DNSSECチュートリアル

Size: px
Start display at page:

Download "DNSSECチュートリアル"

Transcription

1 DNSSECチュートリアル 民 田 雅 人 株 式 会 社 日 本 レジストリサービス Internet Week H Copyright 2009 株 式 会 社 日 本 レジストリサービス 1

2 目 次 DNS 編 BIND 9の 設 定 DNSのIPv6 対 応 DNSのリスク 編 DNSキャッシュポイズニング 従 来 型 の 毒 入 れ 攻 撃 手 法 短 いTTLのリスク Kaminsky 型 の 毒 入 れ 攻 撃 手 法 DNSSEC 編 DNSSECのしくみ DNSSECの 現 状 DNSSEC 編 ( 続 き) 電 子 署 名 とDNSSEC DNSSECの 鍵 と 信 頼 の 連 鎖 DNSSECのリソースレコード BINDキャッシュサーバでの DNSSECの 設 定 BIND 権 威 サーバでの DNSSECの 設 定 鍵 更 新 と 再 署 名 DNSSEC 化 によるDNSデー タの 変 化 DNSSEC 関 連 技 術 DNSSECのまとめ Copyright 2009 株 式 会 社 日 本 レジストリサービス 2

3 BIND 9の 設 定 DNS Copyright 2009 株 式 会 社 日 本 レジストリサービス 3

4 DNSサーバの 違 い 権 威 DNSサーバ( 以 下 権 威 サーバ) ゾーン 情 報 (=パブリックな 情 報 )を 設 定 し その 情 報 を 答 える インターネット 全 体 からの 問 合 せに 答 える キャッシュDNSサーバ( 以 下 キャッシュサーバ) 自 身 では 最 小 限 の 情 報 を 持 ち 必 要 な 情 報 は 権 威 サー バから 検 索 して 答 える 検 索 した 情 報 をキャッシュし 次 回 以 降 の 同 じ 問 合 せに 備 える サービス 対 象 からの 問 合 せのみに 答 える インターネット 全 体 に 答 える 必 要 は 無 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 4

5 BIND 9のnamed namedの1プロセスで 権 威 サーバとキャッシュサーバ を 兼 用 できる 多 くのBIND(BIND 8 以 前 を 含 む)が 兼 用 で 運 用 されている キャッシュ 権 威 を 分 離 できるがBIND 運 用 では 少 数 派 可 能 であれば 分 離 を 検 討 する サーバが1 台 でも 分 離 可 能 DNSSECには BIND 9.6 系 以 降 が 必 須 ( 後 述 ) 本 章 の 説 明 はBIND 9.4 系 以 降 を 前 提 としている 9.3までの 設 定 ではサーバとしての 動 作 に 問 題 が 発 生 する 最 新 版 は BIND P1 だが 基 本 的 設 定 は 同 じ Copyright 2009 株 式 会 社 日 本 レジストリサービス 5

6 キャッシュサーバ 専 用 のBIND 9の 設 定 例 自 組 織 /24 // 自 ネットワークの 定 義 acl mynet { /24; localhost; } ; // グローバルオプションの 設 定 options { // キャッシュサーバ // BIND 9のデフォルトはyes recursion yes; // アクセス 制 限 allow-query { mynet; }; allow-recursion { mynet; }; allow-query-cache { mynet; };... }; // ルートサーバへのhint zone "." { type hint; file "named.root"; }; allow-queryで 問 合 せ を 許 可 するIPアドレスを 自 ネットワークに 限 定 する allow-recursion, allow-query-cacheも 設 定 する BIND 9.4から 必 須 Copyright 2009 株 式 会 社 日 本 レジストリサービス 6

7 権 威 サーバ 専 用 のBIND 9の 設 定 例 // グローバルオプションの 設 定 options { // 権 威 サーバの 場 合 は no recursion no ;... allow-transfer { none ; } ; }; // root.hintの 設 定 zone "." { type hint ; file root.hint" ; } ; // example.jp のマスタ 設 定 zone "example.jp" { type master ; file "example.jp.zone" ; allow-transfer { w.x.y.z ; } ; } ; // example2.jpのスレーブ 設 定 zone "example2.jp" { type slave ; file "bak/example2.jp.zone" ; masters { z.y.x.w ; } ; } ; Copyright 2009 株 式 会 社 日 本 レジストリサービス 7

8 兼 用 型 BIND 9 設 定 の 基 本 1. 問 合 せを 許 可 するIPアドレスを 限 定 する = キャッシュサーバにアクセス 制 限 allow-query; 問 合 せを 許 可 するIPアドレスを 指 定 する (デフォルトは 全 て) allow-recursion; 再 帰 問 合 せ 許 可 するIPアドレスを 指 定 する (デフォルトはlocalhostとlocalnets) allow-query-cache; キャッシュデータへのアクセスを 許 可 するIPアドレスを 指 定 する(デフォルトはlocalhostと localnets) 2. ゾーン 情 報 はIPアドレスを 限 定 しない = 権 威 サーバはアクセス 制 限 しない プライマリ セカンダリはどちらも 同 じ Copyright 2009 株 式 会 社 日 本 レジストリサービス 8

9 兼 用 型 のBIND 9の 設 定 例 自 組 織 /24 viewを 活 用 // 自 組 織 のネットワーク acl mynet { /24; localhost; } ; view "recursion" { match-clients { mynet ; }; recursion yes; zone "." { type hint ; file "named.root"; }; }; view "external" { match-clients { any; }; recursion no; zone "." { type hint ; file "named.root"; }; // example.jp zone "example.jp" { type master ; file "master/example.jp" ; }; }; Copyright 2009 株 式 会 社 日 本 レジストリサービス 9

10 TIPS BIND 9ではviewを 利 用 すると サービス 対 象 によっ てサーバの 挙 動 を 変 更 できる 外 部 ネットワークからの 問 合 せには 権 威 専 用 サーバとし て 応 答 内 部 ネットワークからの 問 合 せには キャッシュ 権 威 兼 用 サーバとして 応 答 参 考 : Secure BIND Template サーバが1 台 でも 複 数 のIPアドレスを 設 定 すれば キャッシュサーバと 権 威 サーバは 分 離 できる listen-on, listen-on-v6 を 設 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 10

11 DNSのIPv6 対 応 DNS Copyright 2009 株 式 会 社 日 本 レジストリサービス 11

12 DNSのIPv6 対 応 は2つある DNS 通 信 のIPv6 対 応 DNSの 問 合 せ 応 答 のやりとりにIPv6の 通 信 を 使 う DNSコンテンツ(ゾーンデータ)のIPv6 対 応 IPv6アドレス(AAAAリソースレコード(RR)) を 登 録 する IPv6の 逆 引 きを 登 録 する 2つは 独 立 の 事 象 IPv4の 通 信 を 使 ってIPv4アドレス(A RR)を 検 索 IPv4の 通 信 を 使 ってIPv6アドレス(AAAA RR)を 検 索 IPv6の 通 信 を 使 ってIPv4アドレス(A RR)を 検 索 IPv6の 通 信 を 使 ってIPv6アドレス(AAAA RR)を 検 索 Copyright 2009 株 式 会 社 日 本 レジストリサービス 12

13 DNS 通 信 のIPv6 対 応 DNSサーバの 実 装 が IPv6での 通 信 に 対 応 してい るかどうか 比 較 的 新 しい 実 装 は ほとんどがIPv6での 通 信 に 対 応 もちろん サーバOSと ネットワークでの 対 応 も 必 要 権 威 サーバの 実 装 NSD PowerDNS BIND 9 BIND 8(8.4 系 ) etc キャッシュサーバの 実 装 Unbound PowerDNS recursor BIND 9 BIND 8(8.4 系 ) etc Copyright 2009 株 式 会 社 日 本 レジストリサービス 13

14 BIND 9のIPv6 関 連 の 設 定 項 目 ( 抜 粋 ) IPv6アドレスを 直 接 記 述 できるもの IPv4アドレスと 併 記 できるもの allow-query, allow-recursion, allow-query-cache allow-notify, allow-transfer match-destinations, match-clients zone 文 内 のmasters IPv6 専 用 のオプションがあるもの IPv4とは 別 に 設 定 するもの listen-on-v6 listen-onのipv6 版 notify-source-v6 notify-sourceのipv6 版 Copyright 2009 株 式 会 社 日 本 レジストリサービス 14

15 DNSコンテンツのIPv6 対 応 正 引 き ドメイン 名 IPv6アドレス AAAA RRを 使 う IN AAAA 2001:DB8::1 逆 引 き IPv6アドレス ドメイン 名 PTR RRを 使 う 点 はIPv4と 同 じ 4bit 単 位 で 区 切 り 逆 順 に 並 べ 最 後 に ip6.arpa 2001:DB8::1 2001:0DB8:0000:0000:0000:0000:0000: B.D ip6.arpa. IN PTR (1 行 で 記 述 ) 桁 数 が 多 いので 記 述 ミスに 注 意 Copyright 2009 株 式 会 社 日 本 レジストリサービス 15

16 IPv6の 逆 引 き 記 述 のTIPS 人 手 で 記 述 する 場 合 ミスを 減 らすため digコマンドの-xオプションを 活 用 するのがベター digコマンドは DNS 登 録 の 有 る 無 しに 関 わらず QUESTION SECTION をコメントで 表 示 $ dig -x 2001:db8::1... ;; QUESTION SECTION: ; b.d ip6.arpa. IN PTR... digの 出 力 をコピー&ペーストして 活 用 hostコマンドでも 可 Copyright 2009 株 式 会 社 日 本 レジストリサービス 16

17 IPv4/IPv6の 混 沌 とした 世 界 1 キャッシュ サーバ ユーザ (WEBブラウザ) 権 威 サーバ 2 DNSはIPv4のみでも WEB のAAAA RRがあれば ユー ザはWEBにIPv6でアクセス 3 可 (Google, 2ch 等 のIPv6) 4 関 係 する 全 通 信 がIPv4/IPv6 5 両 対 応 とは 限 らない 1~6のIPv6/IPv4 環 境 に 6 WEBサーバ なんらかの 問 題 がある ユーザがWEBアクセスに 時 DNSの 通 信 WEBの 通 信 間 がかかる あるいはアクセ ス 不 能 になることもある トラブルシューティングを 難 しくする 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 17

18 DNSのIPv6 対 応 まとめ DNSでは 通 信 とゾーンデータのIPv6 対 応 がある 最 近 の 実 装 であれば いずれも 対 応 済 正 引 きの 登 録 はAAAA RRを 使 う 逆 引 きは4bitづつで 区 切 り 最 後 に ip6.arpa. 桁 数 が 多 いので 記 述 ミスに 注 意 WEBサーバーとPCはIPv6で 通 信 していても DNSはIPv4で 通 信 していることもある PC(WEBブラウザ) キャッシュサーバ キャッシュサーバ 権 威 サーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 18

19 DNSキャッシュポイズニング ( 毒 入 れ) DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 19

20 DNSキャッシュポイズニング ( 毒 入 れ) 予 めキャッシュサーバに 偽 の 情 報 を 覚 えこま せ ユーザが 正 しいアクセスを 行 ったつもりで も 偽 装 サイトへ 誘 導 する 手 法 フィッシングやファーミングの 為 の 攻 撃 手 法 Copyright 2009 株 式 会 社 日 本 レジストリサービス 20

21 DNSの 正 常 な 流 れ(1 回 目 のアクセス) 問 合 せ 元 1 キャッシュ サーバ 2 権 威 サーバ 受 け 取 った 応 答 は しばらくキャッシュされる Copyright 2009 株 式 会 社 日 本 レジストリサービス 21

22 DNSの 正 常 な 流 れ(2 回 目 以 降 ) 問 合 せ 元 1 キャッシュ サーバ 権 威 サーバ 3 2 以 前 のアクセスと 情 報 が 一 致 していれば キャッシュサー バで 応 答 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 22

23 DNSへの 毒 入 れ 攻 撃 問 合 せ 元 2 キャッシュ サーバ 権 威 サーバ 偽 の 情 報 を キャッシュ させる Copyright 2009 株 式 会 社 日 本 レジストリサービス 23

24 ISPのキャッシュサーバが 狙 われたら ISPのキャッシュサーバ カスタマー 全 員 が 被 害 に 会 う ISPのカスタマー Copyright 2009 株 式 会 社 日 本 レジストリサービス 24

25 DNS 毒 入 れ 攻 撃 の 特 徴 ユーザが 正 常 なアクセスを 行 っても フィッシングサ イトに 誘 導 される 攻 撃 されたことに 気 づきにくい 同 じキャッシュサーバのユーザ 全 員 が 影 響 を 受 ける 大 手 ISPのキャッシュサーバが 攻 撃 されると 被 害 は 甚 大 攻 撃 そのものの 検 出 が 容 易 ではない キャッシュへの 毒 入 れは 見 た 目 は 通 常 のDNSパケット であるため 正 常 な 応 答 と 攻 撃 の 区 別 が 簡 単 ではない Copyright 2009 株 式 会 社 日 本 レジストリサービス 25

26 DNSへの 毒 入 れの 問 題 1990 年 ごろには DNSへの 毒 入 れの 問 題 が 知 られていた 当 時 は 設 定 が 正 しく 行 われていないためと 考 えられていた 節 もある 攻 撃 手 法 として 知 られるようになったのは 1990 年 代 後 半 のAlterNICの 事 件 がきっかけ Copyright 2009 株 式 会 社 日 本 レジストリサービス 26

27 DNSへの 毒 入 れ 攻 撃 手 法 の 分 類 従 来 型 Kashpureff 型 偽 装 応 答 型 Kaminsky 型 2008 年 8 月 に 公 開 された 手 法 注 意 : 従 来 型 は 最 近 発 見 されたKaminsky 型 に 対 する 本 資 料 での 言 葉 であり 一 般 的 なDNSの 用 語 では 無 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 27

28 従 来 型 の 毒 入 れ 攻 撃 手 法 DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 28

29 Kashpureff 型 による 毒 入 れ 攻 撃 者 が 管 理 する 権 威 サーバへ 問 合 せさせ 正 規 の 応 答 パケットに 問 合 せ 内 容 と 関 係 ない ドメインの 情 報 を 附 加 してキャッシュサーバへ 送 り 込 む 手 法 1997 年 7 月 の 大 規 模 DNS 乗 っ 取 り 事 件 へアクセスすると の 内 容 が 表 示 された AlterNICのEugene Kashpureff 氏 によるもの Copyright 2009 株 式 会 社 日 本 レジストリサービス 29

30 Kashpureff 型 の 攻 撃 example.jpでwww.jprs.co.jpの 毒 入 れ example.jpゾーンの 設 定 ( 一 般 の 実 装 では 不 可 能 IN NS A www A キャッシュサーバがwww.example.jpを 検 索 ;; 回 答 セクション A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A 嘘 の 値 をキャッシュする Copyright 2009 株 式 会 社 日 本 レジストリサービス 30

31 Kashpureff 型 攻 撃 の 対 策 キャッシュサーバは 問 合 せたドメインのゾーン 外 の レコードがあったら 信 用 してはいけない example.jpドメインの 応 答 に jprs.co.jpの 情 報 があるの はそもそも 怪 しい ;; 回 答 セクション A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A 信 用 してはいけない BINDの 場 合 で 対 策 が 行 われた 権 威 サーバ 側 も 対 策 が 行 われて 設 定 できなくなった Copyright 2009 株 式 会 社 日 本 レジストリサービス 31

