[epnetfan 座学編] [Internet Week 2005 報告会] [DNS Day 報告 (HTML)] [DNS Day 報告 (PowerPoint)]

EPNetFan 2005 年度 座学編 第 XX 回 資料 Internet Week 2005 報告

[C1] DNS Day メモ

• 2006/01/19 森川靖大 追記
• 2005/12/06 小高正嗣 作成

目次

• 1. DNS 運用レポート
  • JP DNS レポート (白井 出 [日本レジストリサービス])
  • root DNS レポート (加藤 朗 [WIDEプロジェクト])
  • DNS 最新動向
    • SPAM 対策 (小林 直 [株式会社インターネットイニシアティブ])
    • DNSQC レポート (小山 祐司 [JPNIC])
• 2. 安全なドメイン管理
  • ドメイン管理の不備が招く危険 (米谷 嘉朗 [株式会社日本レジストリサービス(JPRS)])
  • レジストリとしての Lame チェックの重要性 (小山 祐司 [JPNIC])
  • パネルディスカッション -「安全なドメイン運用管理について」-

1. DNS 運用レポート

JP DNS レポート (白井 出 [日本レジストリサービス])

今年の話題

• 汎用 JP ドメインの利用が着実に伸びている
• 日本語ドメインも増えつつある.
• a.dns.jp (ルートサーバ)への問い合わせ数はゆるやかに増加(2005年)
• c.dns.jp の運用終了
  • 2005/03 運用終了アナウンス
  • 2005/05/10 完全に停止
  • [a-f].dns.jp 体制から [abde].dnc.jp 体制へ移行

DNS の不適切設定

• 概要
  • example.jp の NS に ns.example.co.jp を指定
  • ns.example.co.jp を破棄
  • 第 3 者が example.co.jp を取得, ns.example.co.jp を NS として立ち上げ
  • ns.example.co.jp が example.jp を制御できてしまう...
• 対策
  • 詳細は 2. 安全なドメイン管理を参照

Query (問い合わせ) 分析

• 目的
  • 安定稼働の指標
    • いまどきは何でも DNS に問い合わせる
  • サービス導入/変更の効果分析
  • BIND の不具合をつかむ
• 結果 (a.dns.jp)
  • 8/15 に [大阪 1] に問い合わせが集中
  • [大阪 2] にはない
    • 攻撃ではないらしい
• 午前 4 時に問い合わせのピーク
  • 3 年くらい前から
  • 1 つの IP が送信元の場合もある
  • 逆引きが多い, 再帰検索(root サーバからはじまる問い合わせ)

root DNS レポート (加藤 朗 [WIDEプロジェクト])

• root DNS サーバ
  • 12 の組織が 13 台のサーバを運用
    • (厳密には 13「台」は正確じゃないけど. 下記の Anycast 参照)
• Anycast の実装
  • 各地の Root DNS サーバでは Anycast によって負荷分散している.
  • サーバによっては 1 つの IP に対して 30 台近いノードを用意.
  • 日本にも Anycast されている root サーバ (F, I, J, K, M) がある.
  • 備考:
    • ＠IT：DNS Tips：IP Anycastって何ですか？
    • 【レポート】急速に進むDNSルートサーバーのAnycast化

• IPv6 Root: 現状

  一応各地の Root DNS サーバは IPv6 化されているものの, ほとんど IPv6 のアドレスの Query に対応できない. なにしろまだ zone に記述されていないことが問題.

  パケット長の問題もあるし, 現状を破壊してしまわないかという 問題がある. 新たな状況に対応しようという意思はあるものの, まだどーしたもんかな, という頭の痛い問題.

• Root サーバの今後

  DNSSEC 対応に向けて移行中. 安全なのは良いけど, 速度は大丈夫?

  DNSSEC 【DNS Security Extension】

  読み方 ：ディーエヌエスセキュリティー。 DNSのセキュリティを向上させるための拡張仕様。

  参考: <URL:http://e-words.jp/w/DNSSEC.html>

  EDNS0 に対応した DNS サーバを用いると良いらしい. (何が良いのかちょっと良くわからなった. IPv6 への移行が容易なのかな?).

  • 備考
    • <URL:http://www.soi.wide.ad.jp/iw2001/slides/15/15-2/22.html>
    • <URL:http://www.soi.wide.ad.jp/iw2001/slides/15/15-2/21.html>
    • <URL:http://www.atmarkit.co.jp/fnetwork/rensai/v6net04/v6net01.html>

• 質問

  Q.

  Anycast で各地にある単一の IP を持つサーバを点在させることが 可能だが, 結果としてすごく遠いところまで DNS の返事を取りに いったりしないのか?

  A.

  あります. Anycast は近い遠いを見ないため, 結果的にはるか遠く のインスタンス (Anycast によって単一のホストを構成するノードの一つ) へ行ってしまうこともあります.

  (ちなみに Anycast は DNS の技術ではなくてルーティングの技術です.)

DNS 最新動向

SPAM 対策 (小林 直 [株式会社インターネットイニシアティブ])

• 送信ドメイン認証
  • 所有するドメインが詐称されることを防ぐ
  • 詐称されたドメインへアクセスすることを防ぐ
• 具体的な技術
  • SPF (Sender Policy Framework)
    • Envelop From 行と送信元 IP アドレスから判定
    • メール転送には弱い
    • 参考: http://japan.linux.com/enterprise/04/09/16/0127221.shtml
  • Sender ID
    • MS 社が提案
    • PRA(?) と接続元アドレスから判定
    • ライセンスが厳しいので普及するかどうか疑問
    • 参考: http://e-words.jp/w/Sender20ID.html
    • 参考: Sender ID：送信者側の設定作業 − ＠IT
  • Domainkeys, DKIM
    • メール本文とヘッダに署名をいれる
    • ML などでよく行われる Subject 行への文字追加に弱い
    • 参考: http://e-words.jp/w/DomainKeys.html

• 普及率

  SPF はちょっと普及しているようだがそれでもまだまだの 普及率.

  2005/11 の段階では SPF 0.03 %, DomainKeys 0.00 % (もちろん全く無い わけじゃなくて, この桁だと落ちちゃう)

  • http://member.wide.ad.jp/wg/antispam/ にて公開されている
• 方法 (SPF)

  • いずれの方法も DNS の zone ファイル内で, TXT レコードを利用する.

    ex.)

    linux.com. IN TXT "v=spf1 a include:myserver.com -all"

  • 複雑なレコードにすると問い合わせ回数が増える
• まとめ
  • 設定を間違うと正当なサーバからのメール受信を拒否してしまう
  • 自己防衛のためには必要かもしれない
    • なにもしないと spammer ドメインとして認識されてしまう恐れがある

DNSQC レポート (小山 祐司 [JPNIC])

• DNS Lame Delegation: DNS が正常に動作していない状態を指す
  • DNS 問い合わせに応答しない
• JPNIC の DNSQC TF による DNS Lame チェック
  • APNIC 基準の Lame なゾーンは全体の 14%
  • DNSQC 基準の Lame なゾーンは全体の 20%
  • チェックだけでなく, 改善を求めるなどの活動も行っている.

2. 安全なドメイン管理

ドメイン管理の不備が招く危険 (米谷 嘉朗 [株式会社日本レジストリサービス(JPRS)])

• ドメイン名管理者の仕事
  • 自分のドメインぞーん情報を提供する DNS サーバの運用(下位へのサービス)
  • その DNS サーバ情報のレジストリへの設定(上位へのサービス)
  • 上位と下位の整合性を維持 (単にサーバ単体のセキュリティに気をつけていれば良いわけではない)
  • これらが一つでも欠けると適切なドメイン名管理がなされない
  • ドメイン乗っ取りの可能性がでてくる.
• ドメイン名の乗っ取りはなぜ起こるか?
  • 例) 有効期限切れた DNS サーバを放置しておくと, 第 3 者に同名の DNS サーバを立ち上げられ, 詐称されてしまう.
  • ドメイン名登録管理者と DNS 運用管理者間との連係がとれていないと 起こる可能性がある.
• ドメイン名の乗っ取られると何が起こるか?
  • 名前解決の遅延
  • 正しい名前解決をしない
    • あるはずのドメインへアクセスできない
    • 偽サイトへのアクセスを誘導される
  • 実際の事例
    • 某クレジットカード会社の DNS サーバが登録切れ状態になっていた.
    • IPA の注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html
• JP ドメインの対応
  • 注意喚起メールをドメイン名登録者に送付 (2005/08, 09, 10)
  • 存在しない JP ドメイン名の DNS サーバへの委任を削除
    • JP ドメイン名の規則を改訂 (2006/01/10)

レジストリとしての Lame チェックの重要性 (小山 祐司 [JPNIC])

• Lame Delegation
  • DNS サーバが正常に動作していない状態を表す
• Lame Delegation 問題点
  • ユーザ側
    • 名前解決ができない
    • 名前解決に時間がかかる
    • 誤った名前解決をされる
  • ネットワーク全体
    • 無駄なトラフィックが生じる

• 逆引きと正引きの違い

  逆引きの管理は正引きに比べ, 直接的に行われることが多い. (例えば北大が, IP は直接管理しているのもその例).

  よって RIR がそちらの Lame をチェックし, 通達等を行っている.

  RIR

  IPアドレスの割り当て、管理を行なう地域インターネットレジストリ管理団体 (RIR : Regional Internet Registry)

パネルディスカッション -「安全なドメイン運用管理について」-

• JPCERT から
  • 2005 年以降, フィッシングの増加
  • 参考 http://www.jpcert.or.jp/ed/
• OCN の Lame な DNS の現状
  • OCN で総問い合わせの 3-4% が Lame
  • 逆引きに多い
  • C クラス (/25) 未満の権限委譲がうまくいっていないらしい
    • 技巧をこらした委譲方法が多い
    • そもそも真面目に設定していない?(逆引きだからまいっか)
• ドメイン名の更新を忘れると…
  • 一定の冷却期間をおいて他人のものになる
  • 元のドメイン名が著名であればあるほど, 悪用される傾向にある
    • 結果として実社会での信頼も失ってしまう危険あり
  • 事例1)
    • 某政治家の古い個人ページの URI が海外ポルノサイトの URI として使われた
  • 事例2)
    • あるフリーソフトウェアのドメイン名の更新を忘れた. そのドメイン名が 高額で売りに出されてしまい, 結局サイトのドメイン名を変更した
  • 忘れないためには
    • Whois を定期的に確認する
    • 決裁方法を事前に把握する
• 会場からのコメント
  • Whois の問題
    • whois で登録者の住所や TEL 番号などが晒されているのは問題. 実際に使われる可能性のない情報はそもそも公開するべきではない のではないか?

• "whois" に関するおまけ

  以下のコマンドで情報検索が出来て便利

  $ whois gfd-dennou.org

  jp ものは

  • JPRS WHOIS <URL:http://whois.jprs.jp/> （検索先ホスト：whois.jprs.jp）
  • whois.jp <URL:http://whois.jp/> （検索先ホスト：whois.jp）

  を見てみるといろいろ載ってます. sinra.jp や hokudai.ac.jp を 見てみよう!!

[epnetfan 座学編] [Internet Week 2005 報告会] [DNS Day 報告 (HTML)] [DNS Day 報告 (PowerPoint)]