DNSSECチュートリアル

Size: px
Start display at page:

Download "DNSSECチュートリアル"

Transcription

1 DNSSECチュートリアル 民 田 雅 人 株 式 会 社 日 本 レジストリサービス Internet Week H Copyright 2009 株 式 会 社 日 本 レジストリサービス 1

2 目 次 DNS 編 BIND 9の 設 定 DNSのIPv6 対 応 DNSのリスク 編 DNSキャッシュポイズニング 従 来 型 の 毒 入 れ 攻 撃 手 法 短 いTTLのリスク Kaminsky 型 の 毒 入 れ 攻 撃 手 法 DNSSEC 編 DNSSECのしくみ DNSSECの 現 状 DNSSEC 編 ( 続 き) 電 子 署 名 とDNSSEC DNSSECの 鍵 と 信 頼 の 連 鎖 DNSSECのリソースレコード BINDキャッシュサーバでの DNSSECの 設 定 BIND 権 威 サーバでの DNSSECの 設 定 鍵 更 新 と 再 署 名 DNSSEC 化 によるDNSデー タの 変 化 DNSSEC 関 連 技 術 DNSSECのまとめ Copyright 2009 株 式 会 社 日 本 レジストリサービス 2

3 BIND 9の 設 定 DNS Copyright 2009 株 式 会 社 日 本 レジストリサービス 3

4 DNSサーバの 違 い 権 威 DNSサーバ( 以 下 権 威 サーバ) ゾーン 情 報 (=パブリックな 情 報 )を 設 定 し その 情 報 を 答 える インターネット 全 体 からの 問 合 せに 答 える キャッシュDNSサーバ( 以 下 キャッシュサーバ) 自 身 では 最 小 限 の 情 報 を 持 ち 必 要 な 情 報 は 権 威 サー バから 検 索 して 答 える 検 索 した 情 報 をキャッシュし 次 回 以 降 の 同 じ 問 合 せに 備 える サービス 対 象 からの 問 合 せのみに 答 える インターネット 全 体 に 答 える 必 要 は 無 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 4

5 BIND 9のnamed namedの1プロセスで 権 威 サーバとキャッシュサーバ を 兼 用 できる 多 くのBIND(BIND 8 以 前 を 含 む)が 兼 用 で 運 用 されている キャッシュ 権 威 を 分 離 できるがBIND 運 用 では 少 数 派 可 能 であれば 分 離 を 検 討 する サーバが1 台 でも 分 離 可 能 DNSSECには BIND 9.6 系 以 降 が 必 須 ( 後 述 ) 本 章 の 説 明 はBIND 9.4 系 以 降 を 前 提 としている 9.3までの 設 定 ではサーバとしての 動 作 に 問 題 が 発 生 する 最 新 版 は BIND P1 だが 基 本 的 設 定 は 同 じ Copyright 2009 株 式 会 社 日 本 レジストリサービス 5

6 キャッシュサーバ 専 用 のBIND 9の 設 定 例 自 組 織 /24 // 自 ネットワークの 定 義 acl mynet { /24; localhost; } ; // グローバルオプションの 設 定 options { // キャッシュサーバ // BIND 9のデフォルトはyes recursion yes; // アクセス 制 限 allow-query { mynet; }; allow-recursion { mynet; }; allow-query-cache { mynet; };... }; // ルートサーバへのhint zone "." { type hint; file "named.root"; }; allow-queryで 問 合 せ を 許 可 するIPアドレスを 自 ネットワークに 限 定 する allow-recursion, allow-query-cacheも 設 定 する BIND 9.4から 必 須 Copyright 2009 株 式 会 社 日 本 レジストリサービス 6

7 権 威 サーバ 専 用 のBIND 9の 設 定 例 // グローバルオプションの 設 定 options { // 権 威 サーバの 場 合 は no recursion no ;... allow-transfer { none ; } ; }; // root.hintの 設 定 zone "." { type hint ; file root.hint" ; } ; // example.jp のマスタ 設 定 zone "example.jp" { type master ; file "example.jp.zone" ; allow-transfer { w.x.y.z ; } ; } ; // example2.jpのスレーブ 設 定 zone "example2.jp" { type slave ; file "bak/example2.jp.zone" ; masters { z.y.x.w ; } ; } ; Copyright 2009 株 式 会 社 日 本 レジストリサービス 7

8 兼 用 型 BIND 9 設 定 の 基 本 1. 問 合 せを 許 可 するIPアドレスを 限 定 する = キャッシュサーバにアクセス 制 限 allow-query; 問 合 せを 許 可 するIPアドレスを 指 定 する (デフォルトは 全 て) allow-recursion; 再 帰 問 合 せ 許 可 するIPアドレスを 指 定 する (デフォルトはlocalhostとlocalnets) allow-query-cache; キャッシュデータへのアクセスを 許 可 するIPアドレスを 指 定 する(デフォルトはlocalhostと localnets) 2. ゾーン 情 報 はIPアドレスを 限 定 しない = 権 威 サーバはアクセス 制 限 しない プライマリ セカンダリはどちらも 同 じ Copyright 2009 株 式 会 社 日 本 レジストリサービス 8

9 兼 用 型 のBIND 9の 設 定 例 自 組 織 /24 viewを 活 用 // 自 組 織 のネットワーク acl mynet { /24; localhost; } ; view "recursion" { match-clients { mynet ; }; recursion yes; zone "." { type hint ; file "named.root"; }; }; view "external" { match-clients { any; }; recursion no; zone "." { type hint ; file "named.root"; }; // example.jp zone "example.jp" { type master ; file "master/example.jp" ; }; }; Copyright 2009 株 式 会 社 日 本 レジストリサービス 9

10 TIPS BIND 9ではviewを 利 用 すると サービス 対 象 によっ てサーバの 挙 動 を 変 更 できる 外 部 ネットワークからの 問 合 せには 権 威 専 用 サーバとし て 応 答 内 部 ネットワークからの 問 合 せには キャッシュ 権 威 兼 用 サーバとして 応 答 参 考 : Secure BIND Template サーバが1 台 でも 複 数 のIPアドレスを 設 定 すれば キャッシュサーバと 権 威 サーバは 分 離 できる listen-on, listen-on-v6 を 設 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 10

11 DNSのIPv6 対 応 DNS Copyright 2009 株 式 会 社 日 本 レジストリサービス 11

12 DNSのIPv6 対 応 は2つある DNS 通 信 のIPv6 対 応 DNSの 問 合 せ 応 答 のやりとりにIPv6の 通 信 を 使 う DNSコンテンツ(ゾーンデータ)のIPv6 対 応 IPv6アドレス(AAAAリソースレコード(RR)) を 登 録 する IPv6の 逆 引 きを 登 録 する 2つは 独 立 の 事 象 IPv4の 通 信 を 使 ってIPv4アドレス(A RR)を 検 索 IPv4の 通 信 を 使 ってIPv6アドレス(AAAA RR)を 検 索 IPv6の 通 信 を 使 ってIPv4アドレス(A RR)を 検 索 IPv6の 通 信 を 使 ってIPv6アドレス(AAAA RR)を 検 索 Copyright 2009 株 式 会 社 日 本 レジストリサービス 12

13 DNS 通 信 のIPv6 対 応 DNSサーバの 実 装 が IPv6での 通 信 に 対 応 してい るかどうか 比 較 的 新 しい 実 装 は ほとんどがIPv6での 通 信 に 対 応 もちろん サーバOSと ネットワークでの 対 応 も 必 要 権 威 サーバの 実 装 NSD PowerDNS BIND 9 BIND 8(8.4 系 ) etc キャッシュサーバの 実 装 Unbound PowerDNS recursor BIND 9 BIND 8(8.4 系 ) etc Copyright 2009 株 式 会 社 日 本 レジストリサービス 13

14 BIND 9のIPv6 関 連 の 設 定 項 目 ( 抜 粋 ) IPv6アドレスを 直 接 記 述 できるもの IPv4アドレスと 併 記 できるもの allow-query, allow-recursion, allow-query-cache allow-notify, allow-transfer match-destinations, match-clients zone 文 内 のmasters IPv6 専 用 のオプションがあるもの IPv4とは 別 に 設 定 するもの listen-on-v6 listen-onのipv6 版 notify-source-v6 notify-sourceのipv6 版 Copyright 2009 株 式 会 社 日 本 レジストリサービス 14

15 DNSコンテンツのIPv6 対 応 正 引 き ドメイン 名 IPv6アドレス AAAA RRを 使 う IN AAAA 2001:DB8::1 逆 引 き IPv6アドレス ドメイン 名 PTR RRを 使 う 点 はIPv4と 同 じ 4bit 単 位 で 区 切 り 逆 順 に 並 べ 最 後 に ip6.arpa 2001:DB8::1 2001:0DB8:0000:0000:0000:0000:0000: B.D ip6.arpa. IN PTR (1 行 で 記 述 ) 桁 数 が 多 いので 記 述 ミスに 注 意 Copyright 2009 株 式 会 社 日 本 レジストリサービス 15

16 IPv6の 逆 引 き 記 述 のTIPS 人 手 で 記 述 する 場 合 ミスを 減 らすため digコマンドの-xオプションを 活 用 するのがベター digコマンドは DNS 登 録 の 有 る 無 しに 関 わらず QUESTION SECTION をコメントで 表 示 $ dig -x 2001:db8::1... ;; QUESTION SECTION: ; b.d ip6.arpa. IN PTR... digの 出 力 をコピー&ペーストして 活 用 hostコマンドでも 可 Copyright 2009 株 式 会 社 日 本 レジストリサービス 16

17 IPv4/IPv6の 混 沌 とした 世 界 1 キャッシュ サーバ ユーザ (WEBブラウザ) 権 威 サーバ 2 DNSはIPv4のみでも WEB のAAAA RRがあれば ユー ザはWEBにIPv6でアクセス 3 可 (Google, 2ch 等 のIPv6) 4 関 係 する 全 通 信 がIPv4/IPv6 5 両 対 応 とは 限 らない 1~6のIPv6/IPv4 環 境 に 6 WEBサーバ なんらかの 問 題 がある ユーザがWEBアクセスに 時 DNSの 通 信 WEBの 通 信 間 がかかる あるいはアクセ ス 不 能 になることもある トラブルシューティングを 難 しくする 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 17

18 DNSのIPv6 対 応 まとめ DNSでは 通 信 とゾーンデータのIPv6 対 応 がある 最 近 の 実 装 であれば いずれも 対 応 済 正 引 きの 登 録 はAAAA RRを 使 う 逆 引 きは4bitづつで 区 切 り 最 後 に ip6.arpa. 桁 数 が 多 いので 記 述 ミスに 注 意 WEBサーバーとPCはIPv6で 通 信 していても DNSはIPv4で 通 信 していることもある PC(WEBブラウザ) キャッシュサーバ キャッシュサーバ 権 威 サーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 18

19 DNSキャッシュポイズニング ( 毒 入 れ) DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 19

20 DNSキャッシュポイズニング ( 毒 入 れ) 予 めキャッシュサーバに 偽 の 情 報 を 覚 えこま せ ユーザが 正 しいアクセスを 行 ったつもりで も 偽 装 サイトへ 誘 導 する 手 法 フィッシングやファーミングの 為 の 攻 撃 手 法 Copyright 2009 株 式 会 社 日 本 レジストリサービス 20

21 DNSの 正 常 な 流 れ(1 回 目 のアクセス) 問 合 せ 元 1 キャッシュ サーバ 2 権 威 サーバ 受 け 取 った 応 答 は しばらくキャッシュされる Copyright 2009 株 式 会 社 日 本 レジストリサービス 21

22 DNSの 正 常 な 流 れ(2 回 目 以 降 ) 問 合 せ 元 1 キャッシュ サーバ 権 威 サーバ 3 2 以 前 のアクセスと 情 報 が 一 致 していれば キャッシュサー バで 応 答 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 22

23 DNSへの 毒 入 れ 攻 撃 問 合 せ 元 2 キャッシュ サーバ 権 威 サーバ 偽 の 情 報 を キャッシュ させる Copyright 2009 株 式 会 社 日 本 レジストリサービス 23

24 ISPのキャッシュサーバが 狙 われたら ISPのキャッシュサーバ カスタマー 全 員 が 被 害 に 会 う ISPのカスタマー Copyright 2009 株 式 会 社 日 本 レジストリサービス 24

25 DNS 毒 入 れ 攻 撃 の 特 徴 ユーザが 正 常 なアクセスを 行 っても フィッシングサ イトに 誘 導 される 攻 撃 されたことに 気 づきにくい 同 じキャッシュサーバのユーザ 全 員 が 影 響 を 受 ける 大 手 ISPのキャッシュサーバが 攻 撃 されると 被 害 は 甚 大 攻 撃 そのものの 検 出 が 容 易 ではない キャッシュへの 毒 入 れは 見 た 目 は 通 常 のDNSパケット であるため 正 常 な 応 答 と 攻 撃 の 区 別 が 簡 単 ではない Copyright 2009 株 式 会 社 日 本 レジストリサービス 25

26 DNSへの 毒 入 れの 問 題 1990 年 ごろには DNSへの 毒 入 れの 問 題 が 知 られていた 当 時 は 設 定 が 正 しく 行 われていないためと 考 えられていた 節 もある 攻 撃 手 法 として 知 られるようになったのは 1990 年 代 後 半 のAlterNICの 事 件 がきっかけ Copyright 2009 株 式 会 社 日 本 レジストリサービス 26

27 DNSへの 毒 入 れ 攻 撃 手 法 の 分 類 従 来 型 Kashpureff 型 偽 装 応 答 型 Kaminsky 型 2008 年 8 月 に 公 開 された 手 法 注 意 : 従 来 型 は 最 近 発 見 されたKaminsky 型 に 対 する 本 資 料 での 言 葉 であり 一 般 的 なDNSの 用 語 では 無 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 27

28 従 来 型 の 毒 入 れ 攻 撃 手 法 DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 28

29 Kashpureff 型 による 毒 入 れ 攻 撃 者 が 管 理 する 権 威 サーバへ 問 合 せさせ 正 規 の 応 答 パケットに 問 合 せ 内 容 と 関 係 ない ドメインの 情 報 を 附 加 してキャッシュサーバへ 送 り 込 む 手 法 1997 年 7 月 の 大 規 模 DNS 乗 っ 取 り 事 件 へアクセスすると の 内 容 が 表 示 された AlterNICのEugene Kashpureff 氏 によるもの Copyright 2009 株 式 会 社 日 本 レジストリサービス 29

30 Kashpureff 型 の 攻 撃 example.jpでwww.jprs.co.jpの 毒 入 れ example.jpゾーンの 設 定 ( 一 般 の 実 装 では 不 可 能 IN NS A www A キャッシュサーバがwww.example.jpを 検 索 ;; 回 答 セクション A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A 嘘 の 値 をキャッシュする Copyright 2009 株 式 会 社 日 本 レジストリサービス 30

31 Kashpureff 型 攻 撃 の 対 策 キャッシュサーバは 問 合 せたドメインのゾーン 外 の レコードがあったら 信 用 してはいけない example.jpドメインの 応 答 に jprs.co.jpの 情 報 があるの はそもそも 怪 しい ;; 回 答 セクション A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A 信 用 してはいけない BINDの 場 合 で 対 策 が 行 われた 権 威 サーバ 側 も 対 策 が 行 われて 設 定 できなくなった Copyright 2009 株 式 会 社 日 本 レジストリサービス 31

32 DNSプロトコルのおさらい DNSの 通 信 は 問 合 せと 応 答 の 単 純 な 往 復 この 名 前 のIPアドレスは? IPアドレスはXXXXだよ トランスポートは 主 にUDP 条 件 によってTCPになることもある 問 合 せパケット 応 答 パケット クエリ 名 +ID+etc... クエリ 名 +ID+ 回 答 +etc... ID: 識 別 のための16bitの 値 Copyright 2009 株 式 会 社 日 本 レジストリサービス 32