32 DNSプロトコルのおさらい DNSの 通 信 は 問 合 せと 応 答 の 単 純 な 往 復 この 名 前 のIPアドレスは? IPアドレスはXXXXだよ トランスポートは 主 にUDP 条 件 によってTCPになることもある 問 合 せパケット 応 答 パケット クエリ 名 +ID+etc... クエリ 名 +ID+ 回 答 +etc... ID: 識 別 のための16bitの 値 Copyright 2009 株 式 会 社 日 本 レジストリサービス 32

33 DNS 応 答 パケットの 識 別 1www.example.jpのAは? 2nsにwwwのAをID 123で 問 合 せ ns.example.jp 4 回 答 キャッシュ サーバ 問 合 せに 対 応 する 応 答 を ソースアドレス クエリ 名 IDで 識 別 例 ) ソースアドレス クエリ 名 3 nsからid 123でwwwの を 返 す ns.example.jpのipアドレス ID 123 IDが 違 えば 別 の 応 答 と 判 断 クライアントとキャッシュサーバ 間 (1と4)も 同 様 Copyright 2009 株 式 会 社 日 本 レジストリサービス 33

34 偽 装 応 答 型 による 毒 入 れ なんらかの 手 段 を 使 い 本 来 の 応 答 より 先 に 偽 装 応 答 をキャッシュサーバに 送 り 込 み 偽 情 報 を キャッシュさせる 手 法 通 常 時 DNSはUDPで 通 信 するため 偽 装 応 答 が 容 易 攻 撃 手 法 キャッシュサーバのDNS 検 索 を 盗 聴 し 偽 装 応 答 を 返 す キャッシュサーバに 問 合 せを 送 り IDを 変 化 させた 複 数 の 偽 装 応 答 を 返 す(オープンリゾルバは 非 常 に 危 険 ) TTLの 短 いレコードを 狙 って キャッシュサーバに 偽 装 応 答 を 送 り 続 ける etc Copyright 2009 株 式 会 社 日 本 レジストリサービス 34

35 偽 装 応 答 型 の 攻 撃 ユーザ 1www.jprs.co.jpのAは? 2nsにwwwのAをID 123で 問 合 せ 権 威 サーバ ns.jprs.co.jp 4 回 答 キャッシュサーバ 5 偽 装 DNS 応 答 ソースアドレスをnsに 偽 造 し ID 123で wwwの ( 嘘 の 値 )を 送 り 込 む 3 nsからid 123でwwwの を 返 す 攻 撃 者 3より 先 に5の 偽 DNS 応 答 が 送 り 込 まれると キャッシュサーバは 嘘 情 報 をキャッシュする 4で 嘘 情 報 をクライアントに 送 り クライアントは 偽 のサイトへ 誘 導 される Copyright 2009 株 式 会 社 日 本 レジストリサービス 35

36 偽 装 応 答 型 の 攻 撃 手 法 1 オープンなキャッシュサーバに 対 して 大 量 の 問 合 せを 送 る 2 同 じサーバに 対 して 偽 装 した DNS 応 答 パケットを IDをランダ ムに 変 えながら 送 る クエリ 名 とソースアドレスは 自 明 IDが 正 規 応 答 と 一 致 すれば 攻 撃 が 成 功 2 権 威 サーバ キャッシュ サーバ 1 攻 撃 者 Copyright 2009 株 式 会 社 日 本 レジストリサービス 36

37 偽 装 応 答 型 の 攻 撃 が 成 功 する 確 率 問 合 せと 応 答 のIDが 一 致 すれば 攻 撃 が 成 功 攻 撃 1 回 あたりの 成 功 確 率 P S N R W Port ID R : 攻 撃 対 象 1 台 あたりに 送 るパケット 量 (pps) W : 攻 撃 可 能 な 時 間 (Query AnswerのRTT) N : 攻 撃 対 象 レコードを 保 持 する 権 威 サーバの 数 Port : キャッシュサーバのQuery portの 数 ID : DNSのID (16bit = 65536) (R 20000pps, W 10ms, N 2, Port 1で ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 37

38 偽 装 応 答 型 による 攻 撃 の 特 徴 成 功 確 率 は 決 して 低 いとは 言 えない しかし 1 度 攻 撃 に 失 敗 すると キャッシュ サーバが 正 規 のレコードをキャッシュするた め 連 続 した 攻 撃 はできない 攻 撃 に 失 敗 した 場 合 次 の 攻 撃 まで 攻 撃 対 象 レコードのTTL 時 間 待 つ 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 38

39 短 いTTLのリスク ( 偽 装 応 答 型 の 応 用 ) DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 39

40 各 DNS RR(リソースレコード)のTTLが 短 いと キャッシュサーバの 問 合 せ 頻 度 は 高 くなる TTLが86400 秒 1 日 に1 回 問 合 せ TTLが30 秒 短 いTTLのリスク 偽 装 応 答 型 の 応 用 1 日 に2880 回 問 合 せ 気 長 に 嘘 のDNS 応 答 をキャッシュサーバに 送 り 続 ければ そのうち 当 たる そのうち が 意 外 に 短 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 40

41 攻 撃 のストーリ アクセスが 多 くTTLが 短 いドメイン 名 を 狙 う どこのキャッシュサーバでもかまわない 誰 が 使 っていようとかまわない ユーザは 多 いほどよい 気 が 付 かれないようにこっそりと 攻 撃 したい 同 時 に 複 数 のキャッシュサーバへ 嘘 の 応 答 を 定 期 的 に 送 り 続 ける 時 間 の 問 題 で どこかのキャッシュサーバへの 毒 入 れが 成 功 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 41

42 攻 撃 の 様 子 キャッシュ キャッシュ 権 威 サーバ キャッシュ キャッシュ キャッシュ 攻 撃 者 問 合 せ 正 規 の 応 答 偽 の 応 答 Copyright 2009 株 式 会 社 日 本 レジストリサービス 42

43 R : W : N : あるキャッシュサーバへ 毒 入 れが 成 功 する 確 率 P S N R W Port ID 攻 撃 対 象 1 台 あたりに 送 るパケット 量 (pps) 攻 撃 可 能 な 時 間 (Query AnswerのRTT) 攻 撃 対 象 レコードを 保 持 する 権 威 サーバの 数 Copyright 2009 株 式 会 社 日 本 レジストリサービス 43 Port : 問 合 せに 利 用 するポート 数 ( 古 いBINDの 場 合 固 定 なので1) ID : DNSのID (16bit = 65536)

44 Copyright 2009 株 式 会 社 日 本 レジストリサービス 44 どこかのキャッシュサーバへ 毒 入 れが 成 功 する 確 率 V V S V ID Port N W R P P V: 攻 撃 対 象 のキャッシュサーバの 総 数

45 Copyright 2009 株 式 会 社 日 本 レジストリサービス 45 毒 入 れが1 回 でも 成 功 する 確 率 TTL T V TTL T V A V A ID Port N W R ID Port N W R P P A: 攻 撃 数 (=T/TTL) T : 攻 撃 時 間 TTL : DNSレコードのTTL

46 毒 入 れが1 回 でも 成 功 する 確 率 の 時 系 列 変 化 前 スライドの 式 をグラフ 化 パラメータによってグラフの 立 ち 上 がり 方 ( 傾 き)が 変 わる 0.0 時 間 確 率 が0.5を 超 えると 毒 入 れが 成 功 しても 不 思 議 ではない Copyright 2009 株 式 会 社 日 本 レジストリサービス 46

47 internetweek.jpの 例 TTL 600 秒 Authoritative Server 2 台 (IPv4のみ) 1 台 あたりの 攻 撃 レート 10pps 攻 撃 対 象 のキャッシュサーバ 500 台 RTT(とりあえず10msと 仮 定 ) 10ms 確 率 0.5を 超 えるまでの 時 間 約 13 日 Copyright 2009 株 式 会 社 日 本 レジストリサービス 47

48 internetweek.jpで 仮 にTTLを30 秒 にすると TTL 30 秒 Authoritative Server 2 台 (IPv4のみ) 1 台 あたりの 攻 撃 レート 10pps 攻 撃 対 象 のキャッシュサーバ 500 台 RTT(とりあえず10msと 仮 定 ) 10ms 確 率 0.5を 超 えるまでの 時 間 約 16 時 間 攻 撃 に 必 要 な 総 帯 域 約 4Mbit/sec Copyright 2009 株 式 会 社 日 本 レジストリサービス 48

49 Kaminsky 型 の 毒 入 れ 攻 撃 手 法 DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 49

50 Kaminsky 型 の 毒 入 れ 攻 撃 攻 撃 者 がキャッシュサーバに 攻 撃 対 象 レコードと 同 じドメインの 存 在 しない 名 前 を 検 索 させ 追 加 セク ションに 攻 撃 対 象 レコードを 設 定 した 偽 装 応 答 をID を 変 化 させながら 大 量 に 送 る( 偽 装 応 答 型 の 一 種 ) 偽 IPアドレスをキャッシュさせる 1 問 合 せ no0000.example.jp. A 2 偽 装 応 答 ;; 回 答 セクション no0000.example.jp. A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A キャッシュ サーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 50 2 権 威 サーバ 1 攻 撃 者

51 Kaminsky 型 と 他 の 方 式 の 比 較 Kashpureff 型 との 比 較 追 加 セクションを 利 用 する 点 は 同 じ Kashpureff 型 は 現 在 の 実 装 では 外 部 名 のため 無 視 され るが Kaminsky 型 は 内 部 名 となるため キャッシュ 対 象 となる 従 来 の 偽 装 応 答 型 との 比 較 Kaminsky 型 は 存 在 しない 名 前 を 使 用 するため 攻 撃 に 失 敗 してもクエリ 名 を 変 えることで TTLに 関 係 なく 連 続 し た 攻 撃 が 可 能 nx0000.example.jp, nx0001.example.jp, nx0002. Kaminsky 型 の 攻 撃 はほぼ100% 成 功 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 51

52 Kaminsky 型 攻 撃 の 対 策 問 合 せポートのランダム 化 P キャッシュサーバの 問 合 せポートが 固 定 だったものを 問 合 せ 毎 にランダムに 変 化 させ 攻 撃 成 功 確 率 を 約 1/65000に 低 減 S N 攻 撃 1 回 あたりの 成 功 確 率 R W R W PS N 対 症 療 法 だが 実 用 上 十 分 な 効 果 を 得 られる ただし 執 拗 な 攻 撃 には 耐 えられない Copyright 2009 株 式 会 社 日 本 レジストリサービス 52

53 各 実 装 での 対 策 状 況 BINDは9.3.5-P P P1 で 対 策 これ 以 前 のものはKaminsky 型 攻 撃 手 法 には 無 力 パフォーマンス 面 を で 改 善 現 在 は9.4.3-P P P2 以 降 を 強 く 推 奨 Unboundは 当 初 から 対 策 済 み dnscache(djbdnsのキャッシュサーバの 実 装 )は Kaminsky 型 攻 撃 手 法 の 攻 撃 は 簡 単 ではないが 別 の 攻 撃 手 法 が 存 在 するため 不 適 ( 尚 修 正 パッチ も 存 在 する) Copyright 2009 株 式 会 社 日 本 レジストリサービス 53

54 参 考 :キャッシュ 済 みのRRは Kaminsky 型 の 攻 撃 で 上 書 きできるのか 攻 撃 対 象 はWEBサーバなどのIPアドレス キャッシュサーバがこのようなRRをキャッシュしている 権 威 サーバからの 正 式 な 回 答 でRRを 得 ている Kaminsky 型 では 追 加 セクションにRRを 設 定 する 権 威 サーバからの 正 式 な 回 答 の 方 が 高 ランク RFC Ranking data より RFCに 忠 実 に 実 装 してあれば キャッシュデータの 上 書 きは 行 わない(BIND 9 等 ) RFC 通 りに 実 装 していない 場 合 上 書 きの 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 54

55 まとめ: 毒 入 れ キャッシュへの 毒 入 れはDNSプロトコルその ものが 持 つDNS 最 大 の 脆 弱 性 UDPを 使 う IDが16bitしかない etc 特 に Kaminsky 型 の 攻 撃 は 成 功 確 率 を 飛 躍 的 に 高 めた 毒 入 れ 攻 撃 手 法 BINDを 含 め 現 行 の 実 装 は 問 合 せのポート 番 号 を 都 度 ランダムに 変 更 するため 攻 撃 されにくく なっているが 完 全 ではない 完 全 対 処 は DNSプロトコルの 拡 張 である DNSSECの 導 入 Copyright 2009 株 式 会 社 日 本 レジストリサービス 55

56 DNSSECのしくみ DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 56

57 DNSSECとは DNSセキュリティ 拡 張 (DNS SECurity Extensions) 検 索 側 が 受 け 取 ったDNSレコードの 出 自 完 全 性 ( 改 ざん のないこと)を 検 証 できる 仕 組 み 従 来 のDNSとの 互 換 性 を 維 持 した 拡 張 Kaminsky 型 攻 撃 手 法 の 発 覚 を1つの 契 機 に 多 くのTLD が 導 入 開 始 あるいは 導 入 予 定 キャッシュへの 毒 入 れを 防 ぐことができる 現 状 唯 一 の 現 実 解 他 の 技 術 も 存 在 するが 標 準 化 が 成 されていない Copyright 2009 株 式 会 社 日 本 レジストリサービス 57

58 従 来 のDNS vs DNSSEC DNSサーバが 応 答 に 電 子 署 名 を 付 加 し 出 自 を 保 証 問 合 せ 側 でDNS 応 答 の 改 ざんの 有 無 を 検 出 できる DNS 応 答 の 検 証 不 能 DNS 応 答 従 来 のDNS DNSデータのみを 応 答 DNS 応 答 DNSデータのみを 格 納 DNSデータ DNSデータ DNSサーバ DNSデータ DNS 応 答 と 署 名 を 検 証 正 しい DNS 応 答 DNSSEC 電 子 署 名 を 付 加 して 応 答 DNS 応 答 署 名 署 名 済 み DNSデータを 格 納 DNSデータ DNSデータ DNSデータ 署 名 署 名 署 名 DNSSEC 対 応 DNSサーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 58

59 DNSSECのスコープ 対 象 としているもの DNS 問 合 せの 回 答 が ドメイン 名 の 正 当 な 管 理 者 からのものであることの 確 認 出 自 の 保 証 DNS 問 合 せの 回 答 における DNSレコードの 改 変 の 検 出 完 全 性 の 保 証 対 象 としていないもの 通 信 路 におけるDNS 問 合 せと 回 答 の 暗 号 化 DNSレコードは 公 開 情 報 という 考 え 方 から Copyright 2009 株 式 会 社 日 本 レジストリサービス 59

60 DNSSECの 現 状 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 60

61 DNSSEC 関 連 RFC DNSSECプロトコル 関 連 RFC4033,4034,4035 DNSSEC RFC5155 NSEC3 RFC5011 トラストアンカーの 自 動 更 新 BIND 9.7 系 で 実 装 DNSSEC 運 用 関 連 RFC4641 運 用 ガイドライン その 他 IETFで 検 討 継 続 中 のものあり Copyright 2009 株 式 会 社 日 本 レジストリサービス 61

62 DNSSEC 対 応 ソフトウェア 権 威 サーバ BIND 9(ISC) NSD3(NLnetLab) 等 が 対 応 済 み キャッシュサーバ BIND 9(ISC) Unbound(NLnetLab) 等 が 対 応 済 み ライブラリとツール OpenDNSSECプロジェクトが 進 行 中 Microsoft Windows Windows7とWindows Server 2008R2で 対 応 インターネットアプリケーション(メーラ ブラウザ 等 ) 通 常 はISPのキャッシュサーバで 署 名 検 証 を 行 うため 特 別 な 対 応 は 不 要 Copyright 2009 株 式 会 社 日 本 レジストリサービス 62

63 ルートゾーンのDNSSEC 対 応 状 況 2008 年 10 月 ICANNが DoC(NTIA) NIST VeriSignと 協 調 し 2009 年 中 のルート 署 名 を 目 指 すとの 声 名 を 発 表 2009 年 6 月 ICANN35での 会 合 ICANNがKSK VeriSignがZSKを 管 理 するというモデル を 当 座 の 方 針 として 合 意 2009 年 7 月 IETF75での 併 設 会 議 ルートゾーンのDNSSEC 化 の 技 術 的 懸 念 点 が 指 摘 2009 年 10 月 RIPE 年 7 月 から 運 用 開 始 と 発 表 2009 年 12 月 にルートゾーンに 実 験 的 な 署 名 を 実 施 Copyright 2009 株 式 会 社 日 本 レジストリサービス 63

64 TLDのDNSSEC 対 応 状 況 (1/2) 導 入 済 種 別 TLD 名 特 記 事 項 cctld gtld SE(スウェーデン) PR(プエルトリコ) BG(ブルガリア) BR(ブラジル) CZ(チェコ) TH(タイ) TM(トルクメニスタン) MUSEUM GOV( 米 国 政 府 ) ORG 2005 年 9 月 に 導 入 開 始 世 界 で 最 初 にDNSSEC 対 応 したTLD 2009 年 1 月 から 料 金 を 無 料 化 これまでに 多 くのノウハウを 外 部 に 発 信 2006 年 8 月 に 導 入 開 始 2007 年 1 月 に 導 入 開 始 2007 年 6 月 に 導 入 開 始 2009 年 1 月 に 全 属 性 で 対 応 最 新 方 式 (NSEC3)を 採 用 した 最 初 のTLD 2008 年 9 月 に 導 入 開 始 2009 年 3 月 に 導 入 開 始 アジアで 最 初 にDNSSEC 対 応 したccTLD 2009 年 10 月 に 導 入 開 始 2008 年 9 月 に 導 入 開 始 2009 年 2 月 に 導 入 開 始 2009 年 末 に 全 組 織 が 対 応 予 定 2009 年 6 月 に 導 入 開 始 2010 年 に 本 サービス 化 予 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 64

65 TLDのDNSSEC 対 応 状 況 (2/2) 導 入 を 表 明 ( 非 公 式 を 含 む) 種 別 TLD 名 特 記 事 項 cctld CA(カナダ) CH(スイス) CN( 中 国 ) DE(ドイツ) GR(ギリシャ) JP( 日 本 ) KR( 韓 国 ) LI(リヒテンシュタイン) MY(マレーシア) RU(ロシア) UK(イギリス) BIZ 2009 年 10 月 にテストベッドを 開 始 2009 年 9 月 に 実 地 検 証 開 始 2010 年 2 月 サービスイン 予 定 2010 年 末 までに 導 入 予 定 2009 年 5 月 にテストベッドを 開 始 2010 年 を 目 処 に 導 入 予 定 2010 年 6 月 に 導 入 し 2011 年 1 月 に 全 空 間 で 対 応 予 定 2009 年 9 月 に 実 地 検 証 開 始 2010 年 2 月 サービスイン 予 定 2010 年 第 四 四 半 期 に 導 入 予 定 プロトコル 策 定 IANAとの 共 同 実 験 など 積 極 的 に 活 動 CAT 2009 年 中 に 導 入 予 定 gtld COM 2011 年 の 早 い 時 期 に 導 入 予 定 EDU 2010 年 3 月 末 に 署 名 予 定 INFO NET Copyright 年 末 までに 株 式 導 会 入 社 予 日 定 本 レジストリサービス 65

66 電 子 署 名 とDNSSEC DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 66

67 電 子 署 名 の 概 念 送 信 者 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 送 信 者 の 秘 密 鍵 ( 送 信 者 のみ 保 持 ) 送 信 データ 攻 撃 者 データを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 データ 送 信 署 名 データ 送 信 送 信 者 の 公 開 鍵 ( 受 信 者 に 安 全 に 配 布 ) 受 信 データ 受 信 署 名 圧 縮 復 号 受 信 者 受 信 データから 受 信 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 67

68 電 子 署 名 の 概 念 送 信 者 の 秘 密 鍵 で 送 信 データのハッシュ 値 を 暗 号 化 したものが 署 名 公 開 鍵 で 署 名 を 復 号 すれば 送 信 者 作 成 のハッシュ 値 が 得 られる 受 信 データから 受 信 者 が 作 成 したハッシュ 値 と 公 開 鍵 で 復 号 したハッシュ 値 が 同 じであるか 照 合 ( 検 証 )する 同 じであれば 送 信 者 からの 完 全 なデータであると 判 断 できる 署 名 を 作 成 できるのは 送 信 者 しかいない( 出 自 の 保 証 ) データが 改 ざんされていれば 比 較 が 一 致 しない( 完 全 性 の 保 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 68

69 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 ( 権 威 サーバ) 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 DNS レコード DNS 管 理 者 の 秘 密 鍵 (DNS 管 理 者 のみ 保 持 ) 攻 撃 者 DNSレコードを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 レコード 送 信 署 名 DNS 検 索 DNS 管 理 者 の 公 開 鍵 (DNS 検 索 中 に 入 手 ) 受 信 レコード 受 信 署 名 DNS 検 索 者 (キャッシュサーバ) 圧 縮 復 号 受 信 レコードから 検 索 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 69

70 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 は 署 名 鍵 ( 秘 密 鍵 + 公 開 鍵 )を 作 成 DNS 管 理 者 は DNSレコード(ハッシュ 値 )を 秘 密 鍵 で 署 名 検 索 を 受 けたDNSサーバは DNSレコードに 署 名 を 添 付 して 回 答 DNS 検 索 者 は DNS 管 理 者 の 公 開 鍵 を 用 いて 署 名 を 復 号 し 検 索 で 得 たDNSレコードと 照 合 することで 出 自 完 全 性 を 検 証 この 仕 組 みを 基 本 単 位 とし DNS 階 層 で 信 頼 の 連 鎖 を 作 ることで 実 現 Copyright 2009 株 式 会 社 日 本 レジストリサービス 70

71 DNSSECの 鍵 と 信 頼 の 連 鎖 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 71

72 DNSSECの 信 頼 の 連 鎖 の 概 念 図 あらかじめroot 公 開 鍵 を 登 録 キャッシュサーバ root 公 開 鍵 rootゾーン TLD 公 開 鍵 TLDゾーン root 秘 密 鍵 TLD 秘 密 鍵 DNS 問 合 せ DNS 応 答 組 織 公 開 鍵 組 織 ゾーン 組 織 秘 密 鍵 署 名 秘 密 鍵 で 自 ゾーンと 下 位 ゾーンの 公 開 鍵 に 署 名 root 公 開 鍵 をキャッシュサーバに 登 録 することで rootから 組 織 ゾーンまでの 信 頼 の 連 鎖 を 確 立 Copyright 2009 株 式 会 社 日 本 レジストリサービス 72

73 用 語 :バリデータ(Validator) DNSSECにおいて バリデータは 署 名 の 検 証 を 行 うもの(プログラム ライブラリ)を 指 す バリデータの 所 在 キャッシュサーバが 署 名 検 証 を 行 う 場 合 キャッ シュサーバがバリデータそのもの 現 状 もっとも 一 般 的 なDNSSECのモデル WEBブラウザ 等 のDNS 検 索 を 行 うアプリケーショ ンが 直 接 署 名 検 証 を 行 うモデルも 考 えられる Copyright 2009 株 式 会 社 日 本 レジストリサービス 73

74 DNSSEC 化 による 名 前 解 決 モデルの 変 化 従 来 のDNSでの 名 前 解 決 モデル 1 クライアント 2 キャッシュサーバ 3 権 威 サーバ DNSSECでの 名 前 解 決 モデル 1 クライアント バリデータ 2 キャッシュサーバ 3 権 威 サーバ 多 くの 場 合 バリデータは2に 実 装 バリデータが1に 実 装 されていても 問 題 ない 署 名 付 きの 応 答 Copyright 2009 株 式 会 社 日 本 レジストリサービス 74

75 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (1) KSK (Key Signing Key) ZSK 公 開 鍵 を 署 名 するための 鍵 注 ) KSK 自 身 の 公 開 鍵 にも 署 名 を 行 う 暗 号 強 度 の 高 い 鍵 RSAで2048bitや4096bitなど 利 用 期 間 を 長 くできるため 鍵 更 新 の 頻 度 を 低 くできる 署 名 コストは 高 いが 少 数 の 鍵 情 報 のみを 署 名 対 象 とす るため 問 題 にはならない KSK 公 開 鍵 と 暗 号 論 的 に 等 価 な 情 報 (DSレコード: 後 述 )を 作 成 し 親 ゾーンに 登 録 する KSKを 変 更 する 場 合 DSも 更 新 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 75

76 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (2) DS - Delegation Signerの 略 KSK 公 開 鍵 を SHA-1/SHA-256 等 のハッシュ 関 数 で 圧 縮 したDNSレコード KSK 公 開 鍵 と 等 価 の 情 報 親 ゾーンの 委 任 ポイントに NSと 共 に 子 ゾーンのDS 情 報 を 登 録 親 ゾーンの 鍵 でDSに 署 名 してもらうことで 信 頼 の 連 鎖 を 形 成 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 76

77 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (3) ZSK (Zone Signing Key): ゾーンを 署 名 するための 鍵 暗 号 強 度 の 低 い 鍵 RSAで768bitや1024bitなど 署 名 コストが 低 く 大 規 模 ゾーンでも 運 用 できる 安 全 確 保 のため ある 程 度 頻 繁 に 鍵 を 更 新 する 必 要 がある 鍵 更 新 は 親 ゾーンとは 関 係 なく 独 立 で 行 える Copyright 2009 株 式 会 社 日 本 レジストリサービス 77

78 DNSSECの 信 頼 の 連 鎖 親 ゾーン のKSK 子 ゾーン のKSK 署 名 署 名 署 名 親 ゾーン のZSK 署 名 子 ゾーンのDS 子 ゾーン のZSK 署 名 署 名 親 ゾーン NS 子 ゾーン 公 開 鍵 暗 号 による 信 頼 の 連 鎖 を 形 成 キャッシュサーバが KSKの 公 開 鍵 を 使 っ て 署 名 を 検 証 トラストアンカー 署 名 Copyright 2009 株 式 会 社 日 本 レジストリサービス 78

79 トラストアンカー キャッシュサーバはDNSSEC 検 証 を 行 う 際 の 頂 点 となる ゾーンのKSK 公 開 鍵 を 予 め 登 録 する トラストアンカー この 図 ではキャッシュサーバ が 印 のKSK 公 開 鍵 をトラス トアンカーとして 保 持 すれば それ 以 下 のドメインを 検 証 で きる DNSSEC 普 及 の 最 終 状 態 では トラストアンカーはrootのKSK 公 開 鍵 のみとなる example www test Copyright 2009 株 式 会 社 日 本 レジストリサービス 79 jp mail insecure root secure good notsogood xx xx hoge sogood bad better DNSSEC 対 応 ゾーン worse DNSSEC 未 対 応 ゾーン

80 DNSSECの リソースレコード(RR) DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 80

81 DNSSEC 関 係 のRR 一 覧 DNSKEY RRSIG DS NSEC KSK ZSK 公 開 鍵 の 情 報 各 RRへの 署 名 KSK 公 開 鍵 のハッシュ 値 を 含 む 情 報 ( 親 ゾーンに 登 録 ) 次 のRRへのポインタと 存 在 するレコード 型 の 情 報 NSEC3 NSECを 改 良 したもの( 後 述 ) NSEC3PARAM NSEC3に 必 要 な 情 報 Copyright 2009 株 式 会 社 日 本 レジストリサービス 81

82 DNSKEY RR KSKとZSKの 公 開 鍵 を 示 すRR オーナー 名 はゾーン 頂 点 (=ゾーン 名 ) KSKとZSKを 必 要 に 応 じて 複 数 ( 後 述 ) 設 定 example.jp. IN DNSKEY AwEAAeNO41ymz+Iw( 行 末 まで 省 略 ) フラグ(256:ZSK 257:KSK) 2 プロトコル 番 号 (3のみ) 3 暗 号 化 アルゴリズム 4 公 開 鍵 (Base64で 符 号 化 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 82

83 DNSSEC 暗 号 化 アルゴリズム( 抜 粋 ) 番 号 略 称 参 照 5 RSASHA1 [RFC3755] [RFC3110] 7 NSEC3RSASHA1 [RFC5155] 8 RSASHA256 [RFC5702] 10 RSASHA512 [RFC5702] 注 ) 5と7に 差 は 無 く NSECとNSEC3 ( 後 述 ) で 使 い 分 ける DNSSECの 暗 号 化 アルゴリズム 一 覧 Copyright 2009 株 式 会 社 日 本 レジストリサービス 83

84 DS RR DS - Delegation Signer 子 ゾーンのKSKの 正 当 性 を 親 ゾーンで 承 認 親 ゾーンにのみ 記 述 する 唯 一 のRR example.jp. IN DS DF (16 進 数 40 文 字 ) example.jp. IN DS E8 (16 進 数 64 文 字 ) 鍵 のID 2 暗 号 化 アルゴリズム 3ハッシュのアルゴリズム(1:SHA-1, 2:SHA-256) 4ハッシュ 化 したKSK 公 開 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 84

85 RRSIG RR 各 RRへの 署 名 で RRset 毎 に 存 在 する ns.example.jp. IN RRSIG A example.jp NiVihYAIZBEwfUUAbPazDRIbvhNH8S( 以 下 省 略 ) 9 1 署 名 対 象 のRRの 種 類 ここではns.example.jpのA RR 2 暗 号 化 アルゴリズム 3ラベルの 数 ns.example.jp だと3 *.example.jp だと Copyright 2009 株 式 会 社 日 本 レジストリサービス 85

86 RRSIG RR( 続 き) 4 署 名 対 象 RRのTTL 5 署 名 の 有 効 期 限 6 署 名 の 開 始 時 刻 7 鍵 のID 8ドメイン 名 9 署 名 署 名 は 元 のRRの 全 て(TTL クラス 等 を 含 む)と RRSIGの 署 名 そのものを 除 いた 残 り を 含 めて 計 算 し 作 成 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 86

87 DNSSECにおける 不 在 証 明 DNSSECではドメイン 名 が 存 在 しない 場 合 存 在 しないことを 証 明 する 必 要 がある 万 が 一 存 在 しないドメイン 名 を 偽 装 されたときの ために 存 在 するのかどうかを 検 証 できる 仕 組 み が 必 須 存 在 するRRは 署 名 (RRSIG RR)を 付 加 して 検 証 することで 存 在 を 証 明 できる 存 在 しないRRは 署 名 不 能 Copyright 2009 株 式 会 社 日 本 レジストリサービス 87

