| /CISA blog /Wouters-BlackHat /cookies /cookies以降 /本 |
DNSSECのことではありません。-- ToshinoriMaeno 2019-03-05 01:08:43
- DNSSEC以前に知っておくべきことがある。 やるべきこともたくさんある。
https://dhavalkapil.com/blogs/DNS-Security/
1. DNS/security
Contents
DNS/vulnerabilities http://www.l0t3k.org/security/docs/dns/
- DNS Security and Vulnerabilities: The Complete Documentation
- This category contains 13 Papers
- DNS Cache Poisoning - The Next Generation
- Published on 2003-01-20, by Joe Stewart (これが最古という訳ではないが)
- DNS Cache Poisoning - The Next Generation
- This category contains 13 Papers
http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html 意外と知られていない? DNSが抱えるセキュリティ問題 (2006年のことです)
関心がないからでしょう。 -- ToshinoriMaeno 2011-05-29 06:59:46
security 機密性、保全性、可用性という邦訳
1.1. なにを勉強すべきか
構成原理が簡単なだけに、多くを運用に依存している。(制約が少ない。問題を起こさないように運用するには...)
- 使えるかどうかを実験するために始めたDNSだった。
世間でのDNSの受け止め方の問題。
RFC (RFC を勉強することを軽視する風潮も)
BINDなどのサーバーソフトウエア、サーバ運用環境、DNSレコード設定、などの他に、 DNS登録システム(レジストラ、レジストリ)などの問題、脆弱性を知る必要がある。
そして、DDoSとか、毒盛なども。DNS/毒盛
運用にあたる組織(人間)が一番の弱点w
「ドメイン乗っ取り」という現象面での表現がひとり歩きして、実際に行われたことの説明はいっさいされない世界だ。
- 無責任な業界、関心のない利用者たち。
「わかりやすい説明」という理由で、あやしげな用語をひろめようとする組織。
利権を守ること以外にはなにもしようとしない人たちも。
1.2. 分析
- ドメイン名の権利の販売(ICANN以下、販売者) Domain Name Theft and Hijacking という話題も
- 分割管理の仕組み(レジストリ、レジストラ、登録者)
- DNSサーバソフトウエア作成者(ISCなど)
- DNSレコード登録者
- ゾーンサーバ運用者
- キャッシュサーバ運用者
- セキュリティ業者
1.3. DNS forgery
DJB : http://cr.yp.to/djbdns/forgery.html
1.4. cache poisoning
1.4.1. Kashpureff
https://en.wikipedia.org/wiki/AlterNIC
1.4.2. Kaminsky
2008 Blackhat
1.4.3. After Kaminsky
DNS/security/Wouters-BlackHat DNSSECの前にもやれることがいろいろある。
Defending your DNS in a post-Kaminsky world /post-Kaminsky
1.5. Fragmentation Considered Poisonous
フラグメントのすり替えは大変危ない。
1.6. DNSSEC
DNSSECはあわてて対応するようなものではない。
- まずはDNSがきちんとしているか、確認しよう。それができないなら、DNSSECにはとても対応できない。
1.7. UDP
となりのPCが攻撃者に操られているとしたら、自分のPCを守らないといけない。
- ネットワークはのぞき放題だと考えるべき。
-- ToshinoriMaeno 2011-07-08 04:45:17
1.8. 「浸透」いうな
浸透しないから鬼域名問題へ
脆弱性であることがあきらかになった。DNS/GDN DNS/GhostDomainNames DNS/浸透問題