33 DNS 応 答 パケットの 識 別 1www.example.jpのAは? 2nsにwwwのAをID 123で 問 合 せ ns.example.jp 4 回 答 キャッシュ サーバ 問 合 せに 対 応 する 応 答 を ソースアドレス クエリ 名 IDで 識 別 例 ) ソースアドレス クエリ 名 3 nsからid 123でwwwの を 返 す ns.example.jpのipアドレス ID 123 IDが 違 えば 別 の 応 答 と 判 断 クライアントとキャッシュサーバ 間 (1と4)も 同 様 Copyright 2009 株 式 会 社 日 本 レジストリサービス 33

34 偽 装 応 答 型 による 毒 入 れ なんらかの 手 段 を 使 い 本 来 の 応 答 より 先 に 偽 装 応 答 をキャッシュサーバに 送 り 込 み 偽 情 報 を キャッシュさせる 手 法 通 常 時 DNSはUDPで 通 信 するため 偽 装 応 答 が 容 易 攻 撃 手 法 キャッシュサーバのDNS 検 索 を 盗 聴 し 偽 装 応 答 を 返 す キャッシュサーバに 問 合 せを 送 り IDを 変 化 させた 複 数 の 偽 装 応 答 を 返 す(オープンリゾルバは 非 常 に 危 険 ) TTLの 短 いレコードを 狙 って キャッシュサーバに 偽 装 応 答 を 送 り 続 ける etc Copyright 2009 株 式 会 社 日 本 レジストリサービス 34

35 偽 装 応 答 型 の 攻 撃 ユーザ 1www.jprs.co.jpのAは? 2nsにwwwのAをID 123で 問 合 せ 権 威 サーバ ns.jprs.co.jp 4 回 答 キャッシュサーバ 5 偽 装 DNS 応 答 ソースアドレスをnsに 偽 造 し ID 123で wwwの ( 嘘 の 値 )を 送 り 込 む 3 nsからid 123でwwwの を 返 す 攻 撃 者 3より 先 に5の 偽 DNS 応 答 が 送 り 込 まれると キャッシュサーバは 嘘 情 報 をキャッシュする 4で 嘘 情 報 をクライアントに 送 り クライアントは 偽 のサイトへ 誘 導 される Copyright 2009 株 式 会 社 日 本 レジストリサービス 35

36 偽 装 応 答 型 の 攻 撃 手 法 1 オープンなキャッシュサーバに 対 して 大 量 の 問 合 せを 送 る 2 同 じサーバに 対 して 偽 装 した DNS 応 答 パケットを IDをランダ ムに 変 えながら 送 る クエリ 名 とソースアドレスは 自 明 IDが 正 規 応 答 と 一 致 すれば 攻 撃 が 成 功 2 権 威 サーバ キャッシュ サーバ 1 攻 撃 者 Copyright 2009 株 式 会 社 日 本 レジストリサービス 36

37 偽 装 応 答 型 の 攻 撃 が 成 功 する 確 率 問 合 せと 応 答 のIDが 一 致 すれば 攻 撃 が 成 功 攻 撃 1 回 あたりの 成 功 確 率 P S N R W Port ID R : 攻 撃 対 象 1 台 あたりに 送 るパケット 量 (pps) W : 攻 撃 可 能 な 時 間 (Query AnswerのRTT) N : 攻 撃 対 象 レコードを 保 持 する 権 威 サーバの 数 Port : キャッシュサーバのQuery portの 数 ID : DNSのID (16bit = 65536) (R 20000pps, W 10ms, N 2, Port 1で ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 37

38 偽 装 応 答 型 による 攻 撃 の 特 徴 成 功 確 率 は 決 して 低 いとは 言 えない しかし 1 度 攻 撃 に 失 敗 すると キャッシュ サーバが 正 規 のレコードをキャッシュするた め 連 続 した 攻 撃 はできない 攻 撃 に 失 敗 した 場 合 次 の 攻 撃 まで 攻 撃 対 象 レコードのTTL 時 間 待 つ 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 38

39 短 いTTLのリスク ( 偽 装 応 答 型 の 応 用 ) DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 39

40 各 DNS RR(リソースレコード)のTTLが 短 いと キャッシュサーバの 問 合 せ 頻 度 は 高 くなる TTLが86400 秒 1 日 に1 回 問 合 せ TTLが30 秒 短 いTTLのリスク 偽 装 応 答 型 の 応 用 1 日 に2880 回 問 合 せ 気 長 に 嘘 のDNS 応 答 をキャッシュサーバに 送 り 続 ければ そのうち 当 たる そのうち が 意 外 に 短 い Copyright 2009 株 式 会 社 日 本 レジストリサービス 40

41 攻 撃 のストーリ アクセスが 多 くTTLが 短 いドメイン 名 を 狙 う どこのキャッシュサーバでもかまわない 誰 が 使 っていようとかまわない ユーザは 多 いほどよい 気 が 付 かれないようにこっそりと 攻 撃 したい 同 時 に 複 数 のキャッシュサーバへ 嘘 の 応 答 を 定 期 的 に 送 り 続 ける 時 間 の 問 題 で どこかのキャッシュサーバへの 毒 入 れが 成 功 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 41

42 攻 撃 の 様 子 キャッシュ キャッシュ 権 威 サーバ キャッシュ キャッシュ キャッシュ 攻 撃 者 問 合 せ 正 規 の 応 答 偽 の 応 答 Copyright 2009 株 式 会 社 日 本 レジストリサービス 42

43 R : W : N : あるキャッシュサーバへ 毒 入 れが 成 功 する 確 率 P S N R W Port ID 攻 撃 対 象 1 台 あたりに 送 るパケット 量 (pps) 攻 撃 可 能 な 時 間 (Query AnswerのRTT) 攻 撃 対 象 レコードを 保 持 する 権 威 サーバの 数 Copyright 2009 株 式 会 社 日 本 レジストリサービス 43 Port : 問 合 せに 利 用 するポート 数 ( 古 いBINDの 場 合 固 定 なので1) ID : DNSのID (16bit = 65536)

44 Copyright 2009 株 式 会 社 日 本 レジストリサービス 44 どこかのキャッシュサーバへ 毒 入 れが 成 功 する 確 率 V V S V ID Port N W R P P V: 攻 撃 対 象 のキャッシュサーバの 総 数

45 Copyright 2009 株 式 会 社 日 本 レジストリサービス 45 毒 入 れが1 回 でも 成 功 する 確 率 TTL T V TTL T V A V A ID Port N W R ID Port N W R P P A: 攻 撃 数 (=T/TTL) T : 攻 撃 時 間 TTL : DNSレコードのTTL

46 毒 入 れが1 回 でも 成 功 する 確 率 の 時 系 列 変 化 前 スライドの 式 をグラフ 化 パラメータによってグラフの 立 ち 上 がり 方 ( 傾 き)が 変 わる 0.0 時 間 確 率 が0.5を 超 えると 毒 入 れが 成 功 しても 不 思 議 ではない Copyright 2009 株 式 会 社 日 本 レジストリサービス 46

47 internetweek.jpの 例 TTL 600 秒 Authoritative Server 2 台 (IPv4のみ) 1 台 あたりの 攻 撃 レート 10pps 攻 撃 対 象 のキャッシュサーバ 500 台 RTT(とりあえず10msと 仮 定 ) 10ms 確 率 0.5を 超 えるまでの 時 間 約 13 日 Copyright 2009 株 式 会 社 日 本 レジストリサービス 47

48 internetweek.jpで 仮 にTTLを30 秒 にすると TTL 30 秒 Authoritative Server 2 台 (IPv4のみ) 1 台 あたりの 攻 撃 レート 10pps 攻 撃 対 象 のキャッシュサーバ 500 台 RTT(とりあえず10msと 仮 定 ) 10ms 確 率 0.5を 超 えるまでの 時 間 約 16 時 間 攻 撃 に 必 要 な 総 帯 域 約 4Mbit/sec Copyright 2009 株 式 会 社 日 本 レジストリサービス 48

49 Kaminsky 型 の 毒 入 れ 攻 撃 手 法 DNSのリスク Copyright 2009 株 式 会 社 日 本 レジストリサービス 49

50 Kaminsky 型 の 毒 入 れ 攻 撃 攻 撃 者 がキャッシュサーバに 攻 撃 対 象 レコードと 同 じドメインの 存 在 しない 名 前 を 検 索 させ 追 加 セク ションに 攻 撃 対 象 レコードを 設 定 した 偽 装 応 答 をID を 変 化 させながら 大 量 に 送 る( 偽 装 応 答 型 の 一 種 ) 偽 IPアドレスをキャッシュさせる 1 問 合 せ no0000.example.jp. A 2 偽 装 応 答 ;; 回 答 セクション no0000.example.jp. A ;; 権 威 セクション example.jp. NS ;; 追 加 セクション A キャッシュ サーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 50 2 権 威 サーバ 1 攻 撃 者

51 Kaminsky 型 と 他 の 方 式 の 比 較 Kashpureff 型 との 比 較 追 加 セクションを 利 用 する 点 は 同 じ Kashpureff 型 は 現 在 の 実 装 では 外 部 名 のため 無 視 され るが Kaminsky 型 は 内 部 名 となるため キャッシュ 対 象 となる 従 来 の 偽 装 応 答 型 との 比 較 Kaminsky 型 は 存 在 しない 名 前 を 使 用 するため 攻 撃 に 失 敗 してもクエリ 名 を 変 えることで TTLに 関 係 なく 連 続 し た 攻 撃 が 可 能 nx0000.example.jp, nx0001.example.jp, nx0002. Kaminsky 型 の 攻 撃 はほぼ100% 成 功 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 51

52 Kaminsky 型 攻 撃 の 対 策 問 合 せポートのランダム 化 P キャッシュサーバの 問 合 せポートが 固 定 だったものを 問 合 せ 毎 にランダムに 変 化 させ 攻 撃 成 功 確 率 を 約 1/65000に 低 減 S N 攻 撃 1 回 あたりの 成 功 確 率 R W R W PS N 対 症 療 法 だが 実 用 上 十 分 な 効 果 を 得 られる ただし 執 拗 な 攻 撃 には 耐 えられない Copyright 2009 株 式 会 社 日 本 レジストリサービス 52

53 各 実 装 での 対 策 状 況 BINDは9.3.5-P P P1 で 対 策 これ 以 前 のものはKaminsky 型 攻 撃 手 法 には 無 力 パフォーマンス 面 を で 改 善 現 在 は9.4.3-P P P2 以 降 を 強 く 推 奨 Unboundは 当 初 から 対 策 済 み dnscache(djbdnsのキャッシュサーバの 実 装 )は Kaminsky 型 攻 撃 手 法 の 攻 撃 は 簡 単 ではないが 別 の 攻 撃 手 法 が 存 在 するため 不 適 ( 尚 修 正 パッチ も 存 在 する) Copyright 2009 株 式 会 社 日 本 レジストリサービス 53

54 参 考 :キャッシュ 済 みのRRは Kaminsky 型 の 攻 撃 で 上 書 きできるのか 攻 撃 対 象 はWEBサーバなどのIPアドレス キャッシュサーバがこのようなRRをキャッシュしている 権 威 サーバからの 正 式 な 回 答 でRRを 得 ている Kaminsky 型 では 追 加 セクションにRRを 設 定 する 権 威 サーバからの 正 式 な 回 答 の 方 が 高 ランク RFC Ranking data より RFCに 忠 実 に 実 装 してあれば キャッシュデータの 上 書 きは 行 わない(BIND 9 等 ) RFC 通 りに 実 装 していない 場 合 上 書 きの 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 54

55 まとめ: 毒 入 れ キャッシュへの 毒 入 れはDNSプロトコルその ものが 持 つDNS 最 大 の 脆 弱 性 UDPを 使 う IDが16bitしかない etc 特 に Kaminsky 型 の 攻 撃 は 成 功 確 率 を 飛 躍 的 に 高 めた 毒 入 れ 攻 撃 手 法 BINDを 含 め 現 行 の 実 装 は 問 合 せのポート 番 号 を 都 度 ランダムに 変 更 するため 攻 撃 されにくく なっているが 完 全 ではない 完 全 対 処 は DNSプロトコルの 拡 張 である DNSSECの 導 入 Copyright 2009 株 式 会 社 日 本 レジストリサービス 55

56 DNSSECのしくみ DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 56

57 DNSSECとは DNSセキュリティ 拡 張 (DNS SECurity Extensions) 検 索 側 が 受 け 取 ったDNSレコードの 出 自 完 全 性 ( 改 ざん のないこと)を 検 証 できる 仕 組 み 従 来 のDNSとの 互 換 性 を 維 持 した 拡 張 Kaminsky 型 攻 撃 手 法 の 発 覚 を1つの 契 機 に 多 くのTLD が 導 入 開 始 あるいは 導 入 予 定 キャッシュへの 毒 入 れを 防 ぐことができる 現 状 唯 一 の 現 実 解 他 の 技 術 も 存 在 するが 標 準 化 が 成 されていない Copyright 2009 株 式 会 社 日 本 レジストリサービス 57

58 従 来 のDNS vs DNSSEC DNSサーバが 応 答 に 電 子 署 名 を 付 加 し 出 自 を 保 証 問 合 せ 側 でDNS 応 答 の 改 ざんの 有 無 を 検 出 できる DNS 応 答 の 検 証 不 能 DNS 応 答 従 来 のDNS DNSデータのみを 応 答 DNS 応 答 DNSデータのみを 格 納 DNSデータ DNSデータ DNSサーバ DNSデータ DNS 応 答 と 署 名 を 検 証 正 しい DNS 応 答 DNSSEC 電 子 署 名 を 付 加 して 応 答 DNS 応 答 署 名 署 名 済 み DNSデータを 格 納 DNSデータ DNSデータ DNSデータ 署 名 署 名 署 名 DNSSEC 対 応 DNSサーバ Copyright 2009 株 式 会 社 日 本 レジストリサービス 58

59 DNSSECのスコープ 対 象 としているもの DNS 問 合 せの 回 答 が ドメイン 名 の 正 当 な 管 理 者 からのものであることの 確 認 出 自 の 保 証 DNS 問 合 せの 回 答 における DNSレコードの 改 変 の 検 出 完 全 性 の 保 証 対 象 としていないもの 通 信 路 におけるDNS 問 合 せと 回 答 の 暗 号 化 DNSレコードは 公 開 情 報 という 考 え 方 から Copyright 2009 株 式 会 社 日 本 レジストリサービス 59

60 DNSSECの 現 状 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 60

61 DNSSEC 関 連 RFC DNSSECプロトコル 関 連 RFC4033,4034,4035 DNSSEC RFC5155 NSEC3 RFC5011 トラストアンカーの 自 動 更 新 BIND 9.7 系 で 実 装 DNSSEC 運 用 関 連 RFC4641 運 用 ガイドライン その 他 IETFで 検 討 継 続 中 のものあり Copyright 2009 株 式 会 社 日 本 レジストリサービス 61

62 DNSSEC 対 応 ソフトウェア 権 威 サーバ BIND 9(ISC) NSD3(NLnetLab) 等 が 対 応 済 み キャッシュサーバ BIND 9(ISC) Unbound(NLnetLab) 等 が 対 応 済 み ライブラリとツール OpenDNSSECプロジェクトが 進 行 中 Microsoft Windows Windows7とWindows Server 2008R2で 対 応 インターネットアプリケーション(メーラ ブラウザ 等 ) 通 常 はISPのキャッシュサーバで 署 名 検 証 を 行 うため 特 別 な 対 応 は 不 要 Copyright 2009 株 式 会 社 日 本 レジストリサービス 62