88 ハンバーガーのパティの 有 無 パティ( 肉 )が 有 る パティの 存 在 を 判 断 できる パティが 無 く バンズ(パン)も 無 い パティが 無 いかどうか 判 断 不 能 単 純 に 配 膳 が 遅 れているだけ? クラウン(バンズ 上 部 )とヒール(バンズ 下 部 )が あるのにパティが 無 い クラウンとヒールの 存 在 が 判 断 できる パティが 存 在 しないことを 確 実 に 判 断 できる Copyright 2009 株 式 会 社 日 本 レジストリサービス 88

89 NSEC RR NSECは 存 在 しないものを 証 明 ( 署 名 検 証 )す るためのRR 存 在 するレコードすべてを 整 列 し 次 のレコード へのリストを 生 成 することで 存 在 しないものを 証 明 する NSEC RRにRRSIGを 付 加 し 署 名 検 証 を 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 89

90 NSEC RRの 例 sec2.example.jpを 問 合 せた 場 合 の 応 答 sec1.example.jp. IN NSEC sec3.example.jp. NS DS RRSIG NSEC ( 権 威 セクションで 応 答 ) sec1.example.jp の 次 (アルファベット 順 )のド メイン 名 は sec3.example.jpで NS, DS, RRSIG, NSECのRRが 存 在 する sec2.example.jp は 存 在 しないことを 示 す Copyright 2009 株 式 会 社 日 本 レジストリサービス 90

91 NSEC3 RR NSECを 使 った 不 在 証 明 では NSEC RRを 辿 れば 完 全 なゾーンデータを 入 手 できる NSEC 方 式 はゾーンデータの 公 開 と 等 価 Walker(DNSSEC Walker)というツールで NSEC 方 式 のDNSSEC 化 ゾーンのデータを 入 手 可 能 NSEC3 (RFC 5155) ドメイン 名 を 一 方 向 性 ハッシュ 関 数 でハッシュ 化 し たものを 整 列 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 91

92 NSEC3 RRの 例 4HTJTU7UP56274L1C00Q9MLPHG2A2H85.example.jp. IN NSEC ABC NSEC3の 関 連 パラメータ B0B790UE4SAE4QB4RTB3PJSIH6JAOB7R NS DS RRSIG NSEC RRと 比 べると ラベルがハッシュ 化 されBase32でエンコード 元 のドメイン 名 は 推 測 不 能 NSEC3の 関 連 パラメータを 付 加 Copyright 2009 株 式 会 社 日 本 レジストリサービス 92

93 NSEC3の 関 連 パラメータ 前 スライドのRR 例 ABC ハッシュアルゴリズム(1:SHA-1 RFC5155) 2 NSEC3 オプトアウトフラグ (1ならオプトアウト 0はオプトアウトしていない) 3 繰 り 返 し 4ソルト(16 進 数 で 表 記 例 は3バイト 分 のソルト) Copyright 2009 株 式 会 社 日 本 レジストリサービス 93

94 NSEC3のハッシュ 値 計 算 方 法 ハッシュの 計 算 アルゴリズム 1 値 にソルトを 結 合 2 次 にハッシュアルゴリズムでハッシュ 値 を 計 算 3 1 2を 繰 り 返 しで 指 定 された 回 数 適 用 する 計 算 の 元 になる 値 は 小 文 字 で 正 規 化 した ドメイン 名 (のワイヤーフォーマット) Copyright 2009 株 式 会 社 日 本 レジストリサービス 94

95 NSEC3でのオプトアウト 一 部 の 委 任 先 がDNSSEC 化 している 場 合 主 に.JP.COM 等 のTLDで 該 当 ゾーン 内 のレコード 全 てにNSEC3 RRを 用 意 すると それに 付 随 するRRSIGを 含 めた 計 算 コストが 膨 大 となる DNSSEC 化 していない 委 任 情 報 に 署 名 を 付 加 する 必 要 性 は 薄 い 必 要 のある 委 任 先 にのみNSEC3 RRを 用 意 Copyright 2009 株 式 会 社 日 本 レジストリサービス 95

96 NSEC3PARAM RR example.jp. IN NSEC3PARAM ABC ゾーン 提 供 ( 権 威 サーバ) 側 が NSEC3の 計 算 を 行 うために 必 要 なレコード NSEC3のパラメータを 抜 き 出 したもの オーナー 名 はゾーン 頂 点 (ゾーン 名 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 96

97 NSEC3での 権 威 サーバの 応 答 存 在 しない 名 前 の 検 索 を 受 けた 権 威 サーバ クエリ 名 のハッシュ 値 を 計 算 あらかじめ 整 列 してあるNSEC3 RRの 中 から 前 後 に 該 当 するものを 署 名 と 共 に 権 威 セクション で 応 答 実 際 は 複 数 のNSEC3を 応 答 ( 説 明 省 略 RFC5155 Section 7.2 参 照 ) NSEC3のオーナー 名 の 問 合 せ ドメイン 名 としては 存 在 しないもの 名 前 エラー(NXDOMAIN)を 応 答 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 97

98 BINDキャッシュサーバでの DNSSECの 設 定 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 98

99 DNSSEC 対 応 の 実 装 NSEC 対 応 の 実 装 BIND ~ 権 威 サーバとキャッシュサーバ NSD 以 降 権 威 サーバのみ Unbound キャッシュサーバのみ NSEC3 対 応 の 実 装 BIND 以 降 NSD 3.0 以 降 権 威 サーバのみ Unbound キャッシュサーバのみ Copyright 2009 株 式 会 社 日 本 レジストリサービス 99

100 BINDキャッシュサーバでの DNSSECの 設 定 通 常 のキャッシュサーバの 設 定 に 署 名 の 検 証 を 行 う 設 定 を 追 加 する named.conf の options 部 分 以 下 を 追 加 する dnssec-enable dnssec-validation yes; yes; 署 名 の 検 証 に 必 要 な 情 報 を 登 録 する 検 証 対 象 の 公 開 鍵 情 報 の 登 録 トラストアンカーの 登 録 Copyright 2009 株 式 会 社 日 本 レジストリサービス 100

101 署 名 の 検 証 を 行 うオプション dnssec-enable DNSSEC 対 応 にするかどうかのオプション BIND 9.4 以 降 のデフォルト yes dnssec-validation DNSSECの 署 名 検 証 を 行 うかどうかのオプション BIND 9.4のデフォルト no BIND 9.5 以 降 のデフォルト yes options { };... dnssec-enable yes; // BIND 9.5 以 降 であれば dnssec-validatioin yes; // 設 定 しなくてもよい Copyright 2009 株 式 会 社 日 本 レジストリサービス 101

102 KSK 公 開 鍵 の 入 手 DNSSEC 対 応 ドメインの KSKの 公 開 鍵 を 入 手 する 以 下.ORGと.SEを 例 にする.ORG の 公 開 鍵 dvantage&id=2.4 DNSSECを 辿 る.SE の 公 開 鍵 https://www.iis.se/docs/ksk.txt nssec/ より.ORGの 公 開 鍵 (2009 年 11 月 時 点 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 102

103 .SEの 公 開 鍵 (2009 年 7 月 時 点 ) 2つある( 後 述 ) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 se. IN DNSKEY ( AwEAAdKc1sGsbv5jjeJ141IxNSTdR+nbtFn+JKQpvFZE TaY5iMutoyWHa+jCp0TBBAzB2trGHzdi7E55FFzbeG0r +G6SJbJ4DXYSpiiELPiu0i+jPp3C3kNwiqpPpQHWaYDS 9MTQMu/QZHR/sFPbUnsK30fuQbKKkKgnADms0aXalYUu CgDyVMjdxRLz5yzLoaSO9m5ii5cI0dQNCjexvj9M4ec6 woi6+n8v1pomqaq9at5fd8a6taxzi8tdleunxygnwb8e VZEWsgXtBhoyAru7Tzw+F6ToYq6hmKhfsT+fIhFXsYso 7L4nYUqTnM4VOZgNhcTv+qVQkHfOOeJKUkNB8Qc= ); key id = se. IN DNSKEY ( AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn HdjxreguOZYEBWkckajU0tBWwEPMoEwepknpB14la1wy 3xR95PMt9zWceiqaYOLEujFAqe6F3tQ14lP6FdFL9wyC flv06k1ww+gqxyrdo6h+wejguvpeg33krzftlwvbf3aa ph2gxci4ok2+po2ckzfkoikie9zoxfrcbg9ml2iqrrns M4q3zGhuly4NrF/t9s9jakbWzd4PM1Q551XIEphRGyqc ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ); key id = BEGIN PGP SIGNATURE----- Version: PGP Desktop (Build 4028) Charset: utf-8 wj8dbqfjqmz4/oxrkpra7psraqkyakcqzf2oamv1kwy3/5f27ioxicvmzacfx8by skp405q8kbbheyvykb5ge7k= =T8Is -----END PGP SIGNATURE Copyright 2009 株 式 会 社 日 本 レジストリサービス 103

104 トラストアンカー(KSK 公 開 鍵 )の 登 録 named.conf にトラストアンカーを 登 録 それぞれの 公 開 鍵 情 報 から IN DNSKEY と ( ) を 除 いてtrusted-keysに 設 定 trusted-keys { "org "AwEAAYpYfj3aaRzzkxWQqMdl7YExY81NdYSv+qayuZDo dnz9imh0bwmcyavudznabvej8gd6jq1sr3vvp/sr36mm < 中 略 > DqL+3wzUdF5ACkYwt1XhPVPU+wSIlzbaAQN49PU=" ; }; "se "AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn < 中 略 > ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ; Copyright 2009 株 式 会 社 日 本 レジストリサービス 104

105 trusted-keysの 設 定 trusted-keysの 書 式 ドメイン 名 数 字 数 字 数 字 公 開 鍵 公 開 鍵 は で 囲 み 空 白 TAB 改 行 等 があってもよい 本 例 では.ORGと.SEの 公 開 鍵 を 設 定.SEの 場 合 現 在 2 種 類 の 鍵 が 用 意 されている Key ID 年 から まで 有 効 Key ID 年 から まで 有 効 いずれか 一 方 を 登 録 する( 有 効 期 限 の 長 いものを 利 用 ) 近 い 将 来 ルートゾーンがDNSSECで 署 名 され 各 TLDがルートゾーンへDNSSEC 対 応 の 情 報 (DS)を 登 録 すれば. の 公 開 鍵 のみを 設 定 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 105

106 キャッシュサーバの 動 作 確 認 named.conf の 変 更 が 終 わったら キャッシュサー バ 用 のnamedを 再 起 動 する digコマンドでdnssec 対 応 ゾーンの 確 認 $ +dnssec org soa $ +dnssec a Copyright 2009 株 式 会 社 日 本 レジストリサービス 106

107 キャッシュサーバへのdigの 結 果 $ +dnssec a ; <<>> DiG dnssec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3247 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.iis.se. IN A ;; ANSWER SECTION: 60 IN A IN RRSIG A iis.se. nlm6< 行 末 まで 省 略 > ;; AUTHORITY SECTION: iis.se IN NS ns.nic.se. iis.se IN NS ns3.nic.se. iis.se IN NS ns2.nic.se. iis.se IN RRSIG NS iis.se. E< 行 末 まで 省 略 > ;; Query time: 1402 msec ;; SERVER: #53( ) ;; WHEN: Thu Jun 25 19:29: ;; MSG SIZE rcvd: msec Copyright 2009 株 式 会 社 日 本 レジストリサービス 107

108 digの 結 果 のflagsフィールド flags: qr rd ra ad; DNSにおけるさまざまな 状 態 を 表 すフラグ DNSSECに 関 係 するflag ad: Authentic Data 署 名 が 検 証 できた 正 しいデータであることを 示 す cd: Checking Disabled 署 名 のチェックを 行 っていない 状 態 を 示 す 署 名 の 検 証 を 行 わない 場 合 は+cdを 指 定 +cd a flags: qr rd ra cd; BINDはtrusted-keysを 設 定 すると 内 部 では 必 ず 署 名 の 検 証 を 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 108

109 DNSSEC 検 証 の 失 敗 誤 ったトラストアンカーを 設 定 した 場 合 dig +dnssec a status: SERVFAIL 答 えが 得 られない 現 行 のBINDでは 誤 ったトラストアンカーを 設 定 す ると 異 常 な 時 間 がかかる( 現 行 BINDの 不 具 合?) 手 元 の 実 験 環 境 で.SEドメインに 誤 った 公 開 鍵 を 登 録 して みたところ 27 秒 程 必 要 だった digはデフォルトで15 秒 待 つ(5 秒 待 ちリトライを2 回 ) digのデフォルトのままではタイムアウトとなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 109

110 BIND 権 威 サーバでの DNSSECの 設 定 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 110

111 DNSSEC 鍵 の 作 成 : dnssec-keygen -a 鍵 生 成 アルゴリズムの 指 定 NSEC3RSASHA1などを 指 定 する -b ビット 長 ZSK:NSEC3RSASHA1の 場 合 1024ビット 以 上 KSK:NSEC3RSASHA1の 場 合 2048ビット 以 上 -f KSK KSKを 作 成 する 場 合 に 指 定 最 後 に 名 前 (ゾーン 名 )を 指 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 111

112 dnssec-keygen の 実 行 ZSKを 作 る dnssec-keygen -a NSEC3RSASHA1 -b 1024 example.jp > zsk-example.jp 鍵 のファイル 名 を 表 示 するので その 結 果 を 保 存 する Kexample.jp 桁 の 数 字 はアルゴリズム 5 桁 は 識 別 子 (ID) 1 組 の 鍵 ファイルができる Kexample.jp key Kexample.jp private KSKを 作 る dnssec-keygen -a NSEC3RSASHA1 -b 2048 f KSK example.jp > ksk-example.jp 公 開 鍵 秘 密 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 112

113 鍵 ファイルの 中 身 の 例 ( 公 開 鍵 ) ; This is a zone-signing key, keyid 23522, for example.jp. ; Created: Tue Nov 10 14:56: ; Publish: Tue Nov 10 14:56: ; Activate: Tue Nov 10 14:56: example.jp. IN DNSKEY AwEAAfzJXPiYtSD8DJs+J36dZd+cNrXHxLpuY2xNTF2e0KolkMiVJnse zzlcuzrggp1ievbcii+lfqfdcxv69gjzkupefeorz1ijlavwbkw3pxdo 2u3qhxY6lr0hgRsmwZ5XVIEnMdOOzdGzZl0VvPOGMNC94WFM+RciLySk 2QSoJzmz BIND 9.7.0b2のdnssec-keygenで 作 成 9.6までのものとはコメント 部 分 に 差 異 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 113

