏のイベント 2018年6月下旬予定 第19回 DNSOPS.JP BoF 主催:DNSOPS.JP 費用:無償 Internet Week 2017 DNS DAY 主催:JPNIC/後援:DNSOPS.JP 費用:11,000円 同日夜開催 冬のイベント 2017年11月30日 https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 19 登録受付中!! 日程: 2017年11月28日(火)~12月1日(金) (4日間) 場所: 浅草橋(東京) ヒューリックホール&ヒューリックカンファレンス https://internetweek.jp/ お知らせ その2
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 20 Internet Week 2017 おすすめプログラムピックアップ まるわかりIoT講座 ~スタートダッシュを決める150分~ IoTもおまかせ!サーバーレスで変わる インフラとの関わり方 11月29日(水) 09:30-12:00(150分) 転ばぬ先のIoTセキュリティ ~コウカイする前に知るべきこと~ 11月29日(水) 13:15-15:45(150分) 11月29日(水) 16:15-18:45(150分) DNS DAY キャッチアップ! 2020に向けたメール運用 11月30日(木) 09:30-12:00(150分) 11月30日(木) 13:15-18:45(300分) 最新技術の三連星 基礎を高める450分 一般 学生※ 150分枠 5,500円 550円 300分枠 11,000円 1,100円 ※25歳以下に限る

