ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

Similar documents
DDoS攻撃について

キャッシュポイズニング攻撃対策

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

janog315-openresolver-5.pptx

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

conf_example_260V2_inet_snat.pdf

HomeGatewayにまつわるDNS話あれこれ

HGWとかアダプタとか

Microsoft PowerPoint - DNSSECとは.ppt

Managed Firewall NATユースケース

MPサーバ設置構成例

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

本資料について

ケーブルインターネットのIPv6対応

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-DPS-162 No.19 Vol.2015-CSEC-68 No /3/5 経路変更を用いた分散フィルタリングによる DNS amp 攻撃への対策手法の提案 桂井友輝 1 中村嘉隆 2 高橋修

IPMATE1600RD.book

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

ネットワーク入門 データ届くためには2 練習問題

Zone Poisoning

アマチュア無線のデジタル通信

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

金融工学ガイダンス

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Microsoft PowerPoint - IW2011_D2_Kawashimam_Presen [互換モード]

PowerPoint Presentation

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

IPアドレス・ドメイン名資源管理の基礎知識

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

ICT-ISACにおけるIoTセキュリティの取組について

SOC Report

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

untitled

プロバイダの接続機器と悪質サイトブロック対応ルータの接続方法 ネットスター株式会社

第5回 マインクラフト・プログラミング入門

PowerPoint プレゼンテーション

Sample 5

目 次 はじめに... 3 間 接 接 続 環 境 かどうかの 判 断... 3 前 提 となる 回 線 構 成 PC-A1 の 仮 想 ハブ 設 定 PC-A1 の 仮 想 ネットワークアダプタを 仮 想 ハブに 接 続 する ブロードバンドルータの 静

PowerPoint プレゼンテーション

新 gtld の大量追加 これまで.com,.net,.org,.biz,.info, 2013 年 ~.xyz,.berlin,.club,.guru,.photography,. ,.xn--3ds443g,.link,.today,.tips,.company,.solutions,.

_mokuji_2nd.indd

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

SOC Report

情報通信の基礎

2

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

付録

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

ND-22846(J)

目次 はじめに KDDIのIPv6への取り組み auひかりのipv6 World IPv6 Dayに起きたこと World IPv6 Dayのその後 1

インターネットVPN_IPoE_IPv6_fqdn

スライド タイトルなし

学生実験

DNSの負荷分散とキャッシュの有効性に関する予備的検討

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

VoIP-TA 取扱説明書 追加・修正についての説明資料

内容 1 本書の目的 用語 WiMAX WiMAX LTE WiMAX2+ サービス WiMAX サービス WiMAX2+ デバイス ノーリミットモード

初めてのBFD

1セットアップをはじめる前に1 セットアップをはじめる前に 1 ご用意いただくもの 機器 本製品 ( 本体 スタンド 電源アダプタ ) 付属のLANケーブル ( 紫 1 橙 1) パソコン NTT 東日本 NTT 西日本から提供されたフレッツ光接続機器 NTT 東日本 NTT 西日本のご案内にしたが

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

Mobile IPの概要

PowerPoint プレゼンテーション

セキュアなDNS運用のために

共に 併せて 各対象者別 ( の対策等を記した )Web サイト等も準備しましたの で 社内等で本件の共有および対策を行っていただきたくお願いいたします 新 gtld 大量導入に伴う名前衝突 (Name Collision) 問題とその対策に ついて 報告書 (PDF 2,84MB)

TinyVPN とブリッジ接続機能による LAN 統合方法 PU-M TinyVPN とブリッジ接続機能による LAN の統合方法 Version 1.7 シモウサ システムズ (C) Shimousa Systems Corporation. All righ

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

クラスタ構築手順書

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

スライド 1

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

中継サーバを用いたセキュアな遠隔支援システム

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

IPsec徹底入門

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

Microsoft Word - ManagerIPChange.doc

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

起動する 起動方法は ご使用の OS により異なります 同一ネットワーク内で 本ソフトを複数台のパソコンから起動すると 本ソフト対応の LAN DISK にアクセスが集中し エラーとなる場合があります [ スタート ] メニュー [( すべての ) プログラム ] [I-O DATA] [LAN D

