ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

Size: px

Start display at page:

Download "ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明"

こうごますはら
5 years ago
Views:

1 Internet Week 2014 DNS のセキュリティブロードバンドルータにおける問題 ( オープンリゾルバ ) の解説対策の説明 2014 年 11 月 20 日 NECプラットフォームズ株式会社開発事業本部アクセスデバイス開発事業部川島正伸 Internet Week 2014 T7 DNS のセキュリティ

2 目次世間が注目!? 家庭用ルータが引き起こすネット障害ブロードバンドルータにおけるDNSプロキシ機能とは? DNSプロキシ機能の必要性オープンリゾルバ問題オープンリゾルバによるDNSリフレクター攻撃オープンリゾルバによるDNS 水責め攻撃なぜオープンリゾルバになってしまうのか? 対策方法課題ブロードバンドルータとDNSのセキュリティに関連する話 Page 2 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

3 はじめにブロードバンドルータにおける DNS 実装は各社により多様でありまた同一ベンダ内であっても機種やバージョンによって仕様が異なるケースもある為本資料では近年の一般的な状況について説明していますまた通信事業者の提供しているホームゲートウェイ等は各社の考え方個別事情を反映した仕様になっているケースが多い為本資料のスコープ外としています Page 3 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

4 世間が注目!? 家庭用ルータが引き起こすネット障害 Cloudflare のプレゼン The curse of the Open Recursor 日本がオープンリゾルバ数でアジアワースト 1 になっているブロードバンドルータによる影響も確認された [ 2013/02/26 APRICOT 2013 ] JPNIC, JPRS, JPCERT/CC からオープンリゾルバに関する注意喚起 [ 2013/04/18 ] 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 JVN# [ 2013/09/19 JVN(Japan Vulnerability Notes) ] 2400 万台の家庭用ルーターが DNS ベースの DDoS 攻撃に悪用可能 Nominum 調査 [ 2014/04/04 Internet Watch ] 日本国内のオープンリゾルバを踏み台とした DDoS 攻撃発生に起因すると考えられるパケットの増加について [ 2014/07/23 警察庁 Cyber police ] ルータ攻撃ネット障害 480 万世帯に影響 [ 2014/08/02 読売新聞朝刊 ] Page 4 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

ブロードバンドルータにおける DNS プロキシ機能とは? DNS Server 192.

アドレスを DNS サーバアドレスとしてホストに通知する ( ISP のキャッシュ DNS サーバアドレス ) IP

168.1.254 エンドユーザ DHCP DNS Reply.1.254 DNS Query DNS プロキシ機能 DNS Query 192.

ホストからはルータが DNS サーバにみえる名前解決依頼応答を中継する DNS プロキシ ( フォワーダ )

5 ブロードバンドルータにおける DNS プロキシ機能とは? DNS Server DNS Reply The Internet 一般的に DHCP を使用してルータの LAN 側 IP アドレスを DNS サーバアドレスとしてホストに通知する ( ISP のキャッシュ DNS サーバアドレス ) IP Address : Subnet Mask : DNS Server : エンドユーザ DHCP DNS Reply DNS Query DNS プロキシ機能 DNS Query / 24 ホストの DNS 問合せ先はルータの LAN 側 IP アドレス宛となるつまりホストからはルータが DNS サーバにみえる名前解決依頼応答を中継する DNS プロキシ ( フォワーダ ) として動作 Page 5 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

6 DNS プロキシ機能の必要性 WAN 側の Internet 接続が確立する前に ( もしくは WAN 側状態によらず ) LAN 側のホストに DNS サーバアドレスを通知することで Web-GUI( ユーザインタフェース ) へのアクセスが可能専用の FQDN を使用してアクセスすることでユーザの利便性サポート容易性を考慮 IP アドレス直打ちよりもわかりやすく一般ユーザには敷居が低い IPv6 アドレスの場合直打ちは困難 fe80::1 などとしてもユーザにはなんだかサッパリわからない複数の接続先が存在する場合における DNS サーバ選択問題回避インターネット接続とフレッツ網接続など DNS の管理ドメインが異なる複数の接続先がある場合 DNS プロキシ機能が適切な DNS サーバへ問合せを行う DNS プロキシ機能を提供しなかった場合ホスト側で適切な DNS サーバを選択できない問題がある Page 6 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

7 オープンリゾルバ問題悪意のある第三者 DNS Query The Internet 想定外の通信 DNS Reply DNS プロキシ機能 DNS Reply エンドユーザ DNS Query DNS プロキシ機能として想定している通信 DNS プロキシ機能の意図に反して WAN 側からの DNS Query に応答してしまう問題 Page 7 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

