JP DNSSEC Update

重 複 をお 許 しください ができるまで 2011 年 4 月 20 日 DNSOPS.JP BoF 株 式 会 社 日 本 レジストリサービス 森 下 泰 宏 (Orange) Copyright 2011 株 式 会 社 日 本 レジストリサービス 1

本 日 の 内 容 重 複 をお 許 しください とは 生 い 立 ちと 状 況 なぜいつも 同 じ 書 き 出 しなのか? 重 複 をお 許 しください の 主 な 分 類 重 複 をお 許 しください ができるまで ケーススタディ BIND 9の 脆 弱 性 qmail/netqmailの512バイト 問 題 できるまでの 流 れ 作 るにあたり 気 を 付 けていること 実 例 紹 介 Copyright 2011 株 式 会 社 日 本 レジストリサービス 2

重 複 をお 許 しください とは 技 術 コミュニティ 系 メーリングリストに 私 がマルチポ ストの 形 式 で 出 す お 知 らせ の 書 き 出 し 初 出 は2010 年 6 月 9 日 だったようです [janog:09571] と [DNSOPS dnsops 929] DNSSECの 円 滑 導 入 と 安 定 運 用 の 実 現 のために - 考 えなければならない 対 応 と 現 実 - 公 開 のお 知 らせ 2011 年 4 月 19 日 までの 間 に 合 計 24 通 をMLに 送 信 およそ2 週 間 に1 通 程 度 の 割 合 DNSSEC 関 連 のアナウンス:15 通 BIND 9の 脆 弱 性 についての 注 意 喚 起 :5 通 Copyright 2011 株 式 会 社 日 本 レジストリサービス 3

重 複 をお 許 しください の 状 況 なぜいつも 同 じ 書 き 出 しなのか? そもそもは 過 去 のメールの 再 利 用 自 然 と 同 じ 書 き 出 しに Internet Week 2010の 会 場 にて 重 複 をお 許 しください をMLで 見 ると 緊 張 が 走 る 仕 事 が 増 えるフラグ でも 私 が 増 やしているわけではないはずです twitterにおける 最 近 の 反 応 から Copyright 2011 株 式 会 社 日 本 レジストリサービス 4

重 複 をお 許 しください の 主 な 分 類 DNSに 関 連 する 今 日 の 話 題 はこれ セキュリティホールや 不 具 合 などに 関 する 注 意 喚 起 BIND 9の 脆 弱 性 情 報 qmail/netqmailの512バイト 問 題 インターネット 全 体 に 影 響 がある 情 報 のアナウンス ルートゾーンで.jpのDSが 公 開.comのDS 公 開 にあたり ISCがアドバイザリを 公 開 技 術 文 書 公 開 のお 知 らせ JP DPSの 公 開 DNSSEC 関 連 RFCの 翻 訳 の 公 開 Copyright 2011 株 式 会 社 日 本 レジストリサービス 5

ケーススタディ:BIND 9の 脆 弱 性 ISCからの Advance Security Notification(ASN) が 重 要 な 情 報 源 セキュリティアドバイザリを 先 行 して 通 知 BIND and DNS support services の 一 環 詳 細 はhttps://www.isc.org/services/support/bindを 参 照 JPRSはBIND Forumメンバー(Premium Service) 一 般 へのアナウンスはASNから 一 定 期 間 経 過 後 ただし 2009 年 7 月 のDynamic Updateに 関 する 実 装 上 の 脆 弱 性 ( 通 称 :BINDコロリ)では ASNから 間 をおかずに 一 般 にもアナウンスされた 既 にExploitコードが 広 く 公 開 されていたため Copyright 2011 株 式 会 社 日 本 レジストリサービス 6

1ASNのラフ 分 析 行 動 是 非 の 判 断 1) ASNを 分 析 (1) 重 要 な3つの 要 素 危 険 度 (Severity: Exploitable:) 対 象 (Versions affected:) 既 にExploitがあるか(Active exploits:) 2) 出 すかどうかを 判 断 上 記 情 報 により 重 複 をお 許 しください を 出 すべきかどう かを 判 断 する Severity: High Exploitable: remotely となっていた 場 合 ( 私 の) 気 分 がブルーになる Copyright 2011 株 式 会 社 日 本 レジストリサービス 7