目次 1. 概要 問題点 DDoS 攻撃事例から見る脅威 海外の事例 国内の事例 脅威のメカニズム UDP パケットの送信元詐称を用いた DDoS 攻撃

Microsoft PowerPoint 版_Root_JPの状況.ppt

エンドユーザーコンピューティングⅠ

tesu10-014_•ÊŽ†‚P_ŁÚ‘±Ł}

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

0 NGN における当社利用部門サービスと網機能の対応関係及び各サービスのインタフェース条件等について 平成 2 8 年 1 1 月 3 0 日東日本電信電話株式会社西日本電信電話株式会社

Mobile Access簡易設定ガイド

大規模災害時における、DNSサービスの継続性確保のために

Fujitsu Standard Tool

目次 1. ISP の考えるプラットフォーム機能 2.ISP とキャリアの通信プラットフォームの連携 3.ISP と NGN との連携による新たなサービス 2

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

未熟なDNSと今後どう付き合うべきか―委任/移転通知インジェクションとDNS水責め攻撃を題材として考える

スマホ利用型ビジネスフォン 簡易設定マニュアル

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

Transcription:

Internet Week 2014 DNS のセキュリティブロードバンドルータにおける問題 ( オープンリゾルバ ) の解説 対策の説明 2014 年 11 月 20 日 NECプラットフォームズ株式会社開発事業本部アクセスデバイス開発事業部 川島正伸 Internet Week 2014 T7 DNS のセキュリティ

目次 世間が注目!? 家庭用ルータが引き起こすネット障害 ブロードバンドルータにおけるDNSプロキシ機能とは? DNSプロキシ機能の必要性 オープンリゾルバ問題 オープンリゾルバによるDNSリフレクター攻撃 オープンリゾルバによるDNS 水責め攻撃 なぜオープンリゾルバになってしまうのか? 対策方法 課題 ブロードバンドルータとDNSのセキュリティに関連する話 Page 2 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

はじめに ブロードバンドルータにおける DNS 実装は各社により多様であり また同一ベンダ内であっても機種やバージョンによって仕様が異なるケースもある為 本資料では近年の一般的な状況について説明しています また 通信事業者の提供しているホームゲートウェイ等は各社の考え方 個別事情を反映した仕様になっているケースが多い為 本資料のスコープ外としています Page 3 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

世間が注目!? 家庭用ルータが引き起こすネット障害 Cloudflare のプレゼン The curse of the Open Recursor 日本がオープンリゾルバ数で アジアワースト 1 になっている ブロードバンドルータによる影響も確認された [ 2013/02/26 APRICOT 2013 ] JPNIC, JPRS, JPCERT/CC からオープンリゾルバに関する注意喚起 [ 2013/04/18 ] 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 JVN#62507275 [ 2013/09/19 JVN(Japan Vulnerability Notes) ] 2400 万台の家庭用ルーターが DNS ベースの DDoS 攻撃に悪用可能 Nominum 調査 [ 2014/04/04 Internet Watch ] 日本国内のオープン リゾルバを踏み台とした DDoS 攻撃発生に起因すると考えられるパケットの増加について [ 2014/07/23 警察庁 Cyber police ] ルータ攻撃ネット障害 480 万世帯に影響 [ 2014/08/02 読売新聞朝刊 ] Page 4 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

ブロードバンドルータにおける DNS プロキシ機能とは? DNS Server 192.0.2.1 DNS Reply The Internet 一般的に DHCP を使用してルータの LAN 側 IP アドレスを DNS サーバアドレスとしてホストに通知する ( ISP のキャッシュ DNS サーバアドレス ) IP Address : 192.168.1.1 Subnet Mask : 255.255.255.0 DNS Server : 192.168.1.254 エンドユーザ DHCP DNS Reply.1.254 DNS Query DNS プロキシ機能 DNS Query 192.168.1.0 / 24 ホストの DNS 問合せ先は ルータの LAN 側 IP アドレス宛となる つまり ホストからはルータが DNS サーバにみえる 名前解決依頼 応答を中継する DNS プロキシ ( フォワーダ ) として動作 Page 5 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

DNS プロキシ機能の必要性 WAN 側の Internet 接続が確立する前に ( もしくは WAN 側状態によらず ) LAN 側のホストに DNS サーバアドレスを通知することで Web-GUI( ユーザインタフェース ) へのアクセスが可能 専用の FQDN を使用してアクセスすることで ユーザの利便性 サポート容易性を考慮 IP アドレス直打ちよりもわかりやすく 一般ユーザには敷居が低い IPv6 アドレスの場合 直打ちは困難 fe80::1 などとしてもユーザにはなんだかサッパリわからない 複数の接続先が存在する場合における DNS サーバ選択問題回避 インターネット接続とフレッツ網接続など DNS の管理ドメインが異なる複数の接続先がある場合 DNS プロキシ機能が適切な DNS サーバへ問合せを行う DNS プロキシ機能を提供しなかった場合 ホスト側で適切な DNS サーバを選択できない問題がある Page 6 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