114 鍵 ファイルの 中 身 の 例 ( 秘 密 鍵 ) Private-key-format: v1.3 Algorithm: 7 (NSEC3RSASHA1) Modulus: /Mlc+Ji1IPwMmz4nfp1l35w2tcfEum5jbE1MXZ7QqiWQyJUmex7PMty7OuAY/Uh5UEKIj4sVAUNxdXr2AlkpSl5946tnUgktpXBuR beneoja7eqhfjqwvsgbgybbnldugscx047n0bnmxrw884yw0l3hyuz5fyivjktzbkgnobm= PublicExponent: AQAB PrivateExponent: M88xduIVfYUrMEY04gZwcrwZmngvIeauCext0mJScgzw96taD7Ho1YvX8+EqPf80nfaE9qaSz4d7IZDqCuErTOJ5stR6uFR69g3av 8S+j1sw8hD2J3jo7r6m5nfcfTJ//WFaVyojQigu0vMn27gD7tcVLhztyAqJ5muklT8yngE= Prime1: /9DNJ5ujOsJOyH157EF+hqvsk32XittuPSc9RzHPwUmGdLY1FYq0Eqpr7pRPSFfm7ATRBW9/WNoG26Al+XMOUw== Prime2: /PgAvwBYrNAS8WqqkLodjowQtApmxCe43iUDjrIERoGaxFPQZigy6IeVodhPeEAolKTP+PC4ttiuYEOtqr37IQ== Exponent1: WsXltlNExXnjaMMVe172HaVt6hwbpPseD/cXiGbFeKm1Wz64cW9pXGI6sErSIzKFz2QaI1qgDpA29MHMF8ra3w== Exponent2: LLemYh0sj7fkcVqatiTATs+BsGHaUrh23IYMf/AGA3SrqCLsxvI6NZKqJ8b2HVqyEbykquvaqy/Ye1nbXEBjIQ== Coefficient: lr/ogolg5qmar6ls+cbtchenj3b17zunenodnhlglserypcpvpwmaig3vkfijd9gjiyjwvkat0dotz4trutipq== Created: Publish: Activate: BIND 9.7.0b2のdnssec-keygenで 作 成 9.6 系 までは formatのバージョンがv1.2 v1.2はbind 9.7 系 のツールでも 扱 えるが v1.3は9.7 系 のツールのみ Copyright 2009 株 式 会 社 日 本 レジストリサービス 114

115 dnssec-keygenの 注 意 点 KSKとZSKの 区 別 に 注 意 する 2 組 の 鍵 ファイル( 計 4 個 )ができ 見 た 目 での 識 別 は 困 難 実 行 時 に 鍵 ファイル 名 を 保 存 すると 良 い dnssec-keygen f KSK.. > ksk-... dnssec-keygen... > zsk Copyright 2009 株 式 会 社 日 本 レジストリサービス 115

116 ゾーンへの 署 名 : dnssec-signzone 署 名 対 象 ゾーンファイル ZSK KSKを 準 備 同 じディレクトリに 用 意 し ゾーンファイルは ゾーン 名 とファイル 名 を 一 致 させると 便 利 example.jp Kexample.jp key Kexample.jp private Kexample.jp key Kexample.jp private KSK 公 開 鍵 KSK 秘 密 鍵 ZSK 公 開 鍵 ZSK 秘 密 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 116

117 ゾーンへの 署 名 ( 続 き) ゾーンファイルにKSK ZSKの 公 開 鍵 を 登 録 公 開 鍵 をまとめたファイルを 用 意 し $INCLUDE 文 を 利 用 してゾーンファイルから 参 照 する cat `cat ksk-example.jp`.key `cat zsk-example.jp`.key > example.jp.keys ;ゾーンファイル 中 でkeyファイルを 参 照 $INCLUDE example.jp.keys SOAシリアル 値 の 管 理 は dnssec-signzone の -n オプションにまかせるのがベター Copyright 2009 株 式 会 社 日 本 レジストリサービス 117

118 署 名 前 のゾーンファイル $TTL 1D $INCLUDE IN SOA ns root ( 1 ; Serial ; Refresh 3600 ; Retry ; Expire 1800 ) ; Minimum TTL NS ns MX 10 mail ; ns A www A mail A sub1 NS ns.sub1 ns.sub1 A sec3 NS ns.sec3 ns.sec3 A $INCLUDE../sec3.example.jp/dsset-sec3.example.jp. sub3 NS ns.sub3 ns.sub3 A Copyright 2009 株 式 会 社 日 本 レジストリサービス 118

119 署 名 の 実 行 dnssec-signzone -H < 繰 り 返 し 回 数 > -3 <salt> -n <SOAのシリアル 値 > -k <KSK> <ゾーンファイル> <ZSK> dnssec-signzone H ABC n unixtime k `cat ksk-example.jp`.private example.jp `cat zsk-example.jp`.private -3はNSEC3 方 式 を 選 びソルトを 指 定 するオプション 出 力 ファイル example.jp.signed 署 名 済 みのゾーン dsset-example.jp. ゾーンへのDS RR Copyright 2009 株 式 会 社 日 本 レジストリサービス 119

120 署 名 済 みのゾーンファイル( 抜 粋 ) ; File written on Tue Nov 10 16:48: ; dnssec_signzone version 9.7.0b2 example.jp IN SOA ns.example.jp. root.example.jp. ( ; serial < 中 略 > ) RRSIG SOA ( example.jp. CDq8qzNsLVa6pRD9VUE71IYzIaO7u5NtYwwM < 中 略 > UMhqKQinfJHi/8hv4ff5FK198Dc= ) NS ns.example.jp RRSIG NS ( example.jp. UICLoNT5Zszv8LzF0mrkslDMwf9KBmiRSbhN < 中 略 > oy1vng0n6b+q2ksy12zxlk4g0yw= ) MX 10 mail.example.jp RRSIG MX ( example.jp. TQz52cCZQvpgcMFyRPtM2BWKxE8Vfvj/RmSv < 中 略 > 7GKlXyx3aHYyX3w9O03iXFQz7PA= ) DNSKEY ( AwEAAfzJXPiYtSD8DJs+J36dZd+cNrXHxLpu < 中 略 > Zl0VvPOGMNC94WFM+RciLySk2QSoJzmz ) ; key id = DNSKEY ( AwEAAe1MfTlcaIiidHDoCMmhuizPPoO5Tzzh < 中 略 > wzmor6uvsyzcjlljsyb9hh8= ) ; key id = Copyright 2009 株 式 会 社 日 本 レジストリサービス 120

121 DSの 登 録 dsset-example.jpの 内 容 を 親 ドメインに 登 録 子 ゾーンの 署 名 時 に 生 成 されたもの 内 容 の 例 example.jp. IN DS BB< 中 略 >DBC9A159E example.jp. IN DS EFC0< 中 略 >0ED6ED6 AFE9130B DSレコードはKSKの 公 開 鍵 からも 生 成 可 能 dnssec-dsfromkeyコマンドを 使 用 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 121

122 BINDの 設 定 : 権 威 サーバ(1/2) DNSSECを 有 効 にする named.conf の options 部 分 に dnssec-enable yes; を 追 加 options { < 省 略 > dnssec-enable yes; // BIND 9.4 以 降 は // デフォルトが yes; < 省 略 > }; Copyright 2009 株 式 会 社 日 本 レジストリサービス 122

123 BINDの 設 定 : 権 威 サーバ(2/2) ゾーンファイルを 署 名 済 みのものに 変 更 zone "example.jp" { } ; type master ; // file "example.jp.zone" ; file "example.jp.signed" ; namedを 再 起 動 rndc reload Copyright 2009 株 式 会 社 日 本 レジストリサービス 123

124 権 威 サーバの 動 作 確 認 digコマンドでdnssec 対 応 ゾーンの 確 認 dig +dnssec a +dnssec DNSSECを 有 効 にする 問 合 せ このオプションなしでは 通 常 の(DNSSECでない) ものと 同 じ 結 果 が 返 る +norec 非 再 帰 的 問 合 せ キャッシュサーバから 権 威 サーバへの 問 合 せと 同 じ 形 式 の 問 合 せ Copyright 2009 株 式 会 社 日 本 レジストリサービス 124

125 権 威 サーバへのdigの 結 果 (1/2) +dnssecなしのdigの 応 答 ; <<>> DiG P1 <<>> a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5506 ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. ;; ADDITIONAL SECTION: ns.example.jp IN A ;; Query time: 8 msec ;; SERVER: #53( ) ;; WHEN: Tue Nov 17 10:36: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 125

126 権 威 サーバへのdigの 結 果 (2/2) +dnssecありでは RRSIG RRを 加 えたものが 返 る ; <<>> DiG P1 <<>> +dnssec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A IN RRSIG A example.jp. 8QfGxUywqIJM1w5adioi8vN2SgfItsKYXPG9Y9qEOwk7I6eMUaeD49dw nepp+jqvr+zmjkl8hfpzyqu8wmzzf016gdrnsqukv7wkzk3yxp13ft5a DOdUCjHarZVzyh62aV1canDOIPBYto0GLFMGnDgjvyLNw8jktdFth803 L3k= ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. example.jp IN RRSIG NS example.jp. UICLoNT5Zszv8LzF0mrkslDMwf9KBmiRSbhN9NBAcdr/WpBRtUeg60/k gd/jm/15gvgeehqpwpj66byfc91hdrrrbtma8vsc1x7xz8nhu4wufnts hqiupzw9mftoo88d2naob6bylod8wdxdoy1vng0n6b+q2ksy12zxlk4g 0yw= ;; ADDITIONAL SECTION: ns.example.jp IN A ns.example.jp IN RRSIG A example.jp. urhho8ocpy3dd5frlbuupfwqzga2vxilea8udjxqu+najzh5xftup26l /lxggdxi3jjmv+hkfoiipkrjlaqvip2yh5jv05krhtlbxkijx4ze4g5x BukWAXSseSQDCqrVUbLzhxTofIVeTgXXMuDlYAB/ZmkGlB7X+6IUp6vS vgu= ;; Query time: 2 msec ;; SERVER: #53( ) ;; WHEN: Tue Nov 17 10:36: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 126

127 DO(DNSSEC OK)ビット dig の +dnssec オプション 問 合 せでEDNS0を 使 い DOビットをONにすると 共 に512バイトを 超 えるサイズのDNSパケットを 受 けられることを 宣 言 する DNSSECではEDNS0のサポートは 必 須 DOビット DNSSEC OK DNSSECの 応 答 を 受 ける DNSSECを 要 求 する 権 威 サーバは 問 合 せのDOビットがONであれ ば DNSSECの 情 報 を 含 んだ 応 答 を 返 す Copyright 2009 株 式 会 社 日 本 レジストリサービス 127

128 時 刻 の 同 期 DNSSEC 運 用 を 行 う 場 合 サーバの 時 刻 を 正 しく 合 わせる 必 要 がある NTPなどを 利 用 するのが 確 実 署 名 には 有 効 期 限 があり 期 限 を 過 ぎると 無 効 署 名 が 正 しくてもサーバの 時 刻 が 極 端 に 違 うと 署 名 検 証 に 失 敗 する DNSSEC 対 応 のゾーンは 定 期 的 に 再 署 名 を 行 うため 有 効 期 限 は 随 時 変 更 となる 実 用 上 は 分 程 度 まで 合 っていれば 問 題 ない Copyright 2009 株 式 会 社 日 本 レジストリサービス 128

129 鍵 更 新 と 再 署 名 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 129

130 鍵 更 新 同 じ 鍵 を 長 期 間 使 い 続 けると 様 々なリスク が 生 じる 不 注 意 偶 発 的 事 故 鍵 の 盗 難 暗 号 解 読 等 リスクを 最 小 に 抑 えるため DNSSEC 対 応 ゾーンの 運 用 では 定 期 的 な 鍵 更 新 ( 鍵 の 交 換 )を 行 う 例 えばSE(スウェーデン)の 場 合 年 に1 回 新 しい KSKを 生 成 し 2 年 間 利 用 する 運 用 を 行 っている Copyright 2009 株 式 会 社 日 本 レジストリサービス 130

131 鍵 更 新 時 に 留 意 すべきこと 鍵 更 新 は DNSSECの 信 頼 の 連 鎖 が 途 切 れ ないよう 注 意 深 く 作 業 する 必 要 がある 鍵 情 報 (DSやDNSKEY)と 署 名 (RRSIG)はDNS のレコードである キャッシュサーバはこれらをキャッシュする キャッシュしている 情 報 と あらたにキャッシュ サーバが 受 け 取 る 情 報 の 整 合 性 を 確 保 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 131

132 署 名 検 証 (1) 1 上 位 からDSを 受 け 取 る JPの 権 威 サーバからexample.jpのDS (DSの 署 名 検 証 の 解 説 は 省 略 ) 2 当 該 ゾーンのDNSKEYを 受 け 取 る example.jpの 権 威 サーバから example.jpの DNSKEY( 複 数 )とRRSIG( 複 数 )を 受 け 取 る 3 DNSKEYからKSKを 識 別 する DNSKEYは 複 数 (2 個 以 上 ) 存 在 するので フラグが257 のDNSKEY(1 個 以 上 )を 識 別 する 4 KSKを 特 定 する KSKとDSの 鍵 ID 暗 号 化 アルゴリズムを 比 べ KSKを 特 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 132

133 署 名 検 証 (2) 5 KSKを 認 証 する DSのハッシュアルゴリズムに 従 ってKSKのハッシュ 値 を 計 算 し DSにあるハッシュ 値 と 比 較 してKSKを 認 証 する 6 DNSKEYを 認 証 する 3で 受 け 取 ったDNSKEYに 付 随 したRRSIG( 複 数 )の 鍵 IDからKSKの 鍵 IDと 一 致 するものを 識 別 し 署 名 検 証 を 行 いDNSKEYを 認 証 する 7 DNSKEYからZSKを 識 別 する DNSKEYのフラグが256のものを 識 別 する ここでZSKは 複 数 存 在 する 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 133

134 署 名 検 証 (3) 8 受 け 取 る example.jpの 権 威 サーバから AとRRSIG(1 個 以 上 )を 受 け 取 る 9 認 証 する RRSIGの 鍵 IDと 一 致 するZSKで 署 名 を 検 証 する 署 名 検 証 の 際 署 名 の 有 効 期 間 ドメイン 名 など 他 のRRSIGのパラメータもチェックされる DSやDNSKEY RRSIG 等 は 署 名 検 証 後 もTTL の 有 効 時 間 キャッシュする Copyright 2009 株 式 会 社 日 本 レジストリサービス 134

135 ZSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 (1/2) 1 DNSKEYに 新 旧 のZSKを 登 録 する 新 ZSKを 作 成 し 旧 ZSKと 共 にDNSKEYに 登 録 し(この 状 態 でKSKを 含 めてDNSKEYは 最 低 3 個 ) 旧 ZSKで ゾーンを 署 名 DNSKEYのTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバが 新 旧 のZSKを 含 んだ DNSKEYをキャッシュするようになり 旧 RRSIGでも 新 RRSIGでも 署 名 を 検 証 できるようになる 2 ゾーンの 署 名 鍵 を 新 ZSKに 切 り 替 える ゾーン 内 の 最 長 のTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバから 旧 ZSKで 署 名 したRRSIGが 無 くなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 135

136 ZSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 (2/2) 3 旧 ZSKをDNSKEYから 削 除 する DNSKEYは 新 ZSKとKSKの 状 態 になる 初 期 状 態 DNSKEY KSK 旧 ZSK KSK 旧 ZSK 新 ZSK KSK 旧 ZSK 新 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 136

137 ZSKの 更 新 2つの 署 名 を 使 用 する 手 法 1 新 ZSKを 作 成 し 新 旧 両 方 のZSKでゾーンを 署 名 ゾーン 内 の 最 大 TTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 2 DNSKEYのZSKの 新 旧 を 入 れ 替 え 新 ZSKで ゾーンを 署 名 DNSKEY 初 期 状 態 1 2 KSK 旧 ZSK KSK 旧 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 137

