DNSSEC/delegationについて、ここに記述してください。
1. DNSSEC 下での委譲
http://xs.powerdns.com/presentation-hitb/ http://xs.powerdns.com/presentation-hitb/dnssec-good-very-bad.pdf
slide 24-26
2. On the delegation issue
Each name in DNSSEC has exactly ONE signature(set)
So if ns1.fox-it.com is part of the .com zone, AND part of the fox-it.com zone, it will only be signed in the fox-it.com zone And not in com!
So how do we perform a secure delegation? WE DON'T! So if your zone is not signed, but .com is, you don't benefit at all So, what IS signed?
If your zone is not DNSSEC secured, like fox-it.com for example, there will be cyptographic proof of that (!) Thanks dudes Against downgrade attacks!
DNSSEC technique:
3. denial of service
Since delegating answers, for example from .com, are not themselves DNSSEC secured, they can be modified at will
For example, to point at 127.0.0.1
Since DNSSEC verification only happens at the end
Or in this case, not at all
This means that DNSSEC does nothing to protect the interim resolution steps
4. 関連情報
ゾーン外のNSを用いている場合の弊害があれば教えてください
• キャッシュDNSサーバはDNSSECで守られていない委任情報を辿る可能性がある
– キャッシュへの毒入れ攻撃があると、最終的なDNSSECの委任先へ辿りつけない ⇒ 目的の名前解決ができない
• ゾーン外のNSはDNS的には...
– 運用面で止むを得ない場合があるのは確か
– 出来る範囲でゾーン内のNSでお願いしたい
DNSSECは嘘を見破る技術 – 正しい答えを見つける技術では無い
ここの「嘘」とは偽の署名のことである。
- DNSSECがqueryの返事について真偽を判定できる可能性があるのはRRSIGがついたRecord Setに関してだけである。
RRSIGのないものについてはなにも言えない。
DNSSECで保護されていない情報はすべて嘘だと思わないと使えないのではないか。あるいは個々にユーザが判定するか。
- 委譲が正しいかどうかはアクセスしてみなければ分からない。
-- ToshinoriMaeno 2011-06-16 12:55:52
https://twitter.com/#!/OrangeMorishita/status/82103825170833408
数年前に私も相当考えました。 NSが返る局面では DNSSECありだとNS, DS, RRSIG(DS)が返って、 DNSSECなしの委任だとNS, NSEC, RRSIG(NSEC)が返り、 DSやNSECに署名がつくので、 偽のNSは突っ込めそうもない、というのが、私の結論でした。 委任の部分に弱点があるのではないか、というのは、やっぱり最初に疑うところです。 ×DSやRRSIGに署名がつく 〇DSやNSECに署名がつく
5. DNSSEC 利用ドメインが安全だという証明はされていない
- DNSSECなしの委譲(委任)で、NSECがなにを証明してくれるのかが問題です。
- DSがないことを証明してもらっても、Insecure zone の偽委譲は防げないことは上のスライドにもある。
6. キャッシュサーバの実装
RFC 4035の説明で十分だろうか。 ../キャッシュサーバ