8 オープンリゾルバによる DNS リフレクター攻撃 DNS Reflector Attacks Botnet オープンリゾルバ 4 詐称された IP アドレスに大量パケット送信攻撃対象のサーバ悪意のある第三者 1Botnet に指令 2 送信元を詐称した DNS Query を送信 ISP のキャッシュ DNS サーバオープンリゾルバのリスト 3 応答サイズが大きい DNS Reply を送信アドレス詐称および DNS 応答が大きくなるような Query を送信して攻撃対象を狙う DoS 攻撃 Page 8 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

9 オープンリゾルバによる DNS 水責め攻撃 DNS Water Torture Attacks Botnet オープンリゾルバ攻撃対象ドメインの権威 DNS サーバ悪意のある第三者 1Botnet に指令 2 攻撃対象ドメインのランダムなサブドメインに対する DNS Query を送信 ISP のキャッシュ DNS サーバオープンリゾルバのリスト 3 キャッシュに存在しない為権威 DNS サーバに問合せ攻撃対象ドメインに存在しないランダムなサブドメインに対する Query を送信する DoS 攻撃 Page 9 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

10 なぜオープンリゾルバになってしまうのか? そもそもなぜブロードバンドルータがオープンリゾルバになってしまうの? PPPoE 接続で NAT 利用しているような一般的な使い方をしているケースではオープンリゾルバにはなりませんではどんな条件下で発生するの? エンドユーザが設定変更により WAN 側からの DNS 要求に応答するように意図的に設定しているケース製品の動作条件や設定内容と ISP との接続方式との組合せ条件によりオープンリゾルバとなってしまうことがあるいち早く発生条件を特定した上で対策方法の迅速な提供が必要 Page 10 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

11 対策方法適切なアクセスコントロールの実施 ( ベンダ / エンドユーザ双方で実施可 ) WAN 側からの DNS 問合せに応答しないブロードバンドルータでは基本的に LAN 側からの DNS 問合せに応答すれば DNS プロキシ機能として必要十分である送信元検証 (Source Address Validation) の実施 ( ベンダ / エンドユーザ双方で実施可 ) 詐称された送信元 IP アドレスによる通信を許可しない RFC2827[BCP38] Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing の適用上記対策の施された最新ファームウェアを提供 ( ベンダとしての根本対策 ) Page 11 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

12 課題ベンダが対策済ファームウェアを提供しただけでは対策にならない実際にエンドユーザが対策済ファームウェアを適用するまで問題は未解決ファームウェアのオンラインバージョンアップ機能を使って対策ファームウェアを適用できるケースもあるがユーザの設定内容に依存古い機種オンラインバージョンアップ機能を設定していないケースではベンダだけでは対処できないメディアや業界コミュニティと連携してユーザ啓蒙活動も必要? オープンリゾルバ確認サイトでの確認など攻撃の深刻度によっては ISP や通信事業者とベンダとが情報共有を行いつつ IP53B(Inbound Port 53 Blocking) の適用も視野に Page 12 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

13 ブロードバンドルータと DNS のセキュリティに関連する話 DNS プロキシ機能におけるキャッシュの必要性キャッシュヒットによるレスポンスタイム短縮が近年の高速回線化により大きなメリットにならないカミンスキー攻撃に代表されるキャッシュポイズニング攻撃の対策などに追従していくのは得策ではない ( 労多くして功少なし ) 名前衝突 (Name Collision) 問題への対処新 gtld の委任開始に伴い衝突ドメインにおけるサービス利用不可や情報漏えいのリスクがある為衝突リスクのあるドメインを使用せず正式にドメインを取得するなどの対応が求められる Page 13 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

14 最後に DNS は複数の構成要素から成り立っているシステムでありベンダだけでセキュリティ対策できるものではないベンダは ISP や通信事業者との連携はもちろんのこと業界コミュニティを通じた情報共有議論を積極的に行うことで DNS のセキュリティ維持や品質向上に努めるべきである Page 14 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

DDoS攻撃について

DDoS攻撃について DDoS 攻撃について 2016 年 3 月 1 日株式会社グローバルネットコア金子康行目次 DDoS 攻撃とは DDoS 攻撃が成立する背景 DDoS 攻撃の目的 DDoS 攻撃の状況 DDoS 攻撃の防御手法私たちはどうすればいいのか 2 DDoS 攻撃とは Denial of Service Attack サービス不能攻撃