DNSのセキュリティ対策などの考察
DNSのセキュリティ対策について考えます。(参考:R3春 応用情報)
DNSサーバの種類
権威DNSサーバ(DNSコンテンツサーバ)
- ドメインの名前解決の情報を持っている
- 外部からの問合せに対して、自身が保持する情報を応答する。
キャッシュDNSサーバ
- ドメインの名前解決の情報をもたない
- 外部に問い合わせを行って、その結果をクライアントに返す。
- 結果はキャッシュとして一定期間保持する
DNSの名前解決の種類(H30午前)
再帰的な問合せ
リゾルバから名前解決要求をうけたDNSサーバが他のDNSサーバに代理して問い合わせを行い、最終的な結果をリゾルバに返す必要のある問い合わせのこと。
反復問合せ
リゾルバから再帰的問合せを受けたDNSサーバがそれを解決できるまで繰り返し他のDNSサーバに行う問い合わせのこと
SSL証明書とDV・OV・EV
DNSサーバのインシデントの再発防止としてSSL証明書の話があげられていたのでまとめます。
参考:SSL証明書とは?仕組みや種類についてわかりやすく解説 | システム運用ならアールワークスへ
SSLとは
インターネット上の通信を暗号化する仕組みです。
SSL証明書とは
公正な第三者機関である認証局(CA)が、通信先のサーバが実在することを証明し、通信相手に偽りがないことを証明する
SSL証明書に含まれる鍵(公開鍵・秘密鍵)を用いて、ブラウザとサーバ間でやりとりされる通信を暗号化する
ドメイン認証(DV)
ドメイン名の所有者であることが確認できる
企業実在認証・組織認証(OV)
登録簿などを確認し、組織として法的に実在していることが確認できる
EV認証(EV)
上記2つの認証に加え、物理的に組織が存在するか、事業が存在・運営されているか、承認者・署名者が確認できる
DNSキャッシュポイズニング
DNSキャッシュサーバに偽のDNS情報をキャッシュとして登録させ、ユーザに偽サイトへ誘導する攻撃。
DNSキャッシュサーバに偽のキャッシュ情報を登録させる手順
- 攻撃者はキャッシュサーバに対して偽の再帰的な問い合わせを行い、反復問合せを強制的に生じさせる
- キャッシュサーバはコンテンツサーバに対して反復問合せをする
- 攻撃者はコンテンツサーバが正規の応答をするよりもさきにキャッシュサーバへ偽の応答を送りつける
- キャッシュサーバは攻撃者から送り付けられた偽の応答を正規のものと判断し、キャッシュに登録する。
対策
再帰的な問い合わせに対して内部ネットワークからのものに限定する。
DNSSEC
DNSの正当性を保証するための拡張仕様。
公開鍵暗号方式のディジタル署名を用いて、正当なDNSサーバからの応答であることをクライアントが検証する