138 ZSKの 更 新 メリット デメリット 事 前 に 鍵 を 公 開 する 手 法 ゾーンへの 署 名 を2 回 行 う 必 要 が 無 い ZSKの 公 開 時 間 が 長 くなるため 暗 号 解 読 攻 撃 のリスク が 高 まる(ZSKは 鍵 長 が 短 い) 初 期 状 態 から 数 えて4ステップ 必 要 2つの 署 名 を 使 用 する 手 法 初 期 状 態 から 数 えて3ステップで 終 了 する ゾーンへの 署 名 を2 回 行 う 必 要 がある 鍵 変 更 期 間 中 (1の 状 態 )はDNSデータが 大 きくなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 138

139 KSKの 更 新 2つの 署 名 を 使 用 する 手 法 (1/2) 1 新 KSKを 作 成 し DNSKEYに 登 録 して DNSKEYを 新 KSKと 旧 KSKで 署 名 する 2 親 ゾーンのDS 登 録 を 旧 から 新 に 切 り 替 える 親 側 のDSの 切 り 替 え 作 業 を 待 ち その 後 親 側 の 旧 DSのTTL 時 間 分 待 つ 3 旧 KSKを 削 除 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 139

140 KSKの 更 新 2つの 署 名 を 使 用 する 手 法 (2/2) 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK 新 KSK ZSK 旧 KSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 140

141 KSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 1 新 KSK(と 新 DS)を 作 成 し 親 ゾーンに 新 旧 2 つのDSを 登 録 する 親 ゾーンのDS 登 録 を 待 つ さらに 旧 DSのTTL 時 間 待 つ 2 旧 KSKを 破 棄 し 新 KSKでDNSKEYに 署 名 する 3 親 ゾーンのDS 登 録 を 新 DSのみにする Copyright 2009 株 式 会 社 日 本 レジストリサービス 141

142 KSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK ZSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 142

143 KSKの 更 新 メリット デメリット 2つの 署 名 を 使 用 する 手 法 ZSKと 違 い 署 名 がDNSKEYにのみ 作 用 するの で ゾーンデータの 肥 大 化 は 問 題 にならない 親 ゾーンとのDSのやり 取 りが1 回 で 済 む 事 前 に 鍵 を 公 開 する 手 法 親 ゾーンとDSのやり 取 りが2 回 必 要 となる Copyright 2009 株 式 会 社 日 本 レジストリサービス 143

144 ゾーンの 再 署 名 署 名 の 有 効 期 限 が 長 すぎるのは 望 ましくない 万 が 一 の 事 態 ( 鍵 の 盗 難 等 )において 速 やかに 対 応 する ためには 署 名 期 間 は 短 いほうがよい 有 効 期 限 が 数 分 の 鍵 も 技 術 的 には 可 能 しかし 休 日 の 対 応 を 考 慮 すると 現 実 性 に 欠 ける 署 名 の 有 効 期 限 に 達 する 前 に 署 名 の 有 効 期 限 を 更 新 するために ゾーン 全 体 の 再 署 名 が 必 要 となる DNSSECでは 再 署 名 を 行 ってゾーン 情 報 を 定 期 的 に 更 新 する 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 144

145 NSEC3 固 有 の 問 題 NSEC3では 同 じハッシュ 値 を 使 い 続 けると 辞 書 攻 撃 により 秘 匿 している 情 報 が 解 析 され るリスクがある ゾーンの 再 署 名 時 にソルトを 変 更 し ハッシュ 値 を 変 えるのが 望 ましい Copyright 2009 株 式 会 社 日 本 レジストリサービス 145

146 鍵 の 有 効 期 限 運 用 面 での 鍵 の 有 効 期 限 の 実 用 的 な 値 KSK 13ヵ 月 12ヶ 月 で 鍵 更 新 ZSK ~3ヵ 月 KSKの 更 新 はDSの 登 録 変 更 作 業 を 伴 うため ドメイン 名 登 録 の 更 新 にあわせるのが 現 実 的 ZSKはKSKのような 制 約 は 無 く ゾーン 内 で 処 理 が 完 結 するため 運 用 面 での 負 荷 を 考 慮 しながら 期 間 を 短 めに 設 定 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 146

147 TTLと 署 名 の 期 間 RRのTTLが 署 名 期 間 より 長 かったら キャッシュしたRRの 署 名 が 無 効 になる 事 態 が 発 生 する 署 名 の 有 効 期 間 はTTLより 長 い 必 要 がある SOAのExpireが 署 名 期 間 より 長 かったら セカンダリサーバでゾーンが 有 効 にも 関 わらず 署 名 が 無 効 になる 事 態 が 発 生 する 可 能 性 がある SOAのExpireは 署 名 期 間 より 短 い 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 147

148 鍵 管 理 KSKが 漏 洩 すると 被 害 が 大 きい ゾーンの 重 要 度 との 兼 ね 合 いで rootやtldの 重 要 度 は エンドユーザのゾーンに 比 べ 高 い DS 登 録 が 必 要 なため 自 ゾーンだけでは 管 理 できない HSM(Hardware Security Module)の 利 用 を 推 奨 ZSKはKSKに 比 べリスクは 小 さい 万 が 一 漏 洩 した 場 合 でも KSKに 比 べ 簡 単 に 更 新 できる いずれにしても 鍵 管 理 は 十 分 厳 重 に 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 148

149 DNSSEC 化 による DNSデータの 変 化 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 149

150 DNSSEC 有 無 による 検 索 DNSSEC 無 し $ dig a grep SIZE ;; MSG SIZE rcvd: 157 ( 親 のNSに 問 合 せ) $ dig a grep SIZE ;; MSG SIZE rcvd: 173 ( 自 分 自 身 のNSに 問 合 せ) DNSSEC 有 り $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 414 ( 親 のNSに 問 合 せ) $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 1180 ( 自 分 自 身 のNSに 問 合 せ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 150

151 権 威 サーバへのdigの 結 果 (1/2) +dnssec 無 しのdigの 応 答 ; <<>> DiG <<>> a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A ;; AUTHORITY SECTION: nic.se IN NS ns3.nic.se. nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ;; Query time: 328 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 151

152 権 威 サーバへのdigの 結 果 (2/2) +dnssec 有 り 各 RRにRRSIG RRを 加 えたものが 返 る ; <<>> DiG <<>> +norec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5979 ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 9 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A IN RRSIG A nic.se. izdsohtb1xthccw2wv4tzjl ;; AUTHORITY SECTION: nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. nic.se IN NS ns3.nic.se. nic.se IN RRSIG NS nic.se. pkdbuyxlqppnhlu9nazh ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ns.nic.se IN RRSIG A nic.se. GzLodvUOd0oB4qfhhbp8H ns.nic.se IN RRSIG AAAA nic.se. 0tvno8Vz7Ihm27AZ+H ns2.nic.se IN RRSIG A nic.se. UcEcYGX59H8bAVGwhfwko ns3.nic.se. 60 IN RRSIG A nic.se. NRoFeFzAm0hoyKa2ObxjCfB ;; Query time: 382 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: 1180 注 意 :RRSIGは 行 の 途 中 まで 残 り 省 略 Copyright 2009 株 式 会 社 日 本 レジストリサービス 152

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初 心 者 のためのDNS 運 用 入 門 - トラブルとその 解 決 のポイント - 2013 年 7 月 19 日 DNS Summer Days 2013 株 式 会 社 日 本 レジストリサービス(JPRS) 水 野 貴 史 Copyright 2013 株 式 会 社 日 本 レジストリサービス 1 講 師 自 己 紹 介 氏 名 : 水 野 貴 史 (みずの たかふみ) 生 年 月 日

More information

DNSSECチュートリアル ~実践編~

DNSSECチュートリアル ~実践編~ Internet Week 2010 S10 DNSSECチュートリアル ~ 実 践 編 ~ 民 田 雅 人 株 式 会 社 日 本 レジストリサービス 2010-11-25 Copyright 2010 株 式 会 社 日 本 レジストリサービス 1 目 次 DNSキャッシュへの 毒 入 れ DNSSECのしくみ DNSSEC 導 入 に 向 けて DNSSECの

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 DNSチュートリアル - 初 心 者 のためのDNS 運 用 入 門 - 2015 年 1 月 14 日 JANOG35 Meeting 株 式 会 社 日 本 レジストリサービス(JPRS) 久 保 田 秀 Copyright 2015 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 1. DNSの 基 礎 知 識 とトラブルシューティングの 基 本 DNSの 全 体 構 成

More information

Part 1 Part 2 Part 3 Part 1 STEP 0 1 STEP 02 66 // options options { directory "/var/named/"; // zone zone "." { type hint; file "named.root"; // 0.0.127.in-addr.arpa zone zone "0.0.127.in-addr.arpa"

More information

Microsoft PowerPoint - bind-97-20091124.ppt

Microsoft PowerPoint - bind-97-20091124.ppt JAPAN REGISTRY SERVICES DNSSECの 拡 張 と BIND 9.7の 新 機 能 小 規 模 なDNSSEC 遊 びその 後 藤 原 和 典 2009/11/24 dnsops.jp BoF Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 DNSSECを 拡

More information

キャッシュポイズニング攻撃対策

キャッシュポイズニング攻撃対策 キャッシュポイズニング 攻 撃 対 策 : キャッシュDNSサーバー 運 用 者 向 け 基 本 対 策 編 初 版 作 成 :2014 年 4 月 30 日 最 終 更 新 :2014 年 4 月 30 日 株 式 会 社 日 本 レジストリサービス(JPRS) Copyright 2014 株 式 会 社 日 本 レジストリサービス 1 本 資 料 の 位 置 づけ 本 資 料 は 以 下 の

More information

Microsoft PowerPoint - private-dnssec

Microsoft PowerPoint - private-dnssec JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1 いますぐ DNSSEC で遊びたい 使ってる TLD

More information

DNSを「きちんと」設定しよう

DNSを「きちんと」設定しよう DNS WIDE Project DNS DAY - Internet Week 2002 BIND DNS 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc DNS 4 2 (1) www.example.jp IP 10.100.200.1 10.20.30.40 ftp.example.jp

More information

JAIPA-DNSSEC

JAIPA-DNSSEC # yum -y install gcc openssl-devel $ wget http://ftp.isc.org/isc/bind9/9.7.2-p2/ bind-9.7.2-p2.tar.gz $ tar zxf bind-9.7.2-p2.tar.gz $ cd bind-9.7.2-p2/ $./configure --with-openssl --disableopenssl-version-check

More information

JPドメイン名におけるDNSSECについて

JPドメイン名におけるDNSSECについて JPドメイン 名 におけるDNSSECについて JP DPSの 作 成 を 切 り 口 に 森 健 太 郎 株 式 会 社 日 本 レジストリサービス 本 資 料 について 本 資 料 は 2011 年 7 月 12 日 に 開 催 されたJPNICセミナー 組 織 におけるDNSSECの 姿 ~ICANN 大 久 保 智 史 氏 を 迎 えて ~ の 講

More information

enog-ryuichi

enog-ryuichi 君 のキャッシュDNSサーバが 出 すクエリ を 君 は 本 当 に 理理 解 しているか? あ でもそのうちそうなっちゃうかも? ~QNAME Minimisation の 話 ~ ENOG34@ 柏 崎 2015 年年 9 月4 日 DMM.comラボ 高 嶋 隆 一 おさらい. ドメイン 名 は 階 層 構 造 を 持 つ 酔 っ 払 い. JP.. ü 木 構 造 っぽい com org 酔

More information

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

DNS (BIND, djbdns)  JPNIC・JPCERT/CC Security Seminar 2005 DNS 2005 10 6 JPNIC JPCERT/CC Security Seminar 2005 DNS Pharming BIND djbdns 2 DNS DNS (Domain Name System)? IP www.example.jp IP 172.16.37.65 http://www.example.jp/ - http://172.16.37.65/

More information

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( )  IP IP DNS 4 DNS minmin@jprs.co.jp DNS DAY Internet Week 2003 ( ) 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) www.example.jp IP IP 10.20.30.40 DNS 4 PC /etc/resolv.conf

More information

スライド 1

スライド 1 キャッシュ DNS の DNSSEC 対応 2012 年 11 月 21 日 三洋 IT ソリューションズ株式会社 SANNET BU 技術運用チーム 其田学 アジェンダ 2 DNSSEC に対応したキャッシュ DNS とは 検証の仕組み構築方法 構築前の確認事項 ROOT ゾーンのトラストアンカー キャッシュ DNS サーバの設定運用 監視 ログ項目 トラブルシューティング 3 DNSSEC に対応したキャッシュ

More information

「DNSキャッシュポイズニング対策」スライド部分の抜粋

「DNSキャッシュポイズニング対策」スライド部分の抜粋 DNS キャッシュポイズニング 対 策 ~DNSの 役 割 と 関 連 ツールの 使 い 方 ~ 1. DNSキャッシュポイズニング 2. DNSの 動 作 と 関 連 ツール 3. 検 査 ツールの 使 い 方 と 注 意 点 4. 再 帰 動 作 の 設 定 1. DNSキャッシュポイズニング 1.1 DNSの 仕 組 み 1.2 DNSキャッシュポイズニング 1 1.1 DNSの 仕 組 み

More information

JP DNSSEC Update

JP DNSSEC Update 重 複 をお 許 しください ができるまで 2011 年 4 月 20 日 DNSOPS.JP BoF 株 式 会 社 日 本 レジストリサービス 森 下 泰 宏 (Orange) Copyright 2011 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 重 複 をお 許 しください とは 生 い 立 ちと 状 況 なぜいつも 同 じ 書 き 出 しなのか? 重 複 をお 許

More information

スマート署名(Smart signing) BIND 9.7での新機能

スマート署名(Smart signing) BIND 9.7での新機能 BIND 9.7 の新機能を利用した 権威 DNS サーバの運用 スマート署名 全自動ゾーン署名 1 DNSSEC for Humans BIND 9.7 から導入された DNSSEC の設定をより簡単に行う一連の機能 スマート署名 全自動ゾーン署名 RFC 5011 への対応 Dynamic Update 設定の簡素化 DLV の自動設定 2 スマート署名 3 スマート署名の利用例 (example.jp

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 株式会社ブロードバンドタワー 大本貴 ( 題字は http://to-a.ru にて作成 ) 自己紹介 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010 年ブロードバンドタワーに転籍

More information

経 緯

経 緯 頂 上 は 如 何 に 攻 略 されたか ~ ルートゾーン キャッシュポイズニング ~ 2014.06.05 IEICE 中 京 大 学 工 学 部 鈴 木 常 彦 * QMAIL.JP 前 野 年 紀 経 緯 2/15 co.jp への 毒 入 れ 前 野 氏 : *.co.jp をJPサーバに 問 い 合 わせたときに co.jp が 委 譲 されているかのような 返 事 をすると キャッシュにないことは

More information

Microsoft PowerPoint - BIND9新機能.ppt

Microsoft PowerPoint - BIND9新機能.ppt BIND9 の最新動向 株式会社日本レジストリサービス坂口智哉 1 目次 1. BIND9.9 の主な新機能と変更点 2. バージョンアップ時の応答内容の比較 3. ゾーン転送中のクエリ処理性能 Copyright 2012 株式会社日本レジストリサービス 2 注意事項 本資料の機能は 執筆時点の最新リリース (BIND9.9.1-P2) を前提としたものです 本資料に登場する性能評価は あくまで

More information

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx Root KSK rollover outreach activities in Japan and findings ICANN57 DNSSEC Workshop 7 Nov 2016 Yoshiro YONEYA 1 Current status in Japan Awareness of DNSSEC itself is not low

More information

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re SUSE Linux Enterprise 10 内部 DNS 設定手順 この文書では 構内ネットワークの DNS キャッシュと LAN 内コンピュータの名前解決を目的とした DNS の設定手順を説明します DNS 設定前のチェック項目 HOSTNAME YaST > Network Service > HOSTNAMES に ホスト名. ゾーン名 が記述されていることを確認します この情報は /

More information

DNSSEC性能確認手順書v1.2

DNSSEC性能確認手順書v1.2 DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである

More information

BIND 9 BIND 9 IPv6 BIND 9 view lwres

BIND 9 BIND 9 IPv6 BIND 9 view lwres DNS : BIND9 ( ) /KAME jinmei@{isl.rdc.toshiba.co.jp, kame.net} Copyright (C) 2001 Toshiba Corporation. BIND 9 BIND 9 IPv6 BIND 9 view lwres BIND 3 : 4, 8, 9 BIND 4 BIND 8 vs BIND 9 BIND 9 IPv6 DNSSEC BIND

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初心者のための DNS 運用入門 - トラブル事例とその解決のポイント - 2014 年 6 月 26 日 DNS Summer Days 2014 株式会社日本レジストリサービス (JPRS) 水野貴史 Copyright 2014 株式会社日本レジストリサービス 1 講師自己紹介 氏名 : 水野貴史 ( みずのたかふみ ) 生年月日 :1988 年 3 月 3 日 (26 歳 ) 所属 : 株式会社日本レジストリサービス

More information

DNS設定ツールご利用マニュアル

DNS設定ツールご利用マニュアル DNS 設 定 ツール 操 作 マニュアル 平 成 26 年 5 月 12 日 第 1.3 版 アルテリア ネットワークス 株 式 会 社 目 次 1. はじめに... 3 2. 動 作 環 境 と 操 作 上 の 注 意 事 項... 3 2.1. 動 作 環 境... 3 2.2. 操 作 上 の 注 意 事 項... 3 3. 開 始 と 終 了... 4 3.1. 開 始... 4 3.2.