63 ルートゾーンのDNSSEC 対 応 状 況 2008 年 10 月 ICANNが DoC(NTIA) NIST VeriSignと 協 調 し 2009 年 中 のルート 署 名 を 目 指 すとの 声 名 を 発 表 2009 年 6 月 ICANN35での 会 合 ICANNがKSK VeriSignがZSKを 管 理 するというモデル を 当 座 の 方 針 として 合 意 2009 年 7 月 IETF75での 併 設 会 議 ルートゾーンのDNSSEC 化 の 技 術 的 懸 念 点 が 指 摘 2009 年 10 月 RIPE 年 7 月 から 運 用 開 始 と 発 表 2009 年 12 月 にルートゾーンに 実 験 的 な 署 名 を 実 施 Copyright 2009 株 式 会 社 日 本 レジストリサービス 63

64 TLDのDNSSEC 対 応 状 況 (1/2) 導 入 済 種 別 TLD 名 特 記 事 項 cctld gtld SE(スウェーデン) PR(プエルトリコ) BG(ブルガリア) BR(ブラジル) CZ(チェコ) TH(タイ) TM(トルクメニスタン) MUSEUM GOV( 米 国 政 府 ) ORG 2005 年 9 月 に 導 入 開 始 世 界 で 最 初 にDNSSEC 対 応 したTLD 2009 年 1 月 から 料 金 を 無 料 化 これまでに 多 くのノウハウを 外 部 に 発 信 2006 年 8 月 に 導 入 開 始 2007 年 1 月 に 導 入 開 始 2007 年 6 月 に 導 入 開 始 2009 年 1 月 に 全 属 性 で 対 応 最 新 方 式 (NSEC3)を 採 用 した 最 初 のTLD 2008 年 9 月 に 導 入 開 始 2009 年 3 月 に 導 入 開 始 アジアで 最 初 にDNSSEC 対 応 したccTLD 2009 年 10 月 に 導 入 開 始 2008 年 9 月 に 導 入 開 始 2009 年 2 月 に 導 入 開 始 2009 年 末 に 全 組 織 が 対 応 予 定 2009 年 6 月 に 導 入 開 始 2010 年 に 本 サービス 化 予 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 64

65 TLDのDNSSEC 対 応 状 況 (2/2) 導 入 を 表 明 ( 非 公 式 を 含 む) 種 別 TLD 名 特 記 事 項 cctld CA(カナダ) CH(スイス) CN( 中 国 ) DE(ドイツ) GR(ギリシャ) JP( 日 本 ) KR( 韓 国 ) LI(リヒテンシュタイン) MY(マレーシア) RU(ロシア) UK(イギリス) BIZ 2009 年 10 月 にテストベッドを 開 始 2009 年 9 月 に 実 地 検 証 開 始 2010 年 2 月 サービスイン 予 定 2010 年 末 までに 導 入 予 定 2009 年 5 月 にテストベッドを 開 始 2010 年 を 目 処 に 導 入 予 定 2010 年 6 月 に 導 入 し 2011 年 1 月 に 全 空 間 で 対 応 予 定 2009 年 9 月 に 実 地 検 証 開 始 2010 年 2 月 サービスイン 予 定 2010 年 第 四 四 半 期 に 導 入 予 定 プロトコル 策 定 IANAとの 共 同 実 験 など 積 極 的 に 活 動 CAT 2009 年 中 に 導 入 予 定 gtld COM 2011 年 の 早 い 時 期 に 導 入 予 定 EDU 2010 年 3 月 末 に 署 名 予 定 INFO NET Copyright 年 末 までに 株 式 導 会 入 社 予 日 定 本 レジストリサービス 65

66 電 子 署 名 とDNSSEC DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 66

67 電 子 署 名 の 概 念 送 信 者 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 送 信 者 の 秘 密 鍵 ( 送 信 者 のみ 保 持 ) 送 信 データ 攻 撃 者 データを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 データ 送 信 署 名 データ 送 信 送 信 者 の 公 開 鍵 ( 受 信 者 に 安 全 に 配 布 ) 受 信 データ 受 信 署 名 圧 縮 復 号 受 信 者 受 信 データから 受 信 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 67

68 電 子 署 名 の 概 念 送 信 者 の 秘 密 鍵 で 送 信 データのハッシュ 値 を 暗 号 化 したものが 署 名 公 開 鍵 で 署 名 を 復 号 すれば 送 信 者 作 成 のハッシュ 値 が 得 られる 受 信 データから 受 信 者 が 作 成 したハッシュ 値 と 公 開 鍵 で 復 号 したハッシュ 値 が 同 じであるか 照 合 ( 検 証 )する 同 じであれば 送 信 者 からの 完 全 なデータであると 判 断 できる 署 名 を 作 成 できるのは 送 信 者 しかいない( 出 自 の 保 証 ) データが 改 ざんされていれば 比 較 が 一 致 しない( 完 全 性 の 保 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 68

69 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 ( 権 威 サーバ) 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 DNS レコード DNS 管 理 者 の 秘 密 鍵 (DNS 管 理 者 のみ 保 持 ) 攻 撃 者 DNSレコードを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 レコード 送 信 署 名 DNS 検 索 DNS 管 理 者 の 公 開 鍵 (DNS 検 索 中 に 入 手 ) 受 信 レコード 受 信 署 名 DNS 検 索 者 (キャッシュサーバ) 圧 縮 復 号 受 信 レコードから 検 索 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 69

70 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 は 署 名 鍵 ( 秘 密 鍵 + 公 開 鍵 )を 作 成 DNS 管 理 者 は DNSレコード(ハッシュ 値 )を 秘 密 鍵 で 署 名 検 索 を 受 けたDNSサーバは DNSレコードに 署 名 を 添 付 して 回 答 DNS 検 索 者 は DNS 管 理 者 の 公 開 鍵 を 用 いて 署 名 を 復 号 し 検 索 で 得 たDNSレコードと 照 合 することで 出 自 完 全 性 を 検 証 この 仕 組 みを 基 本 単 位 とし DNS 階 層 で 信 頼 の 連 鎖 を 作 ることで 実 現 Copyright 2009 株 式 会 社 日 本 レジストリサービス 70

71 DNSSECの 鍵 と 信 頼 の 連 鎖 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 71

72 DNSSECの 信 頼 の 連 鎖 の 概 念 図 あらかじめroot 公 開 鍵 を 登 録 キャッシュサーバ root 公 開 鍵 rootゾーン TLD 公 開 鍵 TLDゾーン root 秘 密 鍵 TLD 秘 密 鍵 DNS 問 合 せ DNS 応 答 組 織 公 開 鍵 組 織 ゾーン 組 織 秘 密 鍵 署 名 秘 密 鍵 で 自 ゾーンと 下 位 ゾーンの 公 開 鍵 に 署 名 root 公 開 鍵 をキャッシュサーバに 登 録 することで rootから 組 織 ゾーンまでの 信 頼 の 連 鎖 を 確 立 Copyright 2009 株 式 会 社 日 本 レジストリサービス 72

73 用 語 :バリデータ(Validator) DNSSECにおいて バリデータは 署 名 の 検 証 を 行 うもの(プログラム ライブラリ)を 指 す バリデータの 所 在 キャッシュサーバが 署 名 検 証 を 行 う 場 合 キャッ シュサーバがバリデータそのもの 現 状 もっとも 一 般 的 なDNSSECのモデル WEBブラウザ 等 のDNS 検 索 を 行 うアプリケーショ ンが 直 接 署 名 検 証 を 行 うモデルも 考 えられる Copyright 2009 株 式 会 社 日 本 レジストリサービス 73

74 DNSSEC 化 による 名 前 解 決 モデルの 変 化 従 来 のDNSでの 名 前 解 決 モデル 1 クライアント 2 キャッシュサーバ 3 権 威 サーバ DNSSECでの 名 前 解 決 モデル 1 クライアント バリデータ 2 キャッシュサーバ 3 権 威 サーバ 多 くの 場 合 バリデータは2に 実 装 バリデータが1に 実 装 されていても 問 題 ない 署 名 付 きの 応 答 Copyright 2009 株 式 会 社 日 本 レジストリサービス 74

75 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (1) KSK (Key Signing Key) ZSK 公 開 鍵 を 署 名 するための 鍵 注 ) KSK 自 身 の 公 開 鍵 にも 署 名 を 行 う 暗 号 強 度 の 高 い 鍵 RSAで2048bitや4096bitなど 利 用 期 間 を 長 くできるため 鍵 更 新 の 頻 度 を 低 くできる 署 名 コストは 高 いが 少 数 の 鍵 情 報 のみを 署 名 対 象 とす るため 問 題 にはならない KSK 公 開 鍵 と 暗 号 論 的 に 等 価 な 情 報 (DSレコード: 後 述 )を 作 成 し 親 ゾーンに 登 録 する KSKを 変 更 する 場 合 DSも 更 新 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 75

76 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (2) DS - Delegation Signerの 略 KSK 公 開 鍵 を SHA-1/SHA-256 等 のハッシュ 関 数 で 圧 縮 したDNSレコード KSK 公 開 鍵 と 等 価 の 情 報 親 ゾーンの 委 任 ポイントに NSと 共 に 子 ゾーンのDS 情 報 を 登 録 親 ゾーンの 鍵 でDSに 署 名 してもらうことで 信 頼 の 連 鎖 を 形 成 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 76

77 DNSSSECの2 種 類 の 鍵 KSKとZSK そしてDS (3) ZSK (Zone Signing Key): ゾーンを 署 名 するための 鍵 暗 号 強 度 の 低 い 鍵 RSAで768bitや1024bitなど 署 名 コストが 低 く 大 規 模 ゾーンでも 運 用 できる 安 全 確 保 のため ある 程 度 頻 繁 に 鍵 を 更 新 する 必 要 がある 鍵 更 新 は 親 ゾーンとは 関 係 なく 独 立 で 行 える Copyright 2009 株 式 会 社 日 本 レジストリサービス 77

78 DNSSECの 信 頼 の 連 鎖 親 ゾーン のKSK 子 ゾーン のKSK 署 名 署 名 署 名 親 ゾーン のZSK 署 名 子 ゾーンのDS 子 ゾーン のZSK 署 名 署 名 親 ゾーン NS 子 ゾーン 公 開 鍵 暗 号 による 信 頼 の 連 鎖 を 形 成 キャッシュサーバが KSKの 公 開 鍵 を 使 っ て 署 名 を 検 証 トラストアンカー 署 名 Copyright 2009 株 式 会 社 日 本 レジストリサービス 78

79 トラストアンカー キャッシュサーバはDNSSEC 検 証 を 行 う 際 の 頂 点 となる ゾーンのKSK 公 開 鍵 を 予 め 登 録 する トラストアンカー この 図 ではキャッシュサーバ が 印 のKSK 公 開 鍵 をトラス トアンカーとして 保 持 すれば それ 以 下 のドメインを 検 証 で きる DNSSEC 普 及 の 最 終 状 態 では トラストアンカーはrootのKSK 公 開 鍵 のみとなる example www test Copyright 2009 株 式 会 社 日 本 レジストリサービス 79 jp mail insecure root secure good notsogood xx xx hoge sogood bad better DNSSEC 対 応 ゾーン worse DNSSEC 未 対 応 ゾーン

80 DNSSECの リソースレコード(RR) DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 80

81 DNSSEC 関 係 のRR 一 覧 DNSKEY RRSIG DS NSEC KSK ZSK 公 開 鍵 の 情 報 各 RRへの 署 名 KSK 公 開 鍵 のハッシュ 値 を 含 む 情 報 ( 親 ゾーンに 登 録 ) 次 のRRへのポインタと 存 在 するレコード 型 の 情 報 NSEC3 NSECを 改 良 したもの( 後 述 ) NSEC3PARAM NSEC3に 必 要 な 情 報 Copyright 2009 株 式 会 社 日 本 レジストリサービス 81

82 DNSKEY RR KSKとZSKの 公 開 鍵 を 示 すRR オーナー 名 はゾーン 頂 点 (=ゾーン 名 ) KSKとZSKを 必 要 に 応 じて 複 数 ( 後 述 ) 設 定 example.jp. IN DNSKEY AwEAAeNO41ymz+Iw( 行 末 まで 省 略 ) フラグ(256:ZSK 257:KSK) 2 プロトコル 番 号 (3のみ) 3 暗 号 化 アルゴリズム 4 公 開 鍵 (Base64で 符 号 化 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 82

83 DNSSEC 暗 号 化 アルゴリズム( 抜 粋 ) 番 号 略 称 参 照 5 RSASHA1 [RFC3755] [RFC3110] 7 NSEC3RSASHA1 [RFC5155] 8 RSASHA256 [RFC5702] 10 RSASHA512 [RFC5702] 注 ) 5と7に 差 は 無 く NSECとNSEC3 ( 後 述 ) で 使 い 分 ける DNSSECの 暗 号 化 アルゴリズム 一 覧 Copyright 2009 株 式 会 社 日 本 レジストリサービス 83

84 DS RR DS - Delegation Signer 子 ゾーンのKSKの 正 当 性 を 親 ゾーンで 承 認 親 ゾーンにのみ 記 述 する 唯 一 のRR example.jp. IN DS DF (16 進 数 40 文 字 ) example.jp. IN DS E8 (16 進 数 64 文 字 ) 鍵 のID 2 暗 号 化 アルゴリズム 3ハッシュのアルゴリズム(1:SHA-1, 2:SHA-256) 4ハッシュ 化 したKSK 公 開 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 84

85 RRSIG RR 各 RRへの 署 名 で RRset 毎 に 存 在 する ns.example.jp. IN RRSIG A example.jp NiVihYAIZBEwfUUAbPazDRIbvhNH8S( 以 下 省 略 ) 9 1 署 名 対 象 のRRの 種 類 ここではns.example.jpのA RR 2 暗 号 化 アルゴリズム 3ラベルの 数 ns.example.jp だと3 *.example.jp だと Copyright 2009 株 式 会 社 日 本 レジストリサービス 85

86 RRSIG RR( 続 き) 4 署 名 対 象 RRのTTL 5 署 名 の 有 効 期 限 6 署 名 の 開 始 時 刻 7 鍵 のID 8ドメイン 名 9 署 名 署 名 は 元 のRRの 全 て(TTL クラス 等 を 含 む)と RRSIGの 署 名 そのものを 除 いた 残 り を 含 めて 計 算 し 作 成 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 86

87 DNSSECにおける 不 在 証 明 DNSSECではドメイン 名 が 存 在 しない 場 合 存 在 しないことを 証 明 する 必 要 がある 万 が 一 存 在 しないドメイン 名 を 偽 装 されたときの ために 存 在 するのかどうかを 検 証 できる 仕 組 み が 必 須 存 在 するRRは 署 名 (RRSIG RR)を 付 加 して 検 証 することで 存 在 を 証 明 できる 存 在 しないRRは 署 名 不 能 Copyright 2009 株 式 会 社 日 本 レジストリサービス 87

88 ハンバーガーのパティの 有 無 パティ( 肉 )が 有 る パティの 存 在 を 判 断 できる パティが 無 く バンズ(パン)も 無 い パティが 無 いかどうか 判 断 不 能 単 純 に 配 膳 が 遅 れているだけ? クラウン(バンズ 上 部 )とヒール(バンズ 下 部 )が あるのにパティが 無 い クラウンとヒールの 存 在 が 判 断 できる パティが 存 在 しないことを 確 実 に 判 断 できる Copyright 2009 株 式 会 社 日 本 レジストリサービス 88

89 NSEC RR NSECは 存 在 しないものを 証 明 ( 署 名 検 証 )す るためのRR 存 在 するレコードすべてを 整 列 し 次 のレコード へのリストを 生 成 することで 存 在 しないものを 証 明 する NSEC RRにRRSIGを 付 加 し 署 名 検 証 を 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 89