More Related Content

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

  • 2. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 1 本日のゴール 参加者全員が以下のキーワードの区別が付くようになる ▪ スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ レジストラ、レジストリ 「DNSの脅威」を正しく知り、正しく怖がる 「DNSの浸透問題」が都市伝説であることを知る 技術者としてDNSを正しく理解し、備えるモチベーションを得る 社会人一年目からDNSに携わり気づけば10年。その間、本当にいろい ろなことがありました。教科書に載っていないDNSのいろいろ、その一 部をお話しします。 はじめに 結果
  • 3. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 2 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) パラノイドチェック(正引きと逆引きの一致) DNSとは example.jp A ? example.jp. A is 124.146.181.148 DNSサーバ群
  • 4. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 3 フルリゾルバが代理で.(root)から再帰的に名前解決 名前解決の結果はキャッシュDNSサーバで保持され再利用 低負荷、高レスポンス性を実現するため原則UDPで通信 DNSのメカニズム .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 124.146.181.148 example.jp. NS is・・・
  • 5. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 4 ネームサーバ ゾーン情報を保持、管理、公開するためのサーバ。日本では Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。 フルリゾルバ ネームサーバで公開されている情報を、ルートからたどって参 照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決する もの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば れる。日本ではキャッシュDNSサーバとも呼ばれる。 スタブリゾルバ 再帰問い合わせ機能を持たないリゾルバ。単に名前解決をし たいだけの機器に組み込まれる。一般的なクライアントOS (Windows/Macなど)のDNS設定はスタブリゾルバの設定。 ネームサーバ、フルリゾルバ、スタブリゾルバ 3つを区別することが、DNSを的確に理解するために重要 ゾーン情報の公開 再帰問合わせ キャッシュ キャッシュ
  • 6. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 5 全世界のサーバが協調して動作する分散型データベースと言えば 聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み DNSを取り巻く脅威 .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 192.0.2.1 example.jp. NS is・・・
  • 7. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 6 ケース1)応答割り込みによるキャッシュ汚染攻撃 example.jp. 問い合わせ 権威DNSサーバ (ネームサーバ) ↑覚えよう応答 キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう クライアント (スタブリゾルバ) ↑覚えよう 攻撃者 汚染 Rqt N WRr     ) 6553665536 1(15.0 Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変 Rr:応答攻撃のレート Rq問い合わせ攻撃のレート W:正規応答が返ってくるまでの時間 N:ネームサーバの数 t:時間 Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく 話題となった。現在はDNS実装に緩和策が施されており、直ちに危険 なものではない。
  • 8. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 7 ケース2-1)金盾(Great Firewall of CHINA) 原典:JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」 中国の国家規模のDNSスプーフィングは昔から広く知られる
  • 9. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 8 ケース2-2)中東の某国 https://ripe75.ripe.net/presentations/20-A-curious-case- of-broken-DNS-responses-RIPE-75.pdf 今日ではもはや中国に限る話ではない
  • 10. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 9 ケース2-3)DigiNotar事件 原典:PKI Day 2012 神田雅透氏「 サイバー攻撃ツールとしての公開鍵証明書の役割」 DNSスプーフィングされても重要な通信は SSL/TLSで保護されるから大丈夫だよ。 偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生
  • 11. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 10 ケース3)日経新聞、はてなドメイン名ハイジャック事件 http://www.itmedia.co.jp/news/article s/1411/06/news123.html 国内事業者のネームサーバ情報が第三者により書き換えられた
  • 12. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 11 想定される脅威のまとめ 悪意ある第三者 攻撃手法 DNS応答への割り込みによる キャッシュ汚染攻撃 何らかの手法によるDNSサーバを 乗っ取ったDNS応答の改ざん など 国家規模の何か 攻撃手法 通信経路ハイジャック DNSサーバへの介入などによる DNS応答そのものの改ざん など 対策手法 改ざんを検知する仕組みの導入 攻撃を検知・防御する仕組みの導入 対策手法 改ざんを検知する仕組みの導入
  • 13. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 12 DNSの不都合な事実 攻撃ポイントがたくさんある プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない DNSへの攻撃が成功すると 悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布) 中間者攻撃(Man In the Middle Attack) サービス妨害(DoS) etc・・・ あらゆるサービスが依存する重要なインフラにも関わらず、 DNSの応答が正しさを確認する方法がないことが問題 DNSの脆さと相手認証の必要性 DNSにおいて通信相手と通信の中身の認証が必要
  • 14. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 13 DNSSEC(DNS SECurity extension)は 公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様 DNSスプーフィングを根本的に防ぐことが可能 DNSSECとは example.jp. example.jp. A ? 権威DNSサーバ (ネームサーバ) 応答+検証済みフラグ キャッシュDNSサーバ (フルリゾルバ) ユーザ (スタブリゾルバ) 攻撃者 検証
  • 15. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 14 署名の検証に失敗すると名前解決そのものが失敗(ServFail) 鍵と署名の交換を定期的に行う必要があり運用が煩雑 DNSSECの留意点 .(root) jp. example.jp. 名前解決不能 (ServFail) キャッシュDNSサーバ (フルリゾルバ) クライアント (スタブリゾルバ) 検証 問い合わせ 検証済フラグ付き応答 検証 問い合わせ 署名付応答 鍵情報(DS)の登録 鍵情報(DS)の登録 問い合わせ 権威DNSサーバ (ネームサーバ) トラストアンカー
  • 16. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 15 DNSSECの捉え方とよくある意見 今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が 顕在化したときに備え、それらから守るための手段を社会インフラとして のDNSおよびDNS運用者は用意しておく必要があります。 DNSSECはそのために用意された既に利用可能な仕組みです。 DNSSECはセンスが悪い。 署名失敗時のリスクが高すぎる。 UDPやめてTCPにすればいい じゃない。 個々のご意見はごもっともなのですが、批判するだけでは解決しません。 代替案とともにIETFなどでの標準化活動をお願いします。
  • 17. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 16 世界的なDNSSECの普及動向 https://stats.labs.apnic.net/dnssec 順 位 cc TLD 国名 DNSSEC Validation 1 KI キリバス共和国 95.07% 10 SE スウェーデン 76.40% 17 PT ポルトガル 63.77% 51 HK 香港 36.54% 55 FR フランス 33.22% 70 AU オーストラリア 26.18% 82 US アメリカ 23.09% 99 EU 欧州連合 18.41% 115 RU ロシア 14.97% 167 JP 日本 6.63%
  • 18. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 17 DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関 心であり、その最たる例が「浸透問題」です。技術者として的確にDNS の知識を備えておきましょう。 メッセージ https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html 要は正しい手順に 従ってないだけ
  • 19. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 18 日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開 催されています。ぜひご参加ください。 お知らせ その1 DNS Summer Day 主催:DNSOPS.JP 費用:無償 夏のイベント 2018年6月下旬予定 第19回 DNSOPS.JP BoF 主催:DNSOPS.JP 費用:無償 Internet Week 2017 DNS DAY 主催:JPNIC/後援:DNSOPS.JP 費用:11,000円 同日夜開催 冬のイベント 2017年11月30日 https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html
  • 20. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 19 登録受付中!! 日程: 2017年11月28日(火)~12月1日(金) (4日間) 場所: 浅草橋(東京) ヒューリックホール&ヒューリックカンファレンス https://internetweek.jp/ お知らせ その2
  • 21. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 20 Internet Week 2017 おすすめプログラムピックアップ まるわかりIoT講座 ~スタートダッシュを決める150分~ IoTもおまかせ!サーバーレスで変わる インフラとの関わり方 11月29日(水) 09:30-12:00(150分) 転ばぬ先のIoTセキュリティ ~コウカイする前に知るべきこと~ 11月29日(水) 13:15-15:45(150分) 11月29日(水) 16:15-18:45(150分) DNS DAY キャッチアップ! 2020に向けたメール運用 11月30日(木) 09:30-12:00(150分) 11月30日(木) 13:15-18:45(300分) 最新技術の三連星 基礎を高める450分 一般 学生※ 150分枠 5,500円 550円 300分枠 11,000円 1,100円 ※25歳以下に限る