More information

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証 DNS アウトソーシング コントロールパネル 操 作 マニュアル Version 1.0 NTTPC コミュニケーションズ 2015/2/17 1 目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル...

More information

DNSブロッキンガイドライン

DNSブロッキンガイドライン DNS ブロッキングによる 児 童 ポルノ 対 策 ガイドライン 第 2 版 2012 年 11 月 2 日 安 心 ネットづくり 促 進 協 議 会 調 査 研 究 委 員 会 児 童 ポルノ 対 策 作 業 部 会 ISP 技 術 者 サブワーキンググループ 改 訂 履 歴 版 数 発 行 日 改 訂 履 歴 第 1 版 2011 年 4 月 28 日 初 版 発 行 第 2 版 2012 年

More information

untitled

untitled Kaminsky Attack ( ) DNS DAY Tsuyoshi TOYONO (toyono@nttv6.net) ( @JPRS) ( ) ( ) DNS DNS (DNS Cache Poisoning ) ( ) Pharming IP Pharming Cache Poisoning 0 ( (RR) Cache TTL) 1000 19 (1136 ) 50% 5 (271 )

More information

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という)

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という) 株 式 会 社 日 本 レジストリサービス 株 式 会 社 日 本 レジストリサービス 公 開 :2010 年 11 月 1 日 公 開 :2010 年 11 月 1 日 改 訂 :2011 年 6 月 20 日 改 訂 :2011 年 6 月 20 日 実 施 :2011 年 7 月 18 日 実 施 :2011 年 7 月 18 日 改 訂 :2011 年 11 月 1 日 改 訂 日 実 施

More information

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き 1/10 ページ 2013/07/02 AWS SDK Java で 使 おう(CNAME 編 )... 診 察 室 にて 医 者 : 次 の 方 どうぞ 主 婦 : よろしくお 願 いします 医 者 : どうされましたかな? 主 婦 : あのー 高 血 圧 のせいだと 思 うのですが 頭 がクラクラするんです 右 に 行 けばいいのか 左 に 行 けばいいのか 結 論 が 出 ないのです 医 者

More information

Root KSK更新に対応する方法

Root KSK更新に対応する方法 Root KSK 更新に 対応する方法 東京大学 総合文化研究科 石原知洋 概要 Root KSK Rollover とは? 更新方法 自動更新 : RFC5011: Automated Updates of DNS Security (DNSSEC) Trust Anchors DNSSEC トラストアンカーの自動更新 Root KSK 更新とは? DNSSEC の ( というより世の中の ) 鍵は定期的な更新が必要

More information

DNSキャッシュポイズニング対策

DNSキャッシュポイズニング対策 DNS キャッシュポイズニング 対 策 ~DNSの 役 割 と 関 連 ツールの 使 い 方 ~ 1. DNSキャッシュポイズニング 2. DNSの 動 作 と 関 連 ツール 3. 検 査 ツールの 使 い 方 と 注 意 点 4. 再 帰 動 作 の 設 定 2009 年 8 月 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター 0 1. DNSキャッシュポイズニング

More information

新しいDNSサーバ、 NSDの紹介

新しいDNSサーバ、 NSDの紹介 DNS NSD 2004 8 30 124 jus kohi@iri.co.jp NSD NLnet Labs RIPE/NCC DNS 2002 4 1.0.0-2003 6 16 1.0.3 2.1.2(2004 7 30 ) h.root-servers.net k.root-servers.net NSD 2004 8 30 Copyright(c) 2004 Koh-ich Ito 2 2004

More information

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2 DNS サーバーの安全な設定 民田雅人 minmin@jprs.co.jp 株式会社日本レジストリサービス DNS DAY Internet Week 2003 サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2 DNS の復習 DNS(Domain Name System)

More information

TechnicalBrief_Infoblox_jp.indd

TechnicalBrief_Infoblox_jp.indd F5 Infoblox DNS DNS F5 DNS DHCP IP DDI Infoblox DNS DNS DNS DNSSEC Nathan Meyer F5 Cricket Liu Infoblox 2 2 DNS DNSSEC DNSSEC DNSSEC Infoblox DNSSEC F Infoblox Delegation CNAME Delegation DNSSEC 11 Authoritative

More information

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築-

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築- Solaris フリーソフトウェア導入手順書 -BIND による DNS サーバの構築 - 2010 年 7 月 富士通株式会社 1 商標について SPARC Enterprise は 米国 SPARC International, Inc. のライセンスを受けて使用している 同社の米国およびその他の国における商標または登録商標です UNIX は 米国およびその他の国におけるオープン グループの登録商標です

More information

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx)

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx) マイナンバーに 対 応 した 情 報 システム 設 計 と セキュリティ 対 策 立 命 館 大 学 情 報 理 工 学 部 上 原 哲 太 郎 情 報 システムと 法 情 報 システムが 法 的 義 務 を 満 たす 必 要 がある 例 が 増 えてきている 特 定 電 子 メール 法 や 特 定 商 取 引 法 における 表 示 義 務 割 賦 販 売 法 におけるクレジット 番 号 の 安 全

More information

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx)

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx) option i-filter for D-SPA NTLM 認 証 - 基 本 設 定 説 明 資 料 デジタルアーツ 株 式 会 社 営 業 部 セールスエンジニア 課 NTLM 認 証 のメリット シングルサインオンによるWebアクセス 管 理 を 実 現! 認 証 サーバー 上 のグループ 情 報 を 用 いたルール 振 り 分 けも 可 能 ユーザー 追 加 削 除 時 などの 運 用 管

More information

ソフトウェア、プロトコル、ウェブサイトをめぐる動向

ソフトウェア、プロトコル、ウェブサイトをめぐる動向 Internet Week 2009 - H1 インターネットセキュリティ2009 - 脅 威 のトレンド2009 ~ソフトウェア プロトコル ウェブサイトをめぐる ウ 動 向 ~ 一 般 社 団 法 人 JPCERTコーディネーションセンター 2009 年 11 月 24 日 真 鍋 敬 士 最 近 気 になっていること 90 90 ある 公 開 アドレスに 届 いたメールのうち 実 行 ファイルが

More information

untitled

untitled DNS Demystified DNS 2004/07/23 JANOG14 @ koji@iij.ad.jp haru@iij.ad.jp DNS ^^; Authoritative JPNIC JPRS DNSQCTF (caching server) authoritative sever Copyright 2004, 2 (authoritative server) ( LAN DNS RFC1918

More information

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基 ( 別 紙 ) 志 摩 市 ホームページ 構 築 業 務 CMS 機 能 調 査 表 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1-1 1.システム 基 本 要 件

More information

ASP・SaaS安全・信頼性に係る情報開示認定制度

ASP・SaaS安全・信頼性に係る情報開示認定制度 ASP SaaS 安 全 信 頼 性 に 係 る 情 報 開 示 認 定 制 度 認 定 の (1/7) 認 定 番 号 : 01321107, 名 称 :isearch(アイサーチ), 事 業 者 名 称 : デジアナコミュニケーションズ 株 式 会 社 / 1 開 示 情 報 の 時 点 開 示 情 報 の 日 付 開 示 情 報 の 年 月 日 ( 西 暦 ) 2015/6/17 事 業 所

More information

Greatだねー

Greatだねー 中 国 でGreatだよ Matsuzak maz Yoshinobu 2013/08 @ APNIC36 network maz@iij.ad.jp 1 何 だかアクセスできないよ Twitter Facebook YouTube ERR_TIMED_OUT ERR_NAME_RESOLUTIN_FAILED ERR_TIMED_OUT maz@iij.ad.jp

More information

Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ

Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ トレンドマイクロ 推 奨 Windows Server 2003(32bit) 用 ポリシー を 利 用 される 前 に 必 ず 本 資 料 をご 確 認 ください Windows Server 2003 (32bit)に Deep Security Agentを 導 入 する 際 の 注 意 点 と トレンドマイクロ 推 奨 ポリシーの 考 え 方 について トレンドマイクロ 株 式 会 社 2014

More information

Microsoft PowerPoint - ベリサイン サーバID 新仕様(2048bit)への切替_asof201207_2.pptx

Microsoft PowerPoint - ベリサイン サーバID 新仕様(2048bit)への切替_asof201207_2.pptx ベリサイン サーバID 新 仕 様 (2048bit)への 移 行 のポイント 日 本 ベリサイン 株 式 会 社 SSL 製 品 本 部 2012 年 7 月 新 仕 様 (2048bit)への 移 行 のポイント 何 故 暗 号 アルゴリズムの 移 行 が 必 要 か SSLサーバ 証 明 書 への 影 響 個 々の 暗 号 アルゴリズムの 安 全 性 は 低 下 していき 寿 命 を 迎 える

More information

rndc BIND

rndc BIND rndc ローカル上 またはリモート上にある BIND9 を制御するツール rndc の仕組仕組み 制御メッセージ rndc コマンド 読み込み /.conf( 相手のホスト名と共有鍵の指定 ) または /.key( 共有鍵の指定 ) rndc の共通鍵と一致していれば rndc からの命令を受け付ける named サービス # vi named.conf 1 共有鍵の設定 keys ステートメントで直接記入または

More information

Microsoft PowerPoint - 20120622.pptx

Microsoft PowerPoint - 20120622.pptx 情 報 セキュリティ 第 10 回 2012 年 6 月 22 日 ( 金 ) 1/25 本 日 学 ぶこと 本 日 の 授 業 を 通 じて インターネットにおける 通 信 を 暗 号 化 するソフトウェアについて 学 びます. HTTPSほかの 暗 号 化 を 支 える SSL について,その 構 成 や 運 用 方 法 などを 理 解 します. 安 全 なリモートログインを 実 現 する SSH

More information

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx F5ネットワークスジャパン 2010 年 10 月 SSL 公 開 鍵 長 の2048ビット 移 行 と BIG-IPによるSSLオフロードの に ド 価 値 について セキュリティガイダンス およびその 影 響 3 暗 号 アルゴリズムにおける2010 年 問 題 2010 年 問 題 現 在 使 われている 暗 号 アルゴリズムが 将 来 的 に 使 用 できなくなることに 伴 って 発 生 する

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 28 年 3 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

Press Release english

Press Release english モバイル クライアントの 基 本 認 証 QlikView テクニカル ブリーフ Published: November, 2011 www.qlikview.com はじめに QlikView Server をインストールする 際 標 準 セキュリティ 構 成 ではユーザー 表 示 に Windows アカウントが ユー ザーの 認 証 に NTLM が 使 用 されます ローカル エリア ネットワーク

More information

電子メールソフトのセキュリティ設定について 第1分冊

電子メールソフトのセキュリティ設定について 第1分冊 電 子 メールソフトのセキュリティ 設 定 について 第 1 分 冊 - はじめに - 本 文 書 がカバーする 電 子 メールソフト - 電 子 メールソフトの 設 定 に 関 する 説 明 一 般 社 団 法 人 JPCERTコーディネーションセンター 2011 年 2 月 1 日 本 資 料 は 一 般 社 団 法 人 JPCERT コーディネーションセンターのウエブサイトにて 公 開 している

More information

AirStationPro初期設定

AirStationPro初期設定 AirStationPro 初 期 設 定 AirStationProの 検 索 1.エアステーション 設 定 ツールVer.2を 立 ち 上 げて 次 へ をクリックする 注 )エアステーション 設 定 ツールVer.2は 製 品 に 付 属 しているCD からインストールす るか http://buffalo.jp/do wnload/driver/lan/ai rnavilite.htmlにある

More information

スライド 1

スライド 1 WEBサイト 改 ざん 検 知 手 法 の 分 類 と サイト 構 成 との 相 性 について M2Mテクノロジーズ 株 式 会 社 M2M Technologies Inc. 1 自 己 紹 介 内 山 恒 示 (うちやま こうじ) 2002 年 ごろから セキュリティ 事 業 に 従 事 ネットワークフォレンジック 製 品 の 代 理 店 をきっかけにセキュリティ 業 界 デビュー ハードに 強

More information

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 委 託 仕 様 書 1 業 務 名 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 2 目 的 福 島 県 環 境 創 造 センター( 以 下 環 境 創 造 センター という )は 県 土 の 環 境 を 回 復 創 造 に 取 り 組 むための 調 査 研 究 及 び 情 報 発 信 教 育 等 を 行

More information

ユーザーマニュアル

ユーザーマニュアル 1. 基 本 設 定 セキュア Web サーバーの 基 本 的 な 設 定 を 行 ないます 基 本 設 定 サーバー 名 管 理 者 メールアドレス を 入 力 します 設 定 する ボタンをクリックして 設 定 を 終 了 します root ユーザーはポート 番 号 を 変 更 することもできます 詳 細 設 定 セキュア Web サーバーを 通 して 公 開 する ユーザーのディレクトリを 設

More information

Microsoft PowerPoint - 05_miyohara.ppt

Microsoft PowerPoint - 05_miyohara.ppt 日 本 におけるヘルスケアPKI (HPKI)の 最 新 動 向 保 健 医 療 福 祉 情 報 システム 工 業 会 セキュリティ 委 員 会 委 員 長 茗 原 秀 幸 1. 情 報 セキュリティとは 情 報 セキュリティとは 情 報 資 産 の 機 密 性 完 全 性 及 び 可 用 性 を 維 持 すること 機 密 性 (confidentiality): 情 報 にアクセスすることが 認

More information

03 CMS機能審査表.xls

03 CMS機能審査表.xls 厚 真 町 ホームページ 構 築 業 務 CMS 機 能 調 査 表 ( 別 紙 ) 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1 1.システム 基 本 要 件 Windows

More information

スライド 1

スライド 1 IP Meeting 2004 DNS & (IANA/RIR) 2004 12 2 JPRS DNS 1 DNS 3 IP Anycast IPv6 AAAA glue BIND DNS 3 IP Anycast DDoS 2002 10 DDoS 13 7 2 DNS DNS 13(=13 IPv4 ) 4 IP Anycast IP RFC 1546

More information

サポート技術方法

サポート技術方法 キャッシュと 同 期 の 推 奨 設 定 イントロダクション このドキュメントでは Curl RTE のパフォーマンスを 最 大 限 に 活 用 できるように Curl RTE の 設 定 と Web ブラウザのキャッシュの 特 徴 について 説 明 します この 設 定 を 採 用 することで 正 確 なプログラムの 動 作 を 維 持 しながら Curl アプリケー ションにおいて 最 も 効

More information

目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期 間... 3 2.4. 費 用...