90 NSEC RRの 例 sec2.example.jpを 問 合 せた 場 合 の 応 答 sec1.example.jp. IN NSEC sec3.example.jp. NS DS RRSIG NSEC ( 権 威 セクションで 応 答 ) sec1.example.jp の 次 (アルファベット 順 )のド メイン 名 は sec3.example.jpで NS, DS, RRSIG, NSECのRRが 存 在 する sec2.example.jp は 存 在 しないことを 示 す Copyright 2009 株 式 会 社 日 本 レジストリサービス 90

91 NSEC3 RR NSECを 使 った 不 在 証 明 では NSEC RRを 辿 れば 完 全 なゾーンデータを 入 手 できる NSEC 方 式 はゾーンデータの 公 開 と 等 価 Walker(DNSSEC Walker)というツールで NSEC 方 式 のDNSSEC 化 ゾーンのデータを 入 手 可 能 NSEC3 (RFC 5155) ドメイン 名 を 一 方 向 性 ハッシュ 関 数 でハッシュ 化 し たものを 整 列 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 91

92 NSEC3 RRの 例 4HTJTU7UP56274L1C00Q9MLPHG2A2H85.example.jp. IN NSEC ABC NSEC3の 関 連 パラメータ B0B790UE4SAE4QB4RTB3PJSIH6JAOB7R NS DS RRSIG NSEC RRと 比 べると ラベルがハッシュ 化 されBase32でエンコード 元 のドメイン 名 は 推 測 不 能 NSEC3の 関 連 パラメータを 付 加 Copyright 2009 株 式 会 社 日 本 レジストリサービス 92

93 NSEC3の 関 連 パラメータ 前 スライドのRR 例 ABC ハッシュアルゴリズム(1:SHA-1 RFC5155) 2 NSEC3 オプトアウトフラグ (1ならオプトアウト 0はオプトアウトしていない) 3 繰 り 返 し 4ソルト(16 進 数 で 表 記 例 は3バイト 分 のソルト) Copyright 2009 株 式 会 社 日 本 レジストリサービス 93

94 NSEC3のハッシュ 値 計 算 方 法 ハッシュの 計 算 アルゴリズム 1 値 にソルトを 結 合 2 次 にハッシュアルゴリズムでハッシュ 値 を 計 算 3 1 2を 繰 り 返 しで 指 定 された 回 数 適 用 する 計 算 の 元 になる 値 は 小 文 字 で 正 規 化 した ドメイン 名 (のワイヤーフォーマット) Copyright 2009 株 式 会 社 日 本 レジストリサービス 94

95 NSEC3でのオプトアウト 一 部 の 委 任 先 がDNSSEC 化 している 場 合 主 に.JP.COM 等 のTLDで 該 当 ゾーン 内 のレコード 全 てにNSEC3 RRを 用 意 すると それに 付 随 するRRSIGを 含 めた 計 算 コストが 膨 大 となる DNSSEC 化 していない 委 任 情 報 に 署 名 を 付 加 する 必 要 性 は 薄 い 必 要 のある 委 任 先 にのみNSEC3 RRを 用 意 Copyright 2009 株 式 会 社 日 本 レジストリサービス 95

96 NSEC3PARAM RR example.jp. IN NSEC3PARAM ABC ゾーン 提 供 ( 権 威 サーバ) 側 が NSEC3の 計 算 を 行 うために 必 要 なレコード NSEC3のパラメータを 抜 き 出 したもの オーナー 名 はゾーン 頂 点 (ゾーン 名 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 96

97 NSEC3での 権 威 サーバの 応 答 存 在 しない 名 前 の 検 索 を 受 けた 権 威 サーバ クエリ 名 のハッシュ 値 を 計 算 あらかじめ 整 列 してあるNSEC3 RRの 中 から 前 後 に 該 当 するものを 署 名 と 共 に 権 威 セクション で 応 答 実 際 は 複 数 のNSEC3を 応 答 ( 説 明 省 略 RFC5155 Section 7.2 参 照 ) NSEC3のオーナー 名 の 問 合 せ ドメイン 名 としては 存 在 しないもの 名 前 エラー(NXDOMAIN)を 応 答 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 97

98 BINDキャッシュサーバでの DNSSECの 設 定 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 98

99 DNSSEC 対 応 の 実 装 NSEC 対 応 の 実 装 BIND ~ 権 威 サーバとキャッシュサーバ NSD 以 降 権 威 サーバのみ Unbound キャッシュサーバのみ NSEC3 対 応 の 実 装 BIND 以 降 NSD 3.0 以 降 権 威 サーバのみ Unbound キャッシュサーバのみ Copyright 2009 株 式 会 社 日 本 レジストリサービス 99

100 BINDキャッシュサーバでの DNSSECの 設 定 通 常 のキャッシュサーバの 設 定 に 署 名 の 検 証 を 行 う 設 定 を 追 加 する named.conf の options 部 分 以 下 を 追 加 する dnssec-enable dnssec-validation yes; yes; 署 名 の 検 証 に 必 要 な 情 報 を 登 録 する 検 証 対 象 の 公 開 鍵 情 報 の 登 録 トラストアンカーの 登 録 Copyright 2009 株 式 会 社 日 本 レジストリサービス 100

101 署 名 の 検 証 を 行 うオプション dnssec-enable DNSSEC 対 応 にするかどうかのオプション BIND 9.4 以 降 のデフォルト yes dnssec-validation DNSSECの 署 名 検 証 を 行 うかどうかのオプション BIND 9.4のデフォルト no BIND 9.5 以 降 のデフォルト yes options { };... dnssec-enable yes; // BIND 9.5 以 降 であれば dnssec-validatioin yes; // 設 定 しなくてもよい Copyright 2009 株 式 会 社 日 本 レジストリサービス 101

102 KSK 公 開 鍵 の 入 手 DNSSEC 対 応 ドメインの KSKの 公 開 鍵 を 入 手 する 以 下.ORGと.SEを 例 にする.ORG の 公 開 鍵 dvantage&id=2.4 DNSSECを 辿 る.SE の 公 開 鍵 https://www.iis.se/docs/ksk.txt nssec/ より.ORGの 公 開 鍵 (2009 年 11 月 時 点 ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 102

103 .SEの 公 開 鍵 (2009 年 7 月 時 点 ) 2つある( 後 述 ) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 se. IN DNSKEY ( AwEAAdKc1sGsbv5jjeJ141IxNSTdR+nbtFn+JKQpvFZE TaY5iMutoyWHa+jCp0TBBAzB2trGHzdi7E55FFzbeG0r +G6SJbJ4DXYSpiiELPiu0i+jPp3C3kNwiqpPpQHWaYDS 9MTQMu/QZHR/sFPbUnsK30fuQbKKkKgnADms0aXalYUu CgDyVMjdxRLz5yzLoaSO9m5ii5cI0dQNCjexvj9M4ec6 woi6+n8v1pomqaq9at5fd8a6taxzi8tdleunxygnwb8e VZEWsgXtBhoyAru7Tzw+F6ToYq6hmKhfsT+fIhFXsYso 7L4nYUqTnM4VOZgNhcTv+qVQkHfOOeJKUkNB8Qc= ); key id = se. IN DNSKEY ( AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn HdjxreguOZYEBWkckajU0tBWwEPMoEwepknpB14la1wy 3xR95PMt9zWceiqaYOLEujFAqe6F3tQ14lP6FdFL9wyC flv06k1ww+gqxyrdo6h+wejguvpeg33krzftlwvbf3aa ph2gxci4ok2+po2ckzfkoikie9zoxfrcbg9ml2iqrrns M4q3zGhuly4NrF/t9s9jakbWzd4PM1Q551XIEphRGyqc ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ); key id = BEGIN PGP SIGNATURE----- Version: PGP Desktop (Build 4028) Charset: utf-8 wj8dbqfjqmz4/oxrkpra7psraqkyakcqzf2oamv1kwy3/5f27ioxicvmzacfx8by skp405q8kbbheyvykb5ge7k= =T8Is -----END PGP SIGNATURE Copyright 2009 株 式 会 社 日 本 レジストリサービス 103

104 トラストアンカー(KSK 公 開 鍵 )の 登 録 named.conf にトラストアンカーを 登 録 それぞれの 公 開 鍵 情 報 から IN DNSKEY と ( ) を 除 いてtrusted-keysに 設 定 trusted-keys { "org "AwEAAYpYfj3aaRzzkxWQqMdl7YExY81NdYSv+qayuZDo dnz9imh0bwmcyavudznabvej8gd6jq1sr3vvp/sr36mm < 中 略 > DqL+3wzUdF5ACkYwt1XhPVPU+wSIlzbaAQN49PU=" ; }; "se "AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn < 中 略 > ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ; Copyright 2009 株 式 会 社 日 本 レジストリサービス 104

105 trusted-keysの 設 定 trusted-keysの 書 式 ドメイン 名 数 字 数 字 数 字 公 開 鍵 公 開 鍵 は で 囲 み 空 白 TAB 改 行 等 があってもよい 本 例 では.ORGと.SEの 公 開 鍵 を 設 定.SEの 場 合 現 在 2 種 類 の 鍵 が 用 意 されている Key ID 年 から まで 有 効 Key ID 年 から まで 有 効 いずれか 一 方 を 登 録 する( 有 効 期 限 の 長 いものを 利 用 ) 近 い 将 来 ルートゾーンがDNSSECで 署 名 され 各 TLDがルートゾーンへDNSSEC 対 応 の 情 報 (DS)を 登 録 すれば. の 公 開 鍵 のみを 設 定 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 105

106 キャッシュサーバの 動 作 確 認 named.conf の 変 更 が 終 わったら キャッシュサー バ 用 のnamedを 再 起 動 する digコマンドでdnssec 対 応 ゾーンの 確 認 $ +dnssec org soa $ +dnssec a Copyright 2009 株 式 会 社 日 本 レジストリサービス 106

107 キャッシュサーバへのdigの 結 果 $ +dnssec a ; <<>> DiG dnssec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3247 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.iis.se. IN A ;; ANSWER SECTION: 60 IN A IN RRSIG A iis.se. nlm6< 行 末 まで 省 略 > ;; AUTHORITY SECTION: iis.se IN NS ns.nic.se. iis.se IN NS ns3.nic.se. iis.se IN NS ns2.nic.se. iis.se IN RRSIG NS iis.se. E< 行 末 まで 省 略 > ;; Query time: 1402 msec ;; SERVER: #53( ) ;; WHEN: Thu Jun 25 19:29: ;; MSG SIZE rcvd: msec Copyright 2009 株 式 会 社 日 本 レジストリサービス 107

108 digの 結 果 のflagsフィールド flags: qr rd ra ad; DNSにおけるさまざまな 状 態 を 表 すフラグ DNSSECに 関 係 するflag ad: Authentic Data 署 名 が 検 証 できた 正 しいデータであることを 示 す cd: Checking Disabled 署 名 のチェックを 行 っていない 状 態 を 示 す 署 名 の 検 証 を 行 わない 場 合 は+cdを 指 定 +cd a flags: qr rd ra cd; BINDはtrusted-keysを 設 定 すると 内 部 では 必 ず 署 名 の 検 証 を 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 108

109 DNSSEC 検 証 の 失 敗 誤 ったトラストアンカーを 設 定 した 場 合 dig +dnssec a status: SERVFAIL 答 えが 得 られない 現 行 のBINDでは 誤 ったトラストアンカーを 設 定 す ると 異 常 な 時 間 がかかる( 現 行 BINDの 不 具 合?) 手 元 の 実 験 環 境 で.SEドメインに 誤 った 公 開 鍵 を 登 録 して みたところ 27 秒 程 必 要 だった digはデフォルトで15 秒 待 つ(5 秒 待 ちリトライを2 回 ) digのデフォルトのままではタイムアウトとなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 109

110 BIND 権 威 サーバでの DNSSECの 設 定 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 110

111 DNSSEC 鍵 の 作 成 : dnssec-keygen -a 鍵 生 成 アルゴリズムの 指 定 NSEC3RSASHA1などを 指 定 する -b ビット 長 ZSK:NSEC3RSASHA1の 場 合 1024ビット 以 上 KSK:NSEC3RSASHA1の 場 合 2048ビット 以 上 -f KSK KSKを 作 成 する 場 合 に 指 定 最 後 に 名 前 (ゾーン 名 )を 指 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 111

112 dnssec-keygen の 実 行 ZSKを 作 る dnssec-keygen -a NSEC3RSASHA1 -b 1024 example.jp > zsk-example.jp 鍵 のファイル 名 を 表 示 するので その 結 果 を 保 存 する Kexample.jp 桁 の 数 字 はアルゴリズム 5 桁 は 識 別 子 (ID) 1 組 の 鍵 ファイルができる Kexample.jp key Kexample.jp private KSKを 作 る dnssec-keygen -a NSEC3RSASHA1 -b 2048 f KSK example.jp > ksk-example.jp 公 開 鍵 秘 密 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 112

113 鍵 ファイルの 中 身 の 例 ( 公 開 鍵 ) ; This is a zone-signing key, keyid 23522, for example.jp. ; Created: Tue Nov 10 14:56: ; Publish: Tue Nov 10 14:56: ; Activate: Tue Nov 10 14:56: example.jp. IN DNSKEY AwEAAfzJXPiYtSD8DJs+J36dZd+cNrXHxLpuY2xNTF2e0KolkMiVJnse zzlcuzrggp1ievbcii+lfqfdcxv69gjzkupefeorz1ijlavwbkw3pxdo 2u3qhxY6lr0hgRsmwZ5XVIEnMdOOzdGzZl0VvPOGMNC94WFM+RciLySk 2QSoJzmz BIND 9.7.0b2のdnssec-keygenで 作 成 9.6までのものとはコメント 部 分 に 差 異 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 113

114 鍵 ファイルの 中 身 の 例 ( 秘 密 鍵 ) Private-key-format: v1.3 Algorithm: 7 (NSEC3RSASHA1) Modulus: /Mlc+Ji1IPwMmz4nfp1l35w2tcfEum5jbE1MXZ7QqiWQyJUmex7PMty7OuAY/Uh5UEKIj4sVAUNxdXr2AlkpSl5946tnUgktpXBuR beneoja7eqhfjqwvsgbgybbnldugscx047n0bnmxrw884yw0l3hyuz5fyivjktzbkgnobm= PublicExponent: AQAB PrivateExponent: M88xduIVfYUrMEY04gZwcrwZmngvIeauCext0mJScgzw96taD7Ho1YvX8+EqPf80nfaE9qaSz4d7IZDqCuErTOJ5stR6uFR69g3av 8S+j1sw8hD2J3jo7r6m5nfcfTJ//WFaVyojQigu0vMn27gD7tcVLhztyAqJ5muklT8yngE= Prime1: /9DNJ5ujOsJOyH157EF+hqvsk32XittuPSc9RzHPwUmGdLY1FYq0Eqpr7pRPSFfm7ATRBW9/WNoG26Al+XMOUw== Prime2: /PgAvwBYrNAS8WqqkLodjowQtApmxCe43iUDjrIERoGaxFPQZigy6IeVodhPeEAolKTP+PC4ttiuYEOtqr37IQ== Exponent1: WsXltlNExXnjaMMVe172HaVt6hwbpPseD/cXiGbFeKm1Wz64cW9pXGI6sErSIzKFz2QaI1qgDpA29MHMF8ra3w== Exponent2: LLemYh0sj7fkcVqatiTATs+BsGHaUrh23IYMf/AGA3SrqCLsxvI6NZKqJ8b2HVqyEbykquvaqy/Ye1nbXEBjIQ== Coefficient: lr/ogolg5qmar6ls+cbtchenj3b17zunenodnhlglserypcpvpwmaig3vkfijd9gjiyjwvkat0dotz4trutipq== Created: Publish: Activate: BIND 9.7.0b2のdnssec-keygenで 作 成 9.6 系 までは formatのバージョンがv1.2 v1.2はbind 9.7 系 のツールでも 扱 えるが v1.3は9.7 系 のツールのみ Copyright 2009 株 式 会 社 日 本 レジストリサービス 114