2ASNの 詳 細 分 析 文 案 作 成 3) ASNを 分 析 (2) 詳 細 を 分 析 する 何 の 不 具 合 か( 実 装 上 プロトコル 上 構 造 上 etc.) できてしまうことは 何 か(BINDを 落 とせる 本 来 入 れられない 嘘 の 応 答 を 入 れられる DNSSEC 検 証 をパスできる etc.) 何 をすればよいのか(Workarounds: Solution:) 4) 文 章 の 素 案 を 作 成 タイトルを 決 める ( 緊 急 ) の 有 無 推 奨 度 ~を( 強 く) 推 奨 など 構 成 を 決 める 基 本 的 にはテンプレートで 概 要 詳 細 対 策 オリジナル 情 報 へのリンク 必 要 に 応 じ 項 目 を 適 宜 追 加 ( 背 景 など) Copyright 2011 株 式 会 社 日 本 レジストリサービス 8

3 文 書 作 成 とレビュー 追 試 5) 文 章 の 中 身 を 作 成 文 書 の 作 成 とレビュー テクニカルレビュー( 書 いてあることが 正 しいか) 広 報 的 レビュー(わかりやすいか 誤 解 を 生 まないか) 6) 動 作 の 確 認 ( 追 試 ) 書 いてあることが 実 際 に 起 こるかどうか 重 要 な 事 項 (かつてのBINDコロリなど)では 特 に 注 意 して 実 施 実 際 には3)~6)は 並 列 的 に 実 施 される Copyright 2011 株 式 会 社 日 本 レジストリサービス 9

4アナウンス アフターフォロー 7) アナウンス ISCのWebを 定 期 的 にチェックし 文 書 の 公 開 を 確 認 CVEやCERTのWebについても 適 宜 確 認 JPRS Webの 更 新 MLへの 送 信 ( 重 複 をお 許 しください ) 8) アフターフォロー 情 報 の 広 まり 具 合 と 対 応 状 況 のチェック 重 要 な2つのメディア:twitter セキュリティホールmemo 検 索 エンジンの 状 況 ( 掲 載 状 況 検 索 順 位 の 変 化 など) 各 種 ブログやメディア 等 における 掲 載 状 況 各 サイトにおける 対 応 状 況 問 い 合 わせ 対 応 Copyright 2011 株 式 会 社 日 本 レジストリサービス 10

作 るにあたり 気 を 付 けていること 概 要 を 読 むだけで 以 下 のことがわかるようにする 対 象 何 の 不 具 合 か どういうことができてしまうのか 情 報 源 危 険 性 どうする 必 要 があるのか 対 策 には 必 要 な 対 策 について 簡 潔 に 記 述 する かつ 一 時 的 回 避 策 と 根 本 的 解 決 策 を 明 確 に 区 別 する 詳 細 は 興 味 を 持 った 人 が 技 術 的 詳 細 や 実 際 に できることの 詳 細 を 知 りたいために 読 む 場 所 にする 詳 細 を 読 まなくても 必 要 な 対 応 ができるようにする 例 外 条 件 (この 場 合 は 影 響 なし)がある 場 合 ここに 記 述 情 報 源 や 必 要 なパッチへのリンクを 掲 載 する 情 報 のソースと 必 要 な 情 報 に 到 達 できるようにする Copyright 2011 株 式 会 社 日 本 レジストリサービス 11

実 例 :2011 年 2 月 23 日 発 表 概 要 9.7.2-P2 以 前 のBIND 9には DNSSEC 署 名 された 否 定 応 答 を 受 信 した 際 のキャッシュ 済 み RRSIGレコードの 取 り 扱 いに 不 具 合 があり リモー トからのサービス 不 能 (DoS) 攻 撃 が 可 能 になる 脆 弱 性 が 存 在 することが 開 発 元 のISCより 発 表 され ました 本 脆 弱 性 は 危 険 度 が 高 いため 該 当 する BIND 9を 利 用 しているユーザは 関 連 情 報 の 収 集 や 緊 急 パッチの 適 用 等 適 切 な 対 応 を 取 ることを 強 く 推 奨 します Copyright 2011 株 式 会 社 日 本 レジストリサービス 12

実 例 :2011 年 2 月 23 日 発 表 対 象 何 の 概 要 9.7.2-P2 以 前 のBIND 9には DNSSEC 署 不 具 合 か 名 された 否 定 応 答 を 受 信 した 際 のキャッシュ どういうことが 済 み できてしまうのか RRSIGレコードの 取 り 扱 いに 情 不 報 源 具 合 があり リモー トからのサービス 不 能 (DoS) 攻 撃 が 可 能 になる 脆 危 険 性 弱 性 が 存 在 することが 開 発 元 のISCより 発 表 され ました 本 脆 弱 性 は 危 険 度 が 高 いため 該 当 する BIND 9を 利 用 しているユーザは 関 連 情 報 の 収 集 や 緊 急 パッチの 適 用 等 適 切 な 対 応 を 取 ることを 強 く 推 奨 します どうする 必 要 があるのか Copyright 2011 株 式 会 社 日 本 レジストリサービス 13