目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期 間... 3 2.4. 費 用... 公 立 大 学 法 人 岩 手 県 立 大 学 岩 手 県 立 大 学 ウェブサイトリニューアル 業 務 に 係 る 提 案 仕 様 書 1 目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 10 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 徳 島 市 は 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 における 特 定 個 人 情 報 ファイルの

More information

rndc BIND DNS 設定 仕組み

rndc BIND DNS 設定 仕組み rndc ローカル上 またはリモート上にある BIND9 を制御するツール主に 設定の再読み込み named サービスの停止 ( 起動はできない ) 統計情報の表示 キャッシュのクリアなどのために使用する rndc の仕組仕組み rndc コマンドを実行する端末は 同じ端末 ( サーバ ) 上の named サービス または外部のサーバ上の named サービスの制御をすることができる rndc の設定

More information

アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ について 説 明 し ます 1. Mova

アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ について 説 明 し ます 1. Mova MTのクラウド 利 用 を 加 速 する "MTEZコンシェルジュ"の 紹 介 2013.03.19 株 式 会 社 ネットフォレスト 川 原 啓 アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ

More information

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ 情 報 セキュリティ 認 証 学 術 情 報 基 盤 センター 升 屋 正 人 masatom@cc.kagoshima-u.ac.jp 認 証 とは Authentication IDとパスワードなどで 正 当 性 を 確 認 ログイン 認 証 など Certification 第 三 者 が 正 当 性 を 証 明 ISO9000 認 証 など 認 証 された 利 用 者 に 対 して 権 限

More information

マイナンバー制度と企業の実務対応

マイナンバー制度と企業の実務対応 マイナンバー 制 度 と 企 業 の 実 務 対 応 2014 年 11 10 株 式 会 社 富 通 総 研 経 済 研 究 所 主 席 研 究 員 榎 並 利 博 迫 るマイナンバー 対 応 2015 年 10 から 番 号 通 知 2016 年 1 から 番 号 利 開 始 マイナンバー 法 とは 1 1.マイナンバー 法 とは マイナンバー 法 の 構 成 基 本 理 念 個 番 号 個 番

More information

antispam_conf_1402214.pptx

antispam_conf_1402214.pptx Agenda 送 信 ドメイン 認 証 技 術 迷 惑 メールの 動 向 SPF DKIM 送 信 ドメイン 認 証 技 術 の 利 用 DMARC 課 題 送 信 ドメイン 認 証 技 術 (1) 基 本 的 な 仕 組 み 送 り 手 は 送 信 元 を 明 確 に 表 明 (ごまかしがきかない 情 報 を 利 用 ) 受 け 手 は 送 信 元 情 報 が 正 しく 表 明 されているか 確

More information

Proxy システム 上 埜 元 嗣 情 報 社 会 基 盤 研 究 センター 概 要 情 報 社 会 基 盤 研 究 センターでは 全 学 サービスとして WEB の proxy サービスを 提 供 している 高 速 な 外 部 へ のアクセスや 安 全 な 通 信 を 目 的 としているが 最

Proxy システム 上 埜 元 嗣 情 報 社 会 基 盤 研 究 センター 概 要 情 報 社 会 基 盤 研 究 センターでは 全 学 サービスとして WEB の proxy サービスを 提 供 している 高 速 な 外 部 へ のアクセスや 安 全 な 通 信 を 目 的 としているが 最 JAIST Reposi https://dspace.j Title Proxyシステム Author(s) 上 埜, 元 嗣 Citation 国 立 大 学 法 人 北 陸 先 端 科 学 技 術 大 学 院 大 学 技 術 サービ ス 部 業 務 報 告 集 : 平 成 23 年 度 : 23-26 Issue Date 2012-08 Type Others Text version publisher

More information

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以 フリーのDNS ストレスツール の 紹 介 dnsperf ( 開 発 元 Nominum), dnstcpbench( 開 発 元 Nether Labs) 2013/7/18 SCSK 株 式 会 社 服 部 成 浩 ( s.hattori@scsk.jp ) 自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回

More information

OpenDNSSECチュートリアル

OpenDNSSECチュートリアル OpenDNSSEC チュートリアル @DNSOPS.JP BoF(2009.11.24) NRIセキュアテクノロジーズ株式会社エンタープライズセキュリティサービス部中島智広 (nakashima@nri-secure.co.jp) はじめに 概要 本発表は煩雑な DNSSEC 運用を楽にするためのソフトウェアである OpenDNSSEC の概要と導入方法をまとめたものです おことわり 内容には十分配慮していますが

More information

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074>

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074> 付 録 アプリケーションへの 代 表 的 攻 撃 (SQL)インジェクション データベースを 利 用 するアプリケーションに 対 して 外 部 からの 入 力 で 不 正 に データベースを 操 作 参 照 する 手 法 入 力 がSQL 以 外 のシステムのコマンド 等 として 処 理 される 場 合 に それらを 利 用 する コマンドインジェクションなども 類 似 の 攻 撃 パラメータ 改

More information

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~ エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~ エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お

More information

スライド 1

スライド 1 院 内 IT 情 報 セキュリティの ご 提 案 株 式 会 社 プロアス 1 弊 社 のご 紹 介 名 称 設 立 代 表 取 締 役 所 在 地 : 株 式 会 社 プロアス :1978 年 10 月 : 伊 藤 泰 充 : 大 阪 市 淀 川 区 西 宮 原 1-5-33 新 大 阪 飯 田 ビル 医 療 機 関 様 向 け 主 な 事 業 案 内 医 事 会 計 システム Ultima-HP/CL

More information

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1 ISOG-J 主 催 セミナー 事 例 から 学 ぶ!ウェブ 改 ざんの 実 態 と 対 策 ウェブ 改 ざんによる 被 害 とその 対 策 2013 年 12 月 12 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター 岡 野 裕 樹 本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 )

More information

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co 情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月 本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF

More information

cache-config_v1.pptx

cache-config_v1.pptx キャッシュサーバの 設 定 IIJ 山 口 崇 徳 DNS Summer Days 2014 自 己 紹 介 IIJというところでDNSの 運 用 やってます お 客 様 用 参 照 サーバ お 客 様 のゾーンを 預 かる 権 威 サーバ 某 cctldのセカンダリ 最 初 のDNSのお 仕 事 は BIND4 BIND8 の 移 行 前 世 紀 末 その 他 メールやったり web いじったり

More information

サイバー攻撃対策ソリューションのご紹介

サイバー攻撃対策ソリューションのご紹介 Prowise Business Forum サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ セキュリティソリューション 部 坂 本 篤 郎 C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 1 APT( 新 しいタイプの 攻 撃 )とは? Advanced

More information

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 公 募 型 プロポーザルに 係 る 仕 様 書 1 業 務 名 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 ( 以 下 本 業 務 という ) 2 業 務 の 目 的 世 界 遺 産 三 角 西 港 をはじめとした 宇 城 市 の 魅 力 をPRして

More information

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使 . 事 業 者 が 備 えるべき マイナンバー 対 応 のポイント 平 成 2 7 年 5 月 1 5 日 JIPDEC( 一 般 財 団 法 人 日 本 情 報 経 済 社 会 推 進 協 会 ) マイナンバー 対 応 プロジェクト 室 慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ

More information

kohi-p1.pptx

kohi-p1.pptx DNS のよくある間違い 伊藤高一 DNS Summer Days 2012 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 1 イントロダクション DNS は 世界で唯一成功した分散データベース って言われています おかげで just put it in the DNS なる風潮も なんで成功したのかって? だってユルいんだもん :-) 多少いい加減でも

More information

Microsoft Word - 仕様書

Microsoft Word - 仕様書 住 まいの 情 報 一 元 化 ホームページ 制 作 等 業 務 委 託 仕 様 書 1 業 務 名 住 まいの 情 報 一 元 化 ホームページ 制 作 等 業 務 2 期 間 契 約 締 結 日 から 平 成 28 年 3 月 31 日 まで 3 ホームページ 公 開 時 期 平 成 28 年 1 月 予 定 4 目 的 北 陸 新 幹 線 の 金 沢 開 業 により 交 流 人 口 が 増 え

More information

新入社員等研修向け情報セキュリティクイズ

新入社員等研修向け情報セキュリティクイズ 新 入 社 員 等 研 修 向 け 情 報 セキュリティクイズ 一 般 社 団 法 人 JPCERTコーディネーションセンター 情 報 セキュリティクイズについて 情 報 セキュリティクイズは 業 務 でPCを 使 用 する 場 合 覚 えておく と 参 考 になるようなTipsをクイズ 形 式 で 紹 介 します クイズに 登 場 するキャラクターは セキュリイヌ といいます サーバ 管 理 から

More information

目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4 3.3. 要 求 仕 様... 6 3.4. 設 定 情 報... 6

目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4 3.3. 要 求 仕 様... 6 3.4. 設 定 情 報... 6 別 紙 4 年 金 業 務 システム 開 発 管 理 環 境 接 続 仕 様 書 平 成 28 年 8 月 厚 生 労 働 省 年 金 局 事 業 企 画 課 システム 室 目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4

More information

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D>

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D> EMC Documentum IRM の ご 紹 介 EMCジャパン 株 式 会 社 インフォメーションインテリジェンス 事 業 本 部 1 EMCのアプローチ(1/2) 場 所 で 制 御 する 従 来 型 方 式 にプラスし, ファイルで 制 御 する 鍵 方 式 (Documentum IRM)を 採 用 することにより さらに 堅 牢 なセキュリティシステム を 実 現 場 所 で 制 御

More information

ネットワークへの情報流出対策技術の動向

ネットワークへの情報流出対策技術の動向 P2Pネットワークとセキュリティ -しくみと 使 い 方 - 大 坐 畠 智 電 気 通 信 大 学 2010 年 10 月 15 日 調 布 市 民 講 座 1 発 表 内 容 1. はじめに 2. インターネット 全 般 3. 情 報 流 出 とP2Pネットワーク 4. P2Pネットワークへの 情 報 流 出 対 策 技 術 5. まとめ 2 1.はじめに 近 年 情 報 流 出 事 件 が 多

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 9 個 人 住 民 税 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 三 島 市 は 個 人 住 民 税 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあたり

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 8 個 人 住 民 税 の 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 西 東 京 市 は 個 人 住 民 税 の 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイ ルの 取 扱

More information

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i -

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - ( 事 業 者 向 け) 1.0 版 2015 年 3 月 31 日 改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - 目 次 1. はじめに... 1 2. システム 動 作 環 境... 1 2.1. 動 作 の 条 件 注 意 事 項... 1 2.1.1. JAVA スクリプトの 設 定... 1 2.1.2.

More information

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを 2008/9/10 2008 年 9 月 10 日開催 LPIC レベル 2 技術解説無料セミナー 日本電子専門学校 杉松秀利 sugimatsu@mail.pcmarks.jp Copyright(c) : Japan Electronics College All Rights Reserved. LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep. 2008

More information

A2Zサーバ設定マニュアル110330.doc

A2Zサーバ設定マニュアル110330.doc 設 定 マニュ ア ル [ 2011.10.21 ] 目 次 管 理 ツール Integration-Panel へのログイン 方 法 2 DNS 設 定 手 順 3 サイト 設 定 手 順 11 メール 設 定 手 順 35 1 管 理 ツール Integration-Panel のログイン 方 法 A2Z サーバの DNS 設 定 ウェブサイト 設 定 メール 設 定 は 管 理 ツール AIntegration-

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 25 年 4 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に < 別 添 資 料 Ⅱ>ネットワークセキュリティ 基 礎 カリキュラム 情 報 セキュリティ 全 般 の 動 向 および 必 要 な 対 策 の 基 礎 知 識 について 習 得 し ます NISMコース 体 系 全 体 の 概 要 を 学 びます また 最 新 のセキュリティ 技 術 の 概 要 を 解 説 し 専 門 コースへの 足 がかりになる ようにします 1. ネットワークセキュリティとは

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.52 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

Microsoft PowerPoint - security2012-9SSL.pptx

Microsoft PowerPoint - security2012-9SSL.pptx 今 の 内 容 情 報 社 会 とセキュリティ( 第 9 回 ) 暗 号 化 を いた 技 術 SSL S/MIME 産 業 技 術 科 学 科 多 知 正 htada@kyokyo-u.ac.jp 2012/6/4 1 2012/6/4 2 SSLとは SSLの 利 Secure Socket Layerの 略 インターネット 上 で 情 報 を 暗 号 化 して 通 信 するためのプロトコル HTTP

More information

Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です

Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です WHITE PAPER: White Paper Android 端 末 でも 欠 かせないセキュリティ 対 策 SSL による 暗 号 化 通 信 powered by Symantec Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または

More information

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx マイサーバーサービス 利 用 マニュアル (VPS 共 用 サーバー 用 Web サーバー 設 定 ) マイサーバーVPS compact RIMNET http://www.rim.or.jp/support/ Members Guide Book 2010/07 はじめに 本 利 用 マニュアルでは マイサーバーVPS compactのvps 共 用 サーバー 用 の Webサーバ の 設 定

More information

スライド 1

スライド 1 WEBメール オプション Active! mail 6 Ver.1.3 2009/09/09 Active! mail 6 概 要 /WEBメールとは WEBメール(Active! Mail 6)とは WEBメールは 使 いやすく 管 理 し 易 いWEBブラウザを 使 ったメールの 送 受 信 システムです WEBメールは メールサーバに 蓄 積 されたメールを 読 み 込 み WEBページの 形

More information

DIACERTサービス利用規約

DIACERTサービス利用規約 DIACERT サービス 利 用 規 約 ( 利 用 者 同 意 書 ) 2015 年 12 月 8 日 版 第 1 条 ( 総 則 ) 1. DIACERT サービス 利 用 規 約 ( 以 下 本 規 約 という )は ジャパンネット 株 式 会 社 ( 以 下 当 社 という )が 提 供 する DIACERT サービス ( 以 下 本 サービス という )の 利 用 に 関 し て 定 めたものです

More information

ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所 CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中

More information

RFC4641_and_I-D2.pdf

RFC4641_and_I-D2.pdf RFC 4641 SWG 1 Appendix A. Terminology Anchored key DNSKEY hard anchor (ed) Bogus RFC 4033 5 RRSet DNSKEY RRSet Bogus 2 Appendix A. Terminology Key Signing Key KSK Key Signing Key(KSK) zone apex key set

More information