115 dnssec-keygenの 注 意 点 KSKとZSKの 区 別 に 注 意 する 2 組 の 鍵 ファイル( 計 4 個 )ができ 見 た 目 での 識 別 は 困 難 実 行 時 に 鍵 ファイル 名 を 保 存 すると 良 い dnssec-keygen f KSK.. > ksk-... dnssec-keygen... > zsk Copyright 2009 株 式 会 社 日 本 レジストリサービス 115

116 ゾーンへの 署 名 : dnssec-signzone 署 名 対 象 ゾーンファイル ZSK KSKを 準 備 同 じディレクトリに 用 意 し ゾーンファイルは ゾーン 名 とファイル 名 を 一 致 させると 便 利 example.jp Kexample.jp key Kexample.jp private Kexample.jp key Kexample.jp private KSK 公 開 鍵 KSK 秘 密 鍵 ZSK 公 開 鍵 ZSK 秘 密 鍵 Copyright 2009 株 式 会 社 日 本 レジストリサービス 116

117 ゾーンへの 署 名 ( 続 き) ゾーンファイルにKSK ZSKの 公 開 鍵 を 登 録 公 開 鍵 をまとめたファイルを 用 意 し $INCLUDE 文 を 利 用 してゾーンファイルから 参 照 する cat `cat ksk-example.jp`.key `cat zsk-example.jp`.key > example.jp.keys ;ゾーンファイル 中 でkeyファイルを 参 照 $INCLUDE example.jp.keys SOAシリアル 値 の 管 理 は dnssec-signzone の -n オプションにまかせるのがベター Copyright 2009 株 式 会 社 日 本 レジストリサービス 117

118 署 名 前 のゾーンファイル $TTL 1D $INCLUDE IN SOA ns root ( 1 ; Serial ; Refresh 3600 ; Retry ; Expire 1800 ) ; Minimum TTL NS ns MX 10 mail ; ns A www A mail A sub1 NS ns.sub1 ns.sub1 A sec3 NS ns.sec3 ns.sec3 A $INCLUDE../sec3.example.jp/dsset-sec3.example.jp. sub3 NS ns.sub3 ns.sub3 A Copyright 2009 株 式 会 社 日 本 レジストリサービス 118

119 署 名 の 実 行 dnssec-signzone -H < 繰 り 返 し 回 数 > -3 <salt> -n <SOAのシリアル 値 > -k <KSK> <ゾーンファイル> <ZSK> dnssec-signzone H ABC n unixtime k `cat ksk-example.jp`.private example.jp `cat zsk-example.jp`.private -3はNSEC3 方 式 を 選 びソルトを 指 定 するオプション 出 力 ファイル example.jp.signed 署 名 済 みのゾーン dsset-example.jp. ゾーンへのDS RR Copyright 2009 株 式 会 社 日 本 レジストリサービス 119

120 署 名 済 みのゾーンファイル( 抜 粋 ) ; File written on Tue Nov 10 16:48: ; dnssec_signzone version 9.7.0b2 example.jp IN SOA ns.example.jp. root.example.jp. ( ; serial < 中 略 > ) RRSIG SOA ( example.jp. CDq8qzNsLVa6pRD9VUE71IYzIaO7u5NtYwwM < 中 略 > UMhqKQinfJHi/8hv4ff5FK198Dc= ) NS ns.example.jp RRSIG NS ( example.jp. UICLoNT5Zszv8LzF0mrkslDMwf9KBmiRSbhN < 中 略 > oy1vng0n6b+q2ksy12zxlk4g0yw= ) MX 10 mail.example.jp RRSIG MX ( example.jp. TQz52cCZQvpgcMFyRPtM2BWKxE8Vfvj/RmSv < 中 略 > 7GKlXyx3aHYyX3w9O03iXFQz7PA= ) DNSKEY ( AwEAAfzJXPiYtSD8DJs+J36dZd+cNrXHxLpu < 中 略 > Zl0VvPOGMNC94WFM+RciLySk2QSoJzmz ) ; key id = DNSKEY ( AwEAAe1MfTlcaIiidHDoCMmhuizPPoO5Tzzh < 中 略 > wzmor6uvsyzcjlljsyb9hh8= ) ; key id = Copyright 2009 株 式 会 社 日 本 レジストリサービス 120

121 DSの 登 録 dsset-example.jpの 内 容 を 親 ドメインに 登 録 子 ゾーンの 署 名 時 に 生 成 されたもの 内 容 の 例 example.jp. IN DS BB< 中 略 >DBC9A159E example.jp. IN DS EFC0< 中 略 >0ED6ED6 AFE9130B DSレコードはKSKの 公 開 鍵 からも 生 成 可 能 dnssec-dsfromkeyコマンドを 使 用 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 121

122 BINDの 設 定 : 権 威 サーバ(1/2) DNSSECを 有 効 にする named.conf の options 部 分 に dnssec-enable yes; を 追 加 options { < 省 略 > dnssec-enable yes; // BIND 9.4 以 降 は // デフォルトが yes; < 省 略 > }; Copyright 2009 株 式 会 社 日 本 レジストリサービス 122

123 BINDの 設 定 : 権 威 サーバ(2/2) ゾーンファイルを 署 名 済 みのものに 変 更 zone "example.jp" { } ; type master ; // file "example.jp.zone" ; file "example.jp.signed" ; namedを 再 起 動 rndc reload Copyright 2009 株 式 会 社 日 本 レジストリサービス 123

124 権 威 サーバの 動 作 確 認 digコマンドでdnssec 対 応 ゾーンの 確 認 dig +dnssec a +dnssec DNSSECを 有 効 にする 問 合 せ このオプションなしでは 通 常 の(DNSSECでない) ものと 同 じ 結 果 が 返 る +norec 非 再 帰 的 問 合 せ キャッシュサーバから 権 威 サーバへの 問 合 せと 同 じ 形 式 の 問 合 せ Copyright 2009 株 式 会 社 日 本 レジストリサービス 124

125 権 威 サーバへのdigの 結 果 (1/2) +dnssecなしのdigの 応 答 ; <<>> DiG P1 <<>> a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5506 ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. ;; ADDITIONAL SECTION: ns.example.jp IN A ;; Query time: 8 msec ;; SERVER: #53( ) ;; WHEN: Tue Nov 17 10:36: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 125

126 権 威 サーバへのdigの 結 果 (2/2) +dnssecありでは RRSIG RRを 加 えたものが 返 る ; <<>> DiG P1 <<>> +dnssec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A IN RRSIG A example.jp. 8QfGxUywqIJM1w5adioi8vN2SgfItsKYXPG9Y9qEOwk7I6eMUaeD49dw nepp+jqvr+zmjkl8hfpzyqu8wmzzf016gdrnsqukv7wkzk3yxp13ft5a DOdUCjHarZVzyh62aV1canDOIPBYto0GLFMGnDgjvyLNw8jktdFth803 L3k= ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. example.jp IN RRSIG NS example.jp. UICLoNT5Zszv8LzF0mrkslDMwf9KBmiRSbhN9NBAcdr/WpBRtUeg60/k gd/jm/15gvgeehqpwpj66byfc91hdrrrbtma8vsc1x7xz8nhu4wufnts hqiupzw9mftoo88d2naob6bylod8wdxdoy1vng0n6b+q2ksy12zxlk4g 0yw= ;; ADDITIONAL SECTION: ns.example.jp IN A ns.example.jp IN RRSIG A example.jp. urhho8ocpy3dd5frlbuupfwqzga2vxilea8udjxqu+najzh5xftup26l /lxggdxi3jjmv+hkfoiipkrjlaqvip2yh5jv05krhtlbxkijx4ze4g5x BukWAXSseSQDCqrVUbLzhxTofIVeTgXXMuDlYAB/ZmkGlB7X+6IUp6vS vgu= ;; Query time: 2 msec ;; SERVER: #53( ) ;; WHEN: Tue Nov 17 10:36: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 126

127 DO(DNSSEC OK)ビット dig の +dnssec オプション 問 合 せでEDNS0を 使 い DOビットをONにすると 共 に512バイトを 超 えるサイズのDNSパケットを 受 けられることを 宣 言 する DNSSECではEDNS0のサポートは 必 須 DOビット DNSSEC OK DNSSECの 応 答 を 受 ける DNSSECを 要 求 する 権 威 サーバは 問 合 せのDOビットがONであれ ば DNSSECの 情 報 を 含 んだ 応 答 を 返 す Copyright 2009 株 式 会 社 日 本 レジストリサービス 127

128 時 刻 の 同 期 DNSSEC 運 用 を 行 う 場 合 サーバの 時 刻 を 正 しく 合 わせる 必 要 がある NTPなどを 利 用 するのが 確 実 署 名 には 有 効 期 限 があり 期 限 を 過 ぎると 無 効 署 名 が 正 しくてもサーバの 時 刻 が 極 端 に 違 うと 署 名 検 証 に 失 敗 する DNSSEC 対 応 のゾーンは 定 期 的 に 再 署 名 を 行 うため 有 効 期 限 は 随 時 変 更 となる 実 用 上 は 分 程 度 まで 合 っていれば 問 題 ない Copyright 2009 株 式 会 社 日 本 レジストリサービス 128

129 鍵 更 新 と 再 署 名 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 129

130 鍵 更 新 同 じ 鍵 を 長 期 間 使 い 続 けると 様 々なリスク が 生 じる 不 注 意 偶 発 的 事 故 鍵 の 盗 難 暗 号 解 読 等 リスクを 最 小 に 抑 えるため DNSSEC 対 応 ゾーンの 運 用 では 定 期 的 な 鍵 更 新 ( 鍵 の 交 換 )を 行 う 例 えばSE(スウェーデン)の 場 合 年 に1 回 新 しい KSKを 生 成 し 2 年 間 利 用 する 運 用 を 行 っている Copyright 2009 株 式 会 社 日 本 レジストリサービス 130

131 鍵 更 新 時 に 留 意 すべきこと 鍵 更 新 は DNSSECの 信 頼 の 連 鎖 が 途 切 れ ないよう 注 意 深 く 作 業 する 必 要 がある 鍵 情 報 (DSやDNSKEY)と 署 名 (RRSIG)はDNS のレコードである キャッシュサーバはこれらをキャッシュする キャッシュしている 情 報 と あらたにキャッシュ サーバが 受 け 取 る 情 報 の 整 合 性 を 確 保 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 131

132 署 名 検 証 (1) 1 上 位 からDSを 受 け 取 る JPの 権 威 サーバからexample.jpのDS (DSの 署 名 検 証 の 解 説 は 省 略 ) 2 当 該 ゾーンのDNSKEYを 受 け 取 る example.jpの 権 威 サーバから example.jpの DNSKEY( 複 数 )とRRSIG( 複 数 )を 受 け 取 る 3 DNSKEYからKSKを 識 別 する DNSKEYは 複 数 (2 個 以 上 ) 存 在 するので フラグが257 のDNSKEY(1 個 以 上 )を 識 別 する 4 KSKを 特 定 する KSKとDSの 鍵 ID 暗 号 化 アルゴリズムを 比 べ KSKを 特 定 Copyright 2009 株 式 会 社 日 本 レジストリサービス 132

133 署 名 検 証 (2) 5 KSKを 認 証 する DSのハッシュアルゴリズムに 従 ってKSKのハッシュ 値 を 計 算 し DSにあるハッシュ 値 と 比 較 してKSKを 認 証 する 6 DNSKEYを 認 証 する 3で 受 け 取 ったDNSKEYに 付 随 したRRSIG( 複 数 )の 鍵 IDからKSKの 鍵 IDと 一 致 するものを 識 別 し 署 名 検 証 を 行 いDNSKEYを 認 証 する 7 DNSKEYからZSKを 識 別 する DNSKEYのフラグが256のものを 識 別 する ここでZSKは 複 数 存 在 する 可 能 性 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 133

134 署 名 検 証 (3) 8 受 け 取 る example.jpの 権 威 サーバから AとRRSIG(1 個 以 上 )を 受 け 取 る 9 認 証 する RRSIGの 鍵 IDと 一 致 するZSKで 署 名 を 検 証 する 署 名 検 証 の 際 署 名 の 有 効 期 間 ドメイン 名 など 他 のRRSIGのパラメータもチェックされる DSやDNSKEY RRSIG 等 は 署 名 検 証 後 もTTL の 有 効 時 間 キャッシュする Copyright 2009 株 式 会 社 日 本 レジストリサービス 134

135 ZSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 (1/2) 1 DNSKEYに 新 旧 のZSKを 登 録 する 新 ZSKを 作 成 し 旧 ZSKと 共 にDNSKEYに 登 録 し(この 状 態 でKSKを 含 めてDNSKEYは 最 低 3 個 ) 旧 ZSKで ゾーンを 署 名 DNSKEYのTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバが 新 旧 のZSKを 含 んだ DNSKEYをキャッシュするようになり 旧 RRSIGでも 新 RRSIGでも 署 名 を 検 証 できるようになる 2 ゾーンの 署 名 鍵 を 新 ZSKに 切 り 替 える ゾーン 内 の 最 長 のTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバから 旧 ZSKで 署 名 したRRSIGが 無 くなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 135

136 ZSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 (2/2) 3 旧 ZSKをDNSKEYから 削 除 する DNSKEYは 新 ZSKとKSKの 状 態 になる 初 期 状 態 DNSKEY KSK 旧 ZSK KSK 旧 ZSK 新 ZSK KSK 旧 ZSK 新 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 136

137 ZSKの 更 新 2つの 署 名 を 使 用 する 手 法 1 新 ZSKを 作 成 し 新 旧 両 方 のZSKでゾーンを 署 名 ゾーン 内 の 最 大 TTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 2 DNSKEYのZSKの 新 旧 を 入 れ 替 え 新 ZSKで ゾーンを 署 名 DNSKEY 初 期 状 態 1 2 KSK 旧 ZSK KSK 旧 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 137

138 ZSKの 更 新 メリット デメリット 事 前 に 鍵 を 公 開 する 手 法 ゾーンへの 署 名 を2 回 行 う 必 要 が 無 い ZSKの 公 開 時 間 が 長 くなるため 暗 号 解 読 攻 撃 のリスク が 高 まる(ZSKは 鍵 長 が 短 い) 初 期 状 態 から 数 えて4ステップ 必 要 2つの 署 名 を 使 用 する 手 法 初 期 状 態 から 数 えて3ステップで 終 了 する ゾーンへの 署 名 を2 回 行 う 必 要 がある 鍵 変 更 期 間 中 (1の 状 態 )はDNSデータが 大 きくなる Copyright 2009 株 式 会 社 日 本 レジストリサービス 138

139 KSKの 更 新 2つの 署 名 を 使 用 する 手 法 (1/2) 1 新 KSKを 作 成 し DNSKEYに 登 録 して DNSKEYを 新 KSKと 旧 KSKで 署 名 する 2 親 ゾーンのDS 登 録 を 旧 から 新 に 切 り 替 える 親 側 のDSの 切 り 替 え 作 業 を 待 ち その 後 親 側 の 旧 DSのTTL 時 間 分 待 つ 3 旧 KSKを 削 除 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 139

140 KSKの 更 新 2つの 署 名 を 使 用 する 手 法 (2/2) 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK 新 KSK ZSK 旧 KSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 140

141 KSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 1 新 KSK(と 新 DS)を 作 成 し 親 ゾーンに 新 旧 2 つのDSを 登 録 する 親 ゾーンのDS 登 録 を 待 つ さらに 旧 DSのTTL 時 間 待 つ 2 旧 KSKを 破 棄 し 新 KSKでDNSKEYに 署 名 する 3 親 ゾーンのDS 登 録 を 新 DSのみにする Copyright 2009 株 式 会 社 日 本 レジストリサービス 141

