MoinQ: DNS/信用するな/脆弱

だいぶ古くなっています。

• あらたな危険も分かってきているので、改訂が必要です。　-- ToshinoriMaeno 2015-04-25 00:04:13

  • DNS/1/信用するな

1. DNS は脆弱である

『DNS を信用するのは大変危険です。』 DNSの低信頼性とさらなる低下 -

• TIC DNS 勉強会スライド TICメモ

こういう話をしていたら、「インターネット(Internet)なんてそういうものだ」と言われてしまいました。その通りです。 現実にこういうことが： http://www.nic.ad.jp/ja/topics/2005/20051024-01.html 逆引きネームサーバの障害について

皆さんがこのことを分って使っておられるならいいのですが。

RFC 3833 : "Threat Analysis of the Domain Name System (DNS)" DNS/RFC/3833

DNS サーバにデータを登録する人(あえて管理者とは呼びません)は DNS の仕組みを理解していないようです。 設定間違いの危険性を理解していないことは自明な帰結です。 つまり、DNS を利用する側は DNS サーバの返事を信用しては危険だ思うべきです。

管理者だけでなく、 インターネットを使う人 ならだれでも DNS の役割と DNS の脆弱性、危険性を理解しておくべきです。 なんとか使えているのが奇跡だとおっしゃる方もあります。 本当に使えているのでしょうか。

• DNS の仕組みそのものは非常に簡単です。

  でも [ref.html DNS の仕様 (RFC)]]にはいろいろ問題があります。

  • http://www.nic.ad.jp/ja/materials/iw/2003/main/dns/3-jinmei.pdf DNS サーバ・セキュリティ (神明 達哉さん)

  • http://www.ne.jp/asahi/bdx/info/depot/securenet-20031031-pub.pdf DNS の信頼性とセキュリティ問題(力武 健次さん)

  • http://news.com.com/2102-7349_3-5816061.html?tag=st.util.print DNS servers--an Internet Achilles' heel

• DNS は利用規模の拡大を妨げる構造を抱えています。

• http://www.templetons.com/brad/dns/ Problems, Goals and a Fix for Domain Names

• DNS/問題のある実装がいまでも使われているのを目にします。

• 運用面では設定の間違いも目立ちます。 運用の間違いからくる危険を認識していただきたいものです。
• DNS 管理者を育てていないのではないでしょうか。
• そして、最大の問題は DNS データを統合管理している組織です。

• さらにまぎらわしいドメイン名という問題もあります。 http://sa.notwork.jp/2005/NOTWORK.JP-SA:050401-00.html

1.1. 詐欺にあってからでは遅い

管理者だけでなく、 インターネットを使う人 ならだれでも DNS の役割と DNS の脆弱性、危険性を 理解しておくべきです。(インターネットが危険であるということも)

DNS/ドメインの委譲 の間違いは DNS 利用者を偽サイトに誘導される危険があります。

• DNS/サーバ名の不良 DNS/visa.co.jp事件 http://www.e-ontap.com/

• ドメインの失効 ../myblog.jp 事件 http://bb.watch.impress.co.jp/cda/news/9803.html

• http://www.ipa.go.jp/security/vuln/20050627_dns.html ドメイン名の登録と DNS サーバの設定に関する注意喚起(IPA)

• http://jprs.jp/tech/dnsqc/risk0001.html メールサービスに対する影響

http://www.menandmice.com/9000/9211_dns_spoofing.html DNS spoofing http://www.nic.ad.jp/ja/dnsqc/index.html JPNIC の活動

1.2. 安全に運用/利用することは困難です

DNS の返答は誰が責任を持つかよくわからない「道案内」に似ています。

ドメインの登録や IP アドレスの取得には高いお金を要求されるのに、 『内容の整合性に責任を持つ組織は存在しない』という不思議な状況があります。

また、Dynamic DNS を使った素人サイトが増えて、 DNS の信頼性はより低くなっています。

現状では DNS は『自己責任』で使うものだと考えるのがいいでしょう。

• コンテンツサーバではDNS/再帰検索させないこと -->

  • DNS/お勧めの設定

  • http://www.soi.wide.ad.jp/class/20020038/slides/12/ DNS をきちんと設定しよう (民田雅人 DNS DAY Internet Week 2002)

• DNSの諸問題

• 使ってはいけない CNAME、 CNAME の間違った使い方

• DNS/誤解集

• DNS/サーバ設定のよくある間違い

• DNS/迷惑な設定

• DNS/BIND博物館

http://www.menandmice.com/6000/6000_domain_health.html

関連情報 -- FAQ -- DNS/RFC

http://www.isc.org/ops/ds/ ISC Internet Domain Survey

DNS/サーバ設定の調査 DNS/おかしな設定のプロバイダ