DNSのセキュリティ対策について考えます。(参考：R3春 応用情報)

DNSサーバの種類

権威DNSサーバ(DNSコンテンツサーバ)

• ドメインの名前解決の情報を持っている
• 外部からの問合せに対して、自身が保持する情報を応答する。

キャッシュDNSサーバ

• ドメインの名前解決の情報をもたない
• 外部に問い合わせを行って、その結果をクライアントに返す。
• 結果はキャッシュとして一定期間保持する

DNSの名前解決の種類(H30午前)

再帰的な問合せ

リゾルバから名前解決要求をうけたDNSサーバが他のDNSサーバに代理して問い合わせを行い、最終的な結果をリゾルバに返す必要のある問い合わせのこと。

反復問合せ

リゾルバから再帰的問合せを受けたDNSサーバがそれを解決できるまで繰り返し他のDNSサーバに行う問い合わせのこと

SSL証明書とDV・OV・EV

DNSサーバのインシデントの再発防止としてSSL証明書の話があげられていたのでまとめます。

参考：SSL証明書とは？仕組みや種類についてわかりやすく解説 | システム運用ならアールワークスへ

SSLとは

インターネット上の通信を暗号化する仕組みです。

SSL証明書とは

公正な第三者機関である認証局(CA)が、通信先のサーバが実在することを証明し、通信相手に偽りがないことを証明する

SSL証明書に含まれる鍵(公開鍵・秘密鍵)を用いて、ブラウザとサーバ間でやりとりされる通信を暗号化する

ドメイン認証(DV)

ドメイン名の所有者であることが確認できる

企業実在認証・組織認証(OV)

登録簿などを確認し、組織として法的に実在していることが確認できる

EV認証(EV)

上記2つの認証に加え、物理的に組織が存在するか、事業が存在・運営されているか、承認者・署名者が確認できる

DNSキャッシュポイズニング

DNSキャッシュサーバに偽のDNS情報をキャッシュとして登録させ、ユーザに偽サイトへ誘導する攻撃。

DNSキャッシュサーバに偽のキャッシュ情報を登録させる手順

1. 攻撃者はキャッシュサーバに対して偽の再帰的な問い合わせを行い、反復問合せを強制的に生じさせる
2. キャッシュサーバはコンテンツサーバに対して反復問合せをする
3. 攻撃者はコンテンツサーバが正規の応答をするよりもさきにキャッシュサーバへ偽の応答を送りつける
4. キャッシュサーバは攻撃者から送り付けられた偽の応答を正規のものと判断し、キャッシュに登録する。

対策

再帰的な問い合わせに対して内部ネットワークからのものに限定する。

DNSSEC

DNSの正当性を保証するための拡張仕様。

公開鍵暗号方式のディジタル署名を用いて、正当なDNSサーバからの応答であることをクライアントが検証する