142 KSKの 更 新 事 前 に 鍵 を 公 開 する 手 法 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK ZSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ Copyright 2009 株 式 会 社 日 本 レジストリサービス 142

143 KSKの 更 新 メリット デメリット 2つの 署 名 を 使 用 する 手 法 ZSKと 違 い 署 名 がDNSKEYにのみ 作 用 するの で ゾーンデータの 肥 大 化 は 問 題 にならない 親 ゾーンとのDSのやり 取 りが1 回 で 済 む 事 前 に 鍵 を 公 開 する 手 法 親 ゾーンとDSのやり 取 りが2 回 必 要 となる Copyright 2009 株 式 会 社 日 本 レジストリサービス 143

144 ゾーンの 再 署 名 署 名 の 有 効 期 限 が 長 すぎるのは 望 ましくない 万 が 一 の 事 態 ( 鍵 の 盗 難 等 )において 速 やかに 対 応 する ためには 署 名 期 間 は 短 いほうがよい 有 効 期 限 が 数 分 の 鍵 も 技 術 的 には 可 能 しかし 休 日 の 対 応 を 考 慮 すると 現 実 性 に 欠 ける 署 名 の 有 効 期 限 に 達 する 前 に 署 名 の 有 効 期 限 を 更 新 するために ゾーン 全 体 の 再 署 名 が 必 要 となる DNSSECでは 再 署 名 を 行 ってゾーン 情 報 を 定 期 的 に 更 新 する 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 144

145 NSEC3 固 有 の 問 題 NSEC3では 同 じハッシュ 値 を 使 い 続 けると 辞 書 攻 撃 により 秘 匿 している 情 報 が 解 析 され るリスクがある ゾーンの 再 署 名 時 にソルトを 変 更 し ハッシュ 値 を 変 えるのが 望 ましい Copyright 2009 株 式 会 社 日 本 レジストリサービス 145

146 鍵 の 有 効 期 限 運 用 面 での 鍵 の 有 効 期 限 の 実 用 的 な 値 KSK 13ヵ 月 12ヶ 月 で 鍵 更 新 ZSK ~3ヵ 月 KSKの 更 新 はDSの 登 録 変 更 作 業 を 伴 うため ドメイン 名 登 録 の 更 新 にあわせるのが 現 実 的 ZSKはKSKのような 制 約 は 無 く ゾーン 内 で 処 理 が 完 結 するため 運 用 面 での 負 荷 を 考 慮 しながら 期 間 を 短 めに 設 定 する Copyright 2009 株 式 会 社 日 本 レジストリサービス 146

147 TTLと 署 名 の 期 間 RRのTTLが 署 名 期 間 より 長 かったら キャッシュしたRRの 署 名 が 無 効 になる 事 態 が 発 生 する 署 名 の 有 効 期 間 はTTLより 長 い 必 要 がある SOAのExpireが 署 名 期 間 より 長 かったら セカンダリサーバでゾーンが 有 効 にも 関 わらず 署 名 が 無 効 になる 事 態 が 発 生 する 可 能 性 がある SOAのExpireは 署 名 期 間 より 短 い 必 要 がある Copyright 2009 株 式 会 社 日 本 レジストリサービス 147

148 鍵 管 理 KSKが 漏 洩 すると 被 害 が 大 きい ゾーンの 重 要 度 との 兼 ね 合 いで rootやtldの 重 要 度 は エンドユーザのゾーンに 比 べ 高 い DS 登 録 が 必 要 なため 自 ゾーンだけでは 管 理 できない HSM(Hardware Security Module)の 利 用 を 推 奨 ZSKはKSKに 比 べリスクは 小 さい 万 が 一 漏 洩 した 場 合 でも KSKに 比 べ 簡 単 に 更 新 できる いずれにしても 鍵 管 理 は 十 分 厳 重 に 行 う Copyright 2009 株 式 会 社 日 本 レジストリサービス 148

149 DNSSEC 化 による DNSデータの 変 化 DNSSEC Copyright 2009 株 式 会 社 日 本 レジストリサービス 149

150 DNSSEC 有 無 による 検 索 DNSSEC 無 し $ dig a grep SIZE ;; MSG SIZE rcvd: 157 ( 親 のNSに 問 合 せ) $ dig a grep SIZE ;; MSG SIZE rcvd: 173 ( 自 分 自 身 のNSに 問 合 せ) DNSSEC 有 り $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 414 ( 親 のNSに 問 合 せ) $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 1180 ( 自 分 自 身 のNSに 問 合 せ) Copyright 2009 株 式 会 社 日 本 レジストリサービス 150

151 権 威 サーバへのdigの 結 果 (1/2) +dnssec 無 しのdigの 応 答 ; <<>> DiG <<>> a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A ;; AUTHORITY SECTION: nic.se IN NS ns3.nic.se. nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ;; Query time: 328 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: Copyright 2009 株 式 会 社 日 本 レジストリサービス 151

152 権 威 サーバへのdigの 結 果 (2/2) +dnssec 有 り 各 RRにRRSIG RRを 加 えたものが 返 る ; <<>> DiG <<>> +norec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5979 ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 9 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A IN RRSIG A nic.se. izdsohtb1xthccw2wv4tzjl ;; AUTHORITY SECTION: nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. nic.se IN NS ns3.nic.se. nic.se IN RRSIG NS nic.se. pkdbuyxlqppnhlu9nazh ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ns.nic.se IN RRSIG A nic.se. GzLodvUOd0oB4qfhhbp8H ns.nic.se IN RRSIG AAAA nic.se. 0tvno8Vz7Ihm27AZ+H ns2.nic.se IN RRSIG A nic.se. UcEcYGX59H8bAVGwhfwko ns3.nic.se. 60 IN RRSIG A nic.se. NRoFeFzAm0hoyKa2ObxjCfB ;; Query time: 382 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: 1180 注 意 :RRSIGは 行 の 途 中 まで 残 り 省 略 Copyright 2009 株 式 会 社 日 本 レジストリサービス 152

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初 心 者 のためのDNS 運 用 入 門 - トラブルとその 解 決 のポイント - 2013 年 7 月 19 日 DNS Summer Days 2013 株 式 会 社 日 本 レジストリサービス(JPRS) 水 野 貴 史 Copyright 2013 株 式 会 社 日 本 レジストリサービス 1 講 師 自 己 紹 介 氏 名 : 水 野 貴 史 (みずの たかふみ) 生 年 月 日

More information

DNSSECチュートリアル ~実践編~

DNSSECチュートリアル ~実践編~ Internet Week 2010 S10 DNSSECチュートリアル ~ 実 践 編 ~ 民 田 雅 人 株 式 会 社 日 本 レジストリサービス 2010-11-25 Copyright 2010 株 式 会 社 日 本 レジストリサービス 1 目 次 DNSキャッシュへの 毒 入 れ DNSSECのしくみ DNSSEC 導 入 に 向 けて DNSSECの

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 DNSチュートリアル - 初 心 者 のためのDNS 運 用 入 門 - 2015 年 1 月 14 日 JANOG35 Meeting 株 式 会 社 日 本 レジストリサービス(JPRS) 久 保 田 秀 Copyright 2015 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 1. DNSの 基 礎 知 識 とトラブルシューティングの 基 本 DNSの 全 体 構 成

More information

Part 1 Part 2 Part 3 Part 1 STEP 0 1 STEP 02 66 // options options { directory "/var/named/"; // zone zone "." { type hint; file "named.root"; // 0.0.127.in-addr.arpa zone zone "0.0.127.in-addr.arpa"

More information

Microsoft PowerPoint - bind-97-20091124.ppt

Microsoft PowerPoint - bind-97-20091124.ppt JAPAN REGISTRY SERVICES DNSSECの 拡 張 と BIND 9.7の 新 機 能 小 規 模 なDNSSEC 遊 びその 後 藤 原 和 典 2009/11/24 dnsops.jp BoF Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 DNSSECを 拡

More information

キャッシュポイズニング攻撃対策

キャッシュポイズニング攻撃対策 キャッシュポイズニング 攻 撃 対 策 : キャッシュDNSサーバー 運 用 者 向 け 基 本 対 策 編 初 版 作 成 :2014 年 4 月 30 日 最 終 更 新 :2014 年 4 月 30 日 株 式 会 社 日 本 レジストリサービス(JPRS) Copyright 2014 株 式 会 社 日 本 レジストリサービス 1 本 資 料 の 位 置 づけ 本 資 料 は 以 下 の

More information

DNSを「きちんと」設定しよう

DNSを「きちんと」設定しよう DNS WIDE Project DNS DAY - Internet Week 2002 BIND DNS 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc DNS 4 2 (1) www.example.jp IP 10.100.200.1 10.20.30.40 ftp.example.jp

More information

Microsoft PowerPoint - private-dnssec

Microsoft PowerPoint - private-dnssec JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1 いますぐ DNSSEC で遊びたい 使ってる TLD

More information

JAIPA-DNSSEC

JAIPA-DNSSEC # yum -y install gcc openssl-devel $ wget http://ftp.isc.org/isc/bind9/9.7.2-p2/ bind-9.7.2-p2.tar.gz $ tar zxf bind-9.7.2-p2.tar.gz $ cd bind-9.7.2-p2/ $./configure --with-openssl --disableopenssl-version-check

More information

JPドメイン名におけるDNSSECについて

JPドメイン名におけるDNSSECについて JPドメイン 名 におけるDNSSECについて JP DPSの 作 成 を 切 り 口 に 森 健 太 郎 株 式 会 社 日 本 レジストリサービス 本 資 料 について 本 資 料 は 2011 年 7 月 12 日 に 開 催 されたJPNICセミナー 組 織 におけるDNSSECの 姿 ~ICANN 大 久 保 智 史 氏 を 迎 えて ~ の 講

More information

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

DNS (BIND, djbdns)  JPNIC・JPCERT/CC Security Seminar 2005 DNS 2005 10 6 JPNIC JPCERT/CC Security Seminar 2005 DNS Pharming BIND djbdns 2 DNS DNS (Domain Name System)? IP www.example.jp IP 172.16.37.65 http://www.example.jp/ - http://172.16.37.65/

More information

enog-ryuichi

enog-ryuichi 君 のキャッシュDNSサーバが 出 すクエリ を 君 は 本 当 に 理理 解 しているか? あ でもそのうちそうなっちゃうかも? ~QNAME Minimisation の 話 ~ ENOG34@ 柏 崎 2015 年年 9 月4 日 DMM.comラボ 高 嶋 隆 一 おさらい. ドメイン 名 は 階 層 構 造 を 持 つ 酔 っ 払 い. JP.. ü 木 構 造 っぽい com org 酔

More information

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( )  IP IP DNS 4 DNS minmin@jprs.co.jp DNS DAY Internet Week 2003 ( ) 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) www.example.jp IP IP 10.20.30.40 DNS 4 PC /etc/resolv.conf

More information

スライド 1

スライド 1 キャッシュ DNS の DNSSEC 対応 2012 年 11 月 21 日 三洋 IT ソリューションズ株式会社 SANNET BU 技術運用チーム 其田学 アジェンダ 2 DNSSEC に対応したキャッシュ DNS とは 検証の仕組み構築方法 構築前の確認事項 ROOT ゾーンのトラストアンカー キャッシュ DNS サーバの設定運用 監視 ログ項目 トラブルシューティング 3 DNSSEC に対応したキャッシュ

More information

「DNSキャッシュポイズニング対策」スライド部分の抜粋

「DNSキャッシュポイズニング対策」スライド部分の抜粋 DNS キャッシュポイズニング 対 策 ~DNSの 役 割 と 関 連 ツールの 使 い 方 ~ 1. DNSキャッシュポイズニング 2. DNSの 動 作 と 関 連 ツール 3. 検 査 ツールの 使 い 方 と 注 意 点 4. 再 帰 動 作 の 設 定 1. DNSキャッシュポイズニング 1.1 DNSの 仕 組 み 1.2 DNSキャッシュポイズニング 1 1.1 DNSの 仕 組 み

More information

スマート署名(Smart signing) BIND 9.7での新機能

スマート署名(Smart signing) BIND 9.7での新機能 BIND 9.7 の新機能を利用した 権威 DNS サーバの運用 スマート署名 全自動ゾーン署名 1 DNSSEC for Humans BIND 9.7 から導入された DNSSEC の設定をより簡単に行う一連の機能 スマート署名 全自動ゾーン署名 RFC 5011 への対応 Dynamic Update 設定の簡素化 DLV の自動設定 2 スマート署名 3 スマート署名の利用例 (example.jp

More information

JP DNSSEC Update

JP DNSSEC Update 重 複 をお 許 しください ができるまで 2011 年 4 月 20 日 DNSOPS.JP BoF 株 式 会 社 日 本 レジストリサービス 森 下 泰 宏 (Orange) Copyright 2011 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 重 複 をお 許 しください とは 生 い 立 ちと 状 況 なぜいつも 同 じ 書 き 出 しなのか? 重 複 をお 許

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 株式会社ブロードバンドタワー 大本貴 ( 題字は http://to-a.ru にて作成 ) 自己紹介 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010 年ブロードバンドタワーに転籍

More information

経 緯

経 緯 頂 上 は 如 何 に 攻 略 されたか ~ ルートゾーン キャッシュポイズニング ~ 2014.06.05 IEICE 中 京 大 学 工 学 部 鈴 木 常 彦 * QMAIL.JP 前 野 年 紀 経 緯 2/15 co.jp への 毒 入 れ 前 野 氏 : *.co.jp をJPサーバに 問 い 合 わせたときに co.jp が 委 譲 されているかのような 返 事 をすると キャッシュにないことは

More information

Microsoft PowerPoint - BIND9新機能.ppt

Microsoft PowerPoint - BIND9新機能.ppt BIND9 の最新動向 株式会社日本レジストリサービス坂口智哉 1 目次 1. BIND9.9 の主な新機能と変更点 2. バージョンアップ時の応答内容の比較 3. ゾーン転送中のクエリ処理性能 Copyright 2012 株式会社日本レジストリサービス 2 注意事項 本資料の機能は 執筆時点の最新リリース (BIND9.9.1-P2) を前提としたものです 本資料に登場する性能評価は あくまで

More information

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re SUSE Linux Enterprise 10 内部 DNS 設定手順 この文書では 構内ネットワークの DNS キャッシュと LAN 内コンピュータの名前解決を目的とした DNS の設定手順を説明します DNS 設定前のチェック項目 HOSTNAME YaST > Network Service > HOSTNAMES に ホスト名. ゾーン名 が記述されていることを確認します この情報は /

More information

DNSSEC性能確認手順書v1.2

DNSSEC性能確認手順書v1.2 DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初心者のための DNS 運用入門 - トラブル事例とその解決のポイント - 2014 年 6 月 26 日 DNS Summer Days 2014 株式会社日本レジストリサービス (JPRS) 水野貴史 Copyright 2014 株式会社日本レジストリサービス 1 講師自己紹介 氏名 : 水野貴史 ( みずのたかふみ ) 生年月日 :1988 年 3 月 3 日 (26 歳 ) 所属 : 株式会社日本レジストリサービス

More information

BIND 9 BIND 9 IPv6 BIND 9 view lwres

BIND 9 BIND 9 IPv6 BIND 9 view lwres DNS : BIND9 ( ) /KAME jinmei@{isl.rdc.toshiba.co.jp, kame.net} Copyright (C) 2001 Toshiba Corporation. BIND 9 BIND 9 IPv6 BIND 9 view lwres BIND 3 : 4, 8, 9 BIND 4 BIND 8 vs BIND 9 BIND 9 IPv6 DNSSEC BIND

More information

DNSブロッキンガイドライン

DNSブロッキンガイドライン DNS ブロッキングによる 児 童 ポルノ 対 策 ガイドライン 第 2 版 2012 年 11 月 2 日 安 心 ネットづくり 促 進 協 議 会 調 査 研 究 委 員 会 児 童 ポルノ 対 策 作 業 部 会 ISP 技 術 者 サブワーキンググループ 改 訂 履 歴 版 数 発 行 日 改 訂 履 歴 第 1 版 2011 年 4 月 28 日 初 版 発 行 第 2 版 2012 年

More information

DNS設定ツールご利用マニュアル

DNS設定ツールご利用マニュアル DNS 設 定 ツール 操 作 マニュアル 平 成 26 年 5 月 12 日 第 1.3 版 アルテリア ネットワークス 株 式 会 社 目 次 1. はじめに... 3 2. 動 作 環 境 と 操 作 上 の 注 意 事 項... 3 2.1. 動 作 環 境... 3 2.2. 操 作 上 の 注 意 事 項... 3 3. 開 始 と 終 了... 4 3.1. 開 始... 4 3.2.