オープンリゾルバ問題 悪意のある第三者 DNS Query The Internet 想定外の通信 DNS Reply DNS プロキシ機能 DNS Reply エンドユーザ DNS Query DNS プロキシ機能として想定している通信 DNS プロキシ機能の意図に反して WAN 側からの DNS Query に応答してしまう問題 Page 7 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

オープンリゾルバによる DNS リフレクター攻撃 DNS Reflector Attacks Botnet オープンリゾルバ 4 詐称された IP アドレスに大量パケット送信 攻撃対象のサーバ 悪意のある第三者 1Botnet に指令 2 送信元を詐称した DNS Query を送信 ISP のキャッシュ DNS サーバ オープンリゾルバのリスト 3 応答サイズが大きい DNS Reply を送信 アドレス詐称および DNS 応答が大きくなるような Query を送信して攻撃対象を狙う DoS 攻撃 Page 8 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

オープンリゾルバによる DNS 水責め攻撃 DNS Water Torture Attacks Botnet オープンリゾルバ 攻撃対象ドメインの権威 DNS サーバ 悪意のある第三者 1Botnet に指令 2 攻撃対象ドメインのランダムなサブドメインに対する DNS Query を送信 ISP のキャッシュ DNS サーバ オープンリゾルバのリスト 3 キャッシュに存在しない為権威 DNS サーバに問合せ 攻撃対象ドメインに存在しないランダムなサブドメインに対する Query を送信する DoS 攻撃 Page 9 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

なぜオープンリゾルバになってしまうのか? そもそも なぜブロードバンドルータがオープンリゾルバになってしまうの? PPPoE 接続で NAT 利用しているような一般的な使い方をしているケースでは オープンリゾルバにはなりません では どんな条件下で発生するの? エンドユーザが設定変更により WAN 側からの DNS 要求に応答するように意図的に設定しているケース 製品の動作条件や設定内容と ISP との接続方式との組合せ条件により オープンリゾルバとなってしまうことがある いち早く発生条件を特定した上で 対策方法の迅速な提供が必要 Page 10 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

対策方法 適切なアクセスコントロールの実施 ( ベンダ / エンドユーザ双方で実施可 ) WAN 側からの DNS 問合せに応答しない ブロードバンドルータでは基本的に LAN 側からの DNS 問合せに応答すれば DNS プロキシ機能として必要十分である 送信元検証 (Source Address Validation) の実施 ( ベンダ / エンドユーザ双方で実施可 ) 詐称された送信元 IP アドレスによる通信を許可しない RFC2827[BCP38] Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing の適用 上記対策の施された最新ファームウェアを提供 ( ベンダとしての根本対策 ) Page 11 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

課題 ベンダが対策済ファームウェアを提供しただけでは対策にならない 実際にエンドユーザが対策済ファームウェアを適用するまで問題は未解決 ファームウェアのオンラインバージョンアップ機能を使って対策ファームウェアを適用できるケースもあるが ユーザの設定内容に依存 古い機種 オンラインバージョンアップ機能を設定していないケースではベンダだけでは対処できない メディアや業界コミュニティと連携してユーザ啓蒙活動も必要? オープンリゾルバ確認サイトでの確認など 攻撃の深刻度によっては ISP や通信事業者とベンダとが情報共有を行いつつ IP53B(Inbound Port 53 Blocking) の適用も視野に Page 12 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

ブロードバンドルータと DNS のセキュリティに関連する話 DNS プロキシ機能におけるキャッシュの必要性 キャッシュヒットによるレスポンスタイム短縮が近年の高速回線化により 大きなメリットにならない カミンスキー攻撃に代表されるキャッシュポイズニング攻撃の対策などに追従していくのは得策ではない ( 労多くして功少なし ) 名前衝突 (Name Collision) 問題への対処 新 gtld の委任開始に伴い 衝突ドメインにおけるサービス利用不可や情報漏えいのリスクがある為 衝突リスクのあるドメインを使用せず 正式にドメインを取得するなどの対応が求められる Page 13 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

最後に DNS は複数の構成要素から成り立っているシステムであり ベンダだけでセキュリティ対策できるものではない ベンダは ISP や通信事業者との連携はもちろんのこと 業界コミュニティを通じた情報共有 議論を積極的に行うことで DNS のセキュリティ維持や品質向上に努めるべきである Page 14 NEC Corporation 2014 Internet Week 2014 T7 DNS のセキュリティ

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック