MoinQ:

Describe DNS/DNSSEC/限界 here.

DNSSECで守れるものと守れないものを議論します。

1. 結論

DNSSECは署名の正当性を確認できるが、署名がないことには対抗できない。

1.1. 防げる、防げない

https://twitter.com/#!/OrangeMorishita/status/82067252026941440 @OrangeMorishita Yasuhiro Morishita

DNSSECで防げること:偽物を本物としてつかまされる。
DNSSECでは防げないこと(の一つ):本物をつかむのを妨害される。意外に知られていないみたいなので、あらためて。

ここの「偽者」は署名の偽造を指していると解釈すべきです。 偽のサーバに誘導されても分からないかもしれません。

https://twitter.com/#!/OrangeMorishita/status/82087191769133056 @OrangeMorishita Yasuhiro Morishita

DNSSEC導入後に毒入れ攻撃を受けたらどうなるか、ということであれば、
http://jpinfo.jp/topics-column/016.pdf の Q8とかでしょうか。
RT @beyondDNS: 日本語の資料のリンクはありますか。

DNSSECの導入によりキャッシュポイズニング攻撃の検知が可能になります。
...

すべての攻撃が可能だと臭わせる書き方ですが、そう理解するのは間違いです。

1.2. 改竄を検出できるもの

署名(RRSIG)つきの返答だけです。 存在を否定される名前やレコードなども検出できる。

1.3. DNSSEC での委譲の扱い

権威サーバが対応していても、ゾーンに属さないレコードには署名はつきません。

委譲されているドメインから得たNSやAを検証する必要があります。

DNS/DNSSEC/限界/breaking-dnssec

1.4. 委譲に対する毒盛

委譲のためのNS/Aを置き換えた返答で毒盛されるかもしれません。 それを防ぐのはDNSSECの仕事ではないとのことです。

DNSSECに対応していないドメインの保護はDNSSECの仕事ではないでしょう。 でも、DNSSEC対応しているドメインでも、

DNSSEC対応していないサブドメインという形での乗っ取り(DoS)を行なう攻撃は可能でしょう。

それでいいのでしょうか。

1.4.1. DNSSEC キャッシュ

DNSSEC対応のキャッシュサーバを使わなければ、クライアントはDNSSECの利点を利用することはできません。

DNSSECを使うことにより、トラフィックが増大します。途中のルータがパケットを通してくれないかもしれません。

1.5. 太田さんのスライドから

DNSSECを必要とするなら
–  セキュアじゃないゾーンからの答は?
•  信頼できない以上、全く使えないはず

DNSSECの理想と現実 −そのIPアドレス管理への影響− (太田 昌孝/東京工業大学)

移行問題

1.6. 参考

http://www.atmarkit.co.jp/fnetwork/rensai/dnssec02/01.html DNSSEC 再入門

http://news.ycombinator.com/item?id=1523704

There seems to be some momentum behind finally getting DNSSEC deployed. I think it's actually bad for the Internet; that it will cause reliability problems, create a huge amount of work for server admins, not solve any real-world security problem, and create a false sense of security. But be that as it may, it appears to be coming.

http://blogs.computerworlduk.com/unscrewing-security/2010/11/dnssec-exchanging-one-threat-for-another/index.htm

DNSSEC: exchanging one threat for another?

DNSSEC underscores a enormous shift in mentality
from DNS being a queryable repository of IP addresses to being an authoritative repository
reflecting the validity of a site being on the web.