More information

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証 DNS アウトソーシング コントロールパネル 操 作 マニュアル Version 1.0 NTTPC コミュニケーションズ 2015/2/17 1 目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル...

More information

untitled

untitled Kaminsky Attack ( ) DNS DAY Tsuyoshi TOYONO (toyono@nttv6.net) ( @JPRS) ( ) ( ) DNS DNS (DNS Cache Poisoning ) ( ) Pharming IP Pharming Cache Poisoning 0 ( (RR) Cache TTL) 1000 19 (1136 ) 50% 5 (271 )

More information

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という)

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という) 株 式 会 社 日 本 レジストリサービス 株 式 会 社 日 本 レジストリサービス 公 開 :2010 年 11 月 1 日 公 開 :2010 年 11 月 1 日 改 訂 :2011 年 6 月 20 日 改 訂 :2011 年 6 月 20 日 実 施 :2011 年 7 月 18 日 実 施 :2011 年 7 月 18 日 改 訂 :2011 年 11 月 1 日 改 訂 日 実 施

More information

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き 1/10 ページ 2013/07/02 AWS SDK Java で 使 おう(CNAME 編 )... 診 察 室 にて 医 者 : 次 の 方 どうぞ 主 婦 : よろしくお 願 いします 医 者 : どうされましたかな? 主 婦 : あのー 高 血 圧 のせいだと 思 うのですが 頭 がクラクラするんです 右 に 行 けばいいのか 左 に 行 けばいいのか 結 論 が 出 ないのです 医 者

More information

Root KSK更新に対応する方法

Root KSK更新に対応する方法 Root KSK 更新に 対応する方法 東京大学 総合文化研究科 石原知洋 概要 Root KSK Rollover とは? 更新方法 自動更新 : RFC5011: Automated Updates of DNS Security (DNSSEC) Trust Anchors DNSSEC トラストアンカーの自動更新 Root KSK 更新とは? DNSSEC の ( というより世の中の ) 鍵は定期的な更新が必要

More information

新しいDNSサーバ、 NSDの紹介

新しいDNSサーバ、 NSDの紹介 DNS NSD 2004 8 30 124 jus kohi@iri.co.jp NSD NLnet Labs RIPE/NCC DNS 2002 4 1.0.0-2003 6 16 1.0.3 2.1.2(2004 7 30 ) h.root-servers.net k.root-servers.net NSD 2004 8 30 Copyright(c) 2004 Koh-ich Ito 2 2004

More information

TechnicalBrief_Infoblox_jp.indd

TechnicalBrief_Infoblox_jp.indd F5 Infoblox DNS DNS F5 DNS DHCP IP DDI Infoblox DNS DNS DNS DNSSEC Nathan Meyer F5 Cricket Liu Infoblox 2 2 DNS DNSSEC DNSSEC DNSSEC Infoblox DNSSEC F Infoblox Delegation CNAME Delegation DNSSEC 11 Authoritative

More information

DNSキャッシュポイズニング対策

DNSキャッシュポイズニング対策 DNS キャッシュポイズニング 対 策 ~DNSの 役 割 と 関 連 ツールの 使 い 方 ~ 1. DNSキャッシュポイズニング 2. DNSの 動 作 と 関 連 ツール 3. 検 査 ツールの 使 い 方 と 注 意 点 4. 再 帰 動 作 の 設 定 2009 年 8 月 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター 0 1. DNSキャッシュポイズニング

More information

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築-

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築- Solaris フリーソフトウェア導入手順書 -BIND による DNS サーバの構築 - 2010 年 7 月 富士通株式会社 1 商標について SPARC Enterprise は 米国 SPARC International, Inc. のライセンスを受けて使用している 同社の米国およびその他の国における商標または登録商標です UNIX は 米国およびその他の国におけるオープン グループの登録商標です

More information

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx)

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx) option i-filter for D-SPA NTLM 認 証 - 基 本 設 定 説 明 資 料 デジタルアーツ 株 式 会 社 営 業 部 セールスエンジニア 課 NTLM 認 証 のメリット シングルサインオンによるWebアクセス 管 理 を 実 現! 認 証 サーバー 上 のグループ 情 報 を 用 いたルール 振 り 分 けも 可 能 ユーザー 追 加 削 除 時 などの 運 用 管

More information

untitled

untitled DNS Demystified DNS 2004/07/23 JANOG14 @ koji@iij.ad.jp haru@iij.ad.jp DNS ^^; Authoritative JPNIC JPRS DNSQCTF (caching server) authoritative sever Copyright 2004, 2 (authoritative server) ( LAN DNS RFC1918

More information

ソフトウェア、プロトコル、ウェブサイトをめぐる動向

ソフトウェア、プロトコル、ウェブサイトをめぐる動向 Internet Week 2009 - H1 インターネットセキュリティ2009 - 脅 威 のトレンド2009 ~ソフトウェア プロトコル ウェブサイトをめぐる ウ 動 向 ~ 一 般 社 団 法 人 JPCERTコーディネーションセンター 2009 年 11 月 24 日 真 鍋 敬 士 最 近 気 になっていること 90 90 ある 公 開 アドレスに 届 いたメールのうち 実 行 ファイルが

More information

Greatだねー

Greatだねー 中 国 でGreatだよ Matsuzak maz Yoshinobu 2013/08 @ APNIC36 network maz@iij.ad.jp 1 何 だかアクセスできないよ Twitter Facebook YouTube ERR_TIMED_OUT ERR_NAME_RESOLUTIN_FAILED ERR_TIMED_OUT maz@iij.ad.jp

More information

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx)

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx) マイナンバーに 対 応 した 情 報 システム 設 計 と セキュリティ 対 策 立 命 館 大 学 情 報 理 工 学 部 上 原 哲 太 郎 情 報 システムと 法 情 報 システムが 法 的 義 務 を 満 たす 必 要 がある 例 が 増 えてきている 特 定 電 子 メール 法 や 特 定 商 取 引 法 における 表 示 義 務 割 賦 販 売 法 におけるクレジット 番 号 の 安 全

More information

Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ

Windows Server2003環境向け Deep Security 推奨ポリシーの考え方 と適用イメージ トレンドマイクロ 推 奨 Windows Server 2003(32bit) 用 ポリシー を 利 用 される 前 に 必 ず 本 資 料 をご 確 認 ください Windows Server 2003 (32bit)に Deep Security Agentを 導 入 する 際 の 注 意 点 と トレンドマイクロ 推 奨 ポリシーの 考 え 方 について トレンドマイクロ 株 式 会 社 2014

More information

rndc BIND

rndc BIND rndc ローカル上 またはリモート上にある BIND9 を制御するツール rndc の仕組仕組み 制御メッセージ rndc コマンド 読み込み /.conf( 相手のホスト名と共有鍵の指定 ) または /.key( 共有鍵の指定 ) rndc の共通鍵と一致していれば rndc からの命令を受け付ける named サービス # vi named.conf 1 共有鍵の設定 keys ステートメントで直接記入または

More information

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基 ( 別 紙 ) 志 摩 市 ホームページ 構 築 業 務 CMS 機 能 調 査 表 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1-1 1.システム 基 本 要 件

More information

Microsoft PowerPoint - ベリサイン サーバID 新仕様(2048bit)への切替_asof201207_2.pptx

Microsoft PowerPoint - ベリサイン サーバID 新仕様(2048bit)への切替_asof201207_2.pptx ベリサイン サーバID 新 仕 様 (2048bit)への 移 行 のポイント 日 本 ベリサイン 株 式 会 社 SSL 製 品 本 部 2012 年 7 月 新 仕 様 (2048bit)への 移 行 のポイント 何 故 暗 号 アルゴリズムの 移 行 が 必 要 か SSLサーバ 証 明 書 への 影 響 個 々の 暗 号 アルゴリズムの 安 全 性 は 低 下 していき 寿 命 を 迎 える

More information

ASP・SaaS安全・信頼性に係る情報開示認定制度

ASP・SaaS安全・信頼性に係る情報開示認定制度 ASP SaaS 安 全 信 頼 性 に 係 る 情 報 開 示 認 定 制 度 認 定 の (1/7) 認 定 番 号 : 01321107, 名 称 :isearch(アイサーチ), 事 業 者 名 称 : デジアナコミュニケーションズ 株 式 会 社 / 1 開 示 情 報 の 時 点 開 示 情 報 の 日 付 開 示 情 報 の 年 月 日 ( 西 暦 ) 2015/6/17 事 業 所

More information

Press Release english

Press Release english モバイル クライアントの 基 本 認 証 QlikView テクニカル ブリーフ Published: November, 2011 www.qlikview.com はじめに QlikView Server をインストールする 際 標 準 セキュリティ 構 成 ではユーザー 表 示 に Windows アカウントが ユー ザーの 認 証 に NTLM が 使 用 されます ローカル エリア ネットワーク

More information

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 委 託 仕 様 書 1 業 務 名 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 2 目 的 福 島 県 環 境 創 造 センター( 以 下 環 境 創 造 センター という )は 県 土 の 環 境 を 回 復 創 造 に 取 り 組 むための 調 査 研 究 及 び 情 報 発 信 教 育 等 を 行

More information

Microsoft PowerPoint - 20120622.pptx

Microsoft PowerPoint - 20120622.pptx 情 報 セキュリティ 第 10 回 2012 年 6 月 22 日 ( 金 ) 1/25 本 日 学 ぶこと 本 日 の 授 業 を 通 じて インターネットにおける 通 信 を 暗 号 化 するソフトウェアについて 学 びます. HTTPSほかの 暗 号 化 を 支 える SSL について,その 構 成 や 運 用 方 法 などを 理 解 します. 安 全 なリモートログインを 実 現 する SSH

More information

AirStationPro初期設定

AirStationPro初期設定 AirStationPro 初 期 設 定 AirStationProの 検 索 1.エアステーション 設 定 ツールVer.2を 立 ち 上 げて 次 へ をクリックする 注 )エアステーション 設 定 ツールVer.2は 製 品 に 付 属 しているCD からインストールす るか http://buffalo.jp/do wnload/driver/lan/ai rnavilite.htmlにある

More information

cache-config_v1.pptx

cache-config_v1.pptx キャッシュサーバの 設 定 IIJ 山 口 崇 徳 DNS Summer Days 2014 自 己 紹 介 IIJというところでDNSの 運 用 やってます お 客 様 用 参 照 サーバ お 客 様 のゾーンを 預 かる 権 威 サーバ 某 cctldのセカンダリ 最 初 のDNSのお 仕 事 は BIND4 BIND8 の 移 行 前 世 紀 末 その 他 メールやったり web いじったり

More information

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ 情 報 セキュリティ 認 証 学 術 情 報 基 盤 センター 升 屋 正 人 masatom@cc.kagoshima-u.ac.jp 認 証 とは Authentication IDとパスワードなどで 正 当 性 を 確 認 ログイン 認 証 など Certification 第 三 者 が 正 当 性 を 証 明 ISO9000 認 証 など 認 証 された 利 用 者 に 対 して 権 限

More information

ユーザーマニュアル

ユーザーマニュアル 1. 基 本 設 定 セキュア Web サーバーの 基 本 的 な 設 定 を 行 ないます 基 本 設 定 サーバー 名 管 理 者 メールアドレス を 入 力 します 設 定 する ボタンをクリックして 設 定 を 終 了 します root ユーザーはポート 番 号 を 変 更 することもできます 詳 細 設 定 セキュア Web サーバーを 通 して 公 開 する ユーザーのディレクトリを 設

More information

電子メールソフトのセキュリティ設定について 第1分冊

電子メールソフトのセキュリティ設定について 第1分冊 電 子 メールソフトのセキュリティ 設 定 について 第 1 分 冊 - はじめに - 本 文 書 がカバーする 電 子 メールソフト - 電 子 メールソフトの 設 定 に 関 する 説 明 一 般 社 団 法 人 JPCERTコーディネーションセンター 2011 年 2 月 1 日 本 資 料 は 一 般 社 団 法 人 JPCERT コーディネーションセンターのウエブサイトにて 公 開 している

More information

Microsoft PowerPoint - 05_miyohara.ppt

Microsoft PowerPoint - 05_miyohara.ppt 日 本 におけるヘルスケアPKI (HPKI)の 最 新 動 向 保 健 医 療 福 祉 情 報 システム 工 業 会 セキュリティ 委 員 会 委 員 長 茗 原 秀 幸 1. 情 報 セキュリティとは 情 報 セキュリティとは 情 報 資 産 の 機 密 性 完 全 性 及 び 可 用 性 を 維 持 すること 機 密 性 (confidentiality): 情 報 にアクセスすることが 認

More information

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以 フリーのDNS ストレスツール の 紹 介 dnsperf ( 開 発 元 Nominum), dnstcpbench( 開 発 元 Nether Labs) 2013/7/18 SCSK 株 式 会 社 服 部 成 浩 ( s.hattori@scsk.jp ) 自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回

More information

スライド 1

スライド 1 IP Meeting 2004 DNS & (IANA/RIR) 2004 12 2 JPRS DNS 1 DNS 3 IP Anycast IPv6 AAAA glue BIND DNS 3 IP Anycast DDoS 2002 10 DDoS 13 7 2 DNS DNS 13(=13 IPv4 ) 4 IP Anycast IP RFC 1546

More information

スライド 1

スライド 1 WEBサイト 改 ざん 検 知 手 法 の 分 類 と サイト 構 成 との 相 性 について M2Mテクノロジーズ 株 式 会 社 M2M Technologies Inc. 1 自 己 紹 介 内 山 恒 示 (うちやま こうじ) 2002 年 ごろから セキュリティ 事 業 に 従 事 ネットワークフォレンジック 製 品 の 代 理 店 をきっかけにセキュリティ 業 界 デビュー ハードに 強

More information

rndc BIND DNS 設定 仕組み

rndc BIND DNS 設定 仕組み rndc ローカル上 またはリモート上にある BIND9 を制御するツール主に 設定の再読み込み named サービスの停止 ( 起動はできない ) 統計情報の表示 キャッシュのクリアなどのために使用する rndc の仕組仕組み rndc コマンドを実行する端末は 同じ端末 ( サーバ ) 上の named サービス または外部のサーバ上の named サービスの制御をすることができる rndc の設定

More information

アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ について 説 明 し ます 1. Mova

アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ について 説 明 し ます 1. Mova MTのクラウド 利 用 を 加 速 する "MTEZコンシェルジュ"の 紹 介 2013.03.19 株 式 会 社 ネットフォレスト 川 原 啓 アジェンダ このセッションでは シックス アパート 社 が 提 供 するクラウド 型 サービ スである MovableType EZ と MovableType EZ を 補 完 し その 利 用 を 支 援 する 弊 社 サービス MTEZコンシェルジュ

More information

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx F5ネットワークスジャパン 2010 年 10 月 SSL 公 開 鍵 長 の2048ビット 移 行 と BIG-IPによるSSLオフロードの に ド 価 値 について セキュリティガイダンス およびその 影 響 3 暗 号 アルゴリズムにおける2010 年 問 題 2010 年 問 題 現 在 使 われている 暗 号 アルゴリズムが 将 来 的 に 使 用 できなくなることに 伴 って 発 生 する

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 28 年 3 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

Proxy システム 上 埜 元 嗣 情 報 社 会 基 盤 研 究 センター 概 要 情 報 社 会 基 盤 研 究 センターでは 全 学 サービスとして WEB の proxy サービスを 提 供 している 高 速 な 外 部 へ のアクセスや 安 全 な 通 信 を 目 的 としているが 最

Proxy システム 上 埜 元 嗣 情 報 社 会 基 盤 研 究 センター 概 要 情 報 社 会 基 盤 研 究 センターでは 全 学 サービスとして WEB の proxy サービスを 提 供 している 高 速 な 外 部 へ のアクセスや 安 全 な 通 信 を 目 的 としているが 最 JAIST Reposi https://dspace.j Title Proxyシステム Author(s) 上 埜, 元 嗣 Citation 国 立 大 学 法 人 北 陸 先 端 科 学 技 術 大 学 院 大 学 技 術 サービ ス 部 業 務 報 告 集 : 平 成 23 年 度 : 23-26 Issue Date 2012-08 Type Others Text version publisher

More information

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~ エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~ エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お

More information

OpenDNSSECチュートリアル

OpenDNSSECチュートリアル OpenDNSSEC チュートリアル @DNSOPS.JP BoF(2009.11.24) NRIセキュアテクノロジーズ株式会社エンタープライズセキュリティサービス部中島智広 (nakashima@nri-secure.co.jp) はじめに 概要 本発表は煩雑な DNSSEC 運用を楽にするためのソフトウェアである OpenDNSSEC の概要と導入方法をまとめたものです おことわり 内容には十分配慮していますが

More information

kohi-p1.pptx

kohi-p1.pptx DNS のよくある間違い 伊藤高一 DNS Summer Days 2012 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 1 イントロダクション DNS は 世界で唯一成功した分散データベース って言われています おかげで just put it in the DNS なる風潮も なんで成功したのかって? だってユルいんだもん :-) 多少いい加減でも

More information

03 CMS機能審査表.xls

03 CMS機能審査表.xls 厚 真 町 ホームページ 構 築 業 務 CMS 機 能 調 査 表 ( 別 紙 ) 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1 1.システム 基 本 要 件 Windows

More information

サポート技術方法

サポート技術方法 キャッシュと 同 期 の 推 奨 設 定 イントロダクション このドキュメントでは Curl RTE のパフォーマンスを 最 大 限 に 活 用 できるように Curl RTE の 設 定 と Web ブラウザのキャッシュの 特 徴 について 説 明 します この 設 定 を 採 用 することで 正 確 なプログラムの 動 作 を 維 持 しながら Curl アプリケー ションにおいて 最 も 効

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 10 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 徳 島 市 は 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 における 特 定 個 人 情 報 ファイルの

More information

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1 ISOG-J 主 催 セミナー 事 例 から 学 ぶ!ウェブ 改 ざんの 実 態 と 対 策 ウェブ 改 ざんによる 被 害 とその 対 策 2013 年 12 月 12 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター 岡 野 裕 樹 本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 )

More information

ネットワークへの情報流出対策技術の動向

ネットワークへの情報流出対策技術の動向 P2Pネットワークとセキュリティ -しくみと 使 い 方 - 大 坐 畠 智 電 気 通 信 大 学 2010 年 10 月 15 日 調 布 市 民 講 座 1 発 表 内 容 1. はじめに 2. インターネット 全 般 3. 情 報 流 出 とP2Pネットワーク 4. P2Pネットワークへの 情 報 流 出 対 策 技 術 5. まとめ 2 1.はじめに 近 年 情 報 流 出 事 件 が 多

More information

目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期 間... 3 2.4. 費 用...

目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期 間... 3 2.4. 費 用... 公 立 大 学 法 人 岩 手 県 立 大 学 岩 手 県 立 大 学 ウェブサイトリニューアル 業 務 に 係 る 提 案 仕 様 書 1 目 次 1. 提 案 依 頼 にあたって... 3 1.1. 本 件 の 目 的... 3 2. 岩 手 県 立 大 学 ウェブサイトリニューアルの 概 要... 3 2.1. 概 要... 3 2.2. スケジュールの 目 安... 3 2.3. 契 約 期

More information

RFC4641_and_I-D2.pdf

RFC4641_and_I-D2.pdf RFC 4641 SWG 1 Appendix A. Terminology Anchored key DNSKEY hard anchor (ed) Bogus RFC 4033 5 RRSet DNSKEY RRSet Bogus 2 Appendix A. Terminology Key Signing Key KSK Key Signing Key(KSK) zone apex key set

More information

サイバー攻撃対策ソリューションのご紹介

サイバー攻撃対策ソリューションのご紹介 Prowise Business Forum サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ セキュリティソリューション 部 坂 本 篤 郎 C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 1 APT( 新 しいタイプの 攻 撃 )とは? Advanced

More information

antispam_conf_1402214.pptx

antispam_conf_1402214.pptx Agenda 送 信 ドメイン 認 証 技 術 迷 惑 メールの 動 向 SPF DKIM 送 信 ドメイン 認 証 技 術 の 利 用 DMARC 課 題 送 信 ドメイン 認 証 技 術 (1) 基 本 的 な 仕 組 み 送 り 手 は 送 信 元 を 明 確 に 表 明 (ごまかしがきかない 情 報 を 利 用 ) 受 け 手 は 送 信 元 情 報 が 正 しく 表 明 されているか 確

More information

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを 2008/9/10 2008 年 9 月 10 日開催 LPIC レベル 2 技術解説無料セミナー 日本電子専門学校 杉松秀利 sugimatsu@mail.pcmarks.jp Copyright(c) : Japan Electronics College All Rights Reserved. LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep. 2008

More information

目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22 企 業 における 情 報 セキュリティの 状 況 30 個 人 における 情 報 セキュリティの 状 況 33

目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22 企 業 における 情 報 セキュリティの 状 況 30 個 人 における 情 報 セキュリティの 状 況 33 情 報 セキュリティに 関 する 各 種 データ 2008 年 1 月 16 日 ( 水 ) 内 閣 官 房 情 報 セキュリティセンター(NISC) http://www.nisc.go.jp/ 資 料 4-2 目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22

More information

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074>

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074> 付 録 アプリケーションへの 代 表 的 攻 撃 (SQL)インジェクション データベースを 利 用 するアプリケーションに 対 して 外 部 からの 入 力 で 不 正 に データベースを 操 作 参 照 する 手 法 入 力 がSQL 以 外 のシステムのコマンド 等 として 処 理 される 場 合 に それらを 利 用 する コマンドインジェクションなども 類 似 の 攻 撃 パラメータ 改

More information

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D>

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D> EMC Documentum IRM の ご 紹 介 EMCジャパン 株 式 会 社 インフォメーションインテリジェンス 事 業 本 部 1 EMCのアプローチ(1/2) 場 所 で 制 御 する 従 来 型 方 式 にプラスし, ファイルで 制 御 する 鍵 方 式 (Documentum IRM)を 採 用 することにより さらに 堅 牢 なセキュリティシステム を 実 現 場 所 で 制 御

More information

ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所 CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中

More information

目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4 3.3. 要 求 仕 様... 6 3.4. 設 定 情 報... 6

目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4 3.3. 要 求 仕 様... 6 3.4. 設 定 情 報... 6 別 紙 4 年 金 業 務 システム 開 発 管 理 環 境 接 続 仕 様 書 平 成 28 年 8 月 厚 生 労 働 省 年 金 局 事 業 企 画 課 システム 室 目 次 1. 本 書 の 目 的... 1 2. 開 発 管 理 環 境 の 概 要... 2 2.1. 概 要... 2 3. 接 続 条 件... 3 3.1. 利 用 回 線... 3 3.2. 調 達 物 品... 4

More information

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co 情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月 本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF

More information

A2Zサーバ設定マニュアル110330.doc

A2Zサーバ設定マニュアル110330.doc 設 定 マニュ ア ル [ 2011.10.21 ] 目 次 管 理 ツール Integration-Panel へのログイン 方 法 2 DNS 設 定 手 順 3 サイト 設 定 手 順 11 メール 設 定 手 順 35 1 管 理 ツール Integration-Panel のログイン 方 法 A2Z サーバの DNS 設 定 ウェブサイト 設 定 メール 設 定 は 管 理 ツール AIntegration-

More information

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える ~IPv6 と DNS の正しい付き合い方 ~ IPv6 時代の DNS 設定を考える 2009.3.5 IPv6 Operations Forum @ Shinagawa ( 株 ) クララオンライン 白畑 真 1 自己紹介など 白畑真 ホスティング事業者にてネットワークとサーバ周りの雑用など DNS との関わり お客様のドメイン名をホスティング オーソリテイティブサーバとして動作しているサーバが多い

More information

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 公 募 型 プロポーザルに 係 る 仕 様 書 1 業 務 名 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 ( 以 下 本 業 務 という ) 2 業 務 の 目 的 世 界 遺 産 三 角 西 港 をはじめとした 宇 城 市 の 魅 力 をPRして

More information

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に < 別 添 資 料 Ⅱ>ネットワークセキュリティ 基 礎 カリキュラム 情 報 セキュリティ 全 般 の 動 向 および 必 要 な 対 策 の 基 礎 知 識 について 習 得 し ます NISMコース 体 系 全 体 の 概 要 を 学 びます また 最 新 のセキュリティ 技 術 の 概 要 を 解 説 し 専 門 コースへの 足 がかりになる ようにします 1. ネットワークセキュリティとは

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 25 年 4 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

自 己 紹 介 企 業 組 織 のネットワークにセキュリティー 機 器 を 配 置 発 生 するアラートをSOCへ 集 約 アラートをSOCが 分 析 し 必 要 に 応 じてお 客 様 へご 連 絡 対 応 を 助 言 お 客 様 ネットワーク Security Operation Center

自 己 紹 介 企 業 組 織 のネットワークにセキュリティー 機 器 を 配 置 発 生 するアラートをSOCへ 集 約 アラートをSOCが 分 析 し 必 要 に 応 じてお 客 様 へご 連 絡 対 応 を 助 言 お 客 様 ネットワーク Security Operation Center IBM Security Systems 止 まらない!ウェブ 改 ざんの 実 態 と 対 策 Tokyo SOCから 見 た ウェブ 改 ざんの 実 態 日 本 アイ ビー エム 株 式 会 社 Tokyo Security Operation Center 窪 田 豪 史 2013/8/22 1 2012 IBM Corporation 自 己 紹 介 企 業 組 織 のネットワークにセキュリティー

More information

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス / CTU 端 末 型 接 続 設 定 例 H19 年 10 月 端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス 172.25.1.1/32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス 172.25.1.2/32 172.25.1.1 172.25.1.2 192.168.24.1

More information

Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です

Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です WHITE PAPER: White Paper Android 端 末 でも 欠 かせないセキュリティ 対 策 SSL による 暗 号 化 通 信 powered by Symantec Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴ は Symantec Corporation または

More information

真のフィッシング対策について

真のフィッシング対策について フィッシング 対 策 協 議 会 平 成 19 年 度 第 2 回 技 術 制 度 検 討 ワーキンググループ 2007 年 9 月 20 日 後 日 配 布 版 正 しいフィッシング 対 策 について 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 http://staff.aist.go.jp/takagi.hiromitsu/

More information

新入社員等研修向け情報セキュリティクイズ

新入社員等研修向け情報セキュリティクイズ 新 入 社 員 等 研 修 向 け 情 報 セキュリティクイズ 一 般 社 団 法 人 JPCERTコーディネーションセンター 情 報 セキュリティクイズについて 情 報 セキュリティクイズは 業 務 でPCを 使 用 する 場 合 覚 えておく と 参 考 になるようなTipsをクイズ 形 式 で 紹 介 します クイズに 登 場 するキャラクターは セキュリイヌ といいます サーバ 管 理 から

More information

正しいフィッシング対策について

正しいフィッシング対策について フィッシング 対 策 協 議 会 平 成 19 年 度 第 2 回 技 術 制 度 検 討 ワーキンググループ 2007 年 9 月 20 日 後 日 配 布 版 対 策 の 方 向 性 正 しいフィッシング 対 策 について 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 http://staff.aist.go.jp/takagi.hiromitsu/

More information

<4D6963726F736F667420576F7264202D204550505F4944504153538343839383588367815B838B8EE88F878F91566572322E325F834983938389834383938EB88CF882A082E82E646F6378>

<4D6963726F736F667420576F7264202D204550505F4944504153538343839383588367815B838B8EE88F878F91566572322E325F834983938389834383938EB88CF882A082E82E646F6378> Enterprise Premium 電 子 証 明 書 発 行 サービス 電 子 証 明 書 インストール 手 順 書 Ver2.2 ジャパンネット 株 式 会 社 目 次 1.はじめに... 4 1.1.ご 利 用 条 件... 4 1.2. 注 意 事 項 制 限 事 項... 4 2. 実 施 手 順... 5 2.1. 電 子 証 明 書 の 取 得 手 順... 5 2.2. Windows

More information

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx マイサーバーサービス 利 用 マニュアル (VPS 共 用 サーバー 用 Web サーバー 設 定 ) マイサーバーVPS compact RIMNET http://www.rim.or.jp/support/ Members Guide Book 2010/07 はじめに 本 利 用 マニュアルでは マイサーバーVPS compactのvps 共 用 サーバー 用 の Webサーバ の 設 定

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 8 個 人 住 民 税 の 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 西 東 京 市 は 個 人 住 民 税 の 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイ ルの 取 扱

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 9 個 人 住 民 税 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 三 島 市 は 個 人 住 民 税 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあたり

More information

1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者... 3 1.3.1 運 営 体 制... 3 1.3.2 その 他 関 係 者... 4

1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者... 3 1.3.1 運 営 体 制... 3 1.3.2 その 他 関 係 者... 4 C-6-3-8 LGPKI アプリケーション 認 証 局 G3(Sub) CP/CPS 第 1.1 版 平 成 27 年 12 月 18 日 地 方 公 共 団 体 情 報 システム 機 構 1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者...

More information

コンテンツキャッシュを活用してWebサーバーの負荷を下げたい:IDCFクラウド活用マニュアル

コンテンツキャッシュを活用してWebサーバーの負荷を下げたい:IDCFクラウド活用マニュアル IDCFクラウド 活 用 マニュアル コンテンツキャッシュを 活 用 してWebサーバーの 負 荷 を 下 げたい コンテンツキャッシュを 活 用 してWebサーバーの 負 荷 を 下 げたい 目 次 (1) Webサーバー(オリジンサーバー)の 作 成 と 設 定... 3 (2) DNSの 設 定... 9 (3) コンテンツキャッシュの 設 定... 15 Column:HTTPSを 使 用

More information

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i -

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - ( 事 業 者 向 け) 1.0 版 2015 年 3 月 31 日 改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - 目 次 1. はじめに... 1 2. システム 動 作 環 境... 1 2.1. 動 作 の 条 件 注 意 事 項... 1 2.1.1. JAVA スクリプトの 設 定... 1 2.1.2.

More information

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使 . 事 業 者 が 備 えるべき マイナンバー 対 応 のポイント 平 成 2 7 年 5 月 1 5 日 JIPDEC( 一 般 財 団 法 人 日 本 情 報 経 済 社 会 推 進 協 会 ) マイナンバー 対 応 プロジェクト 室 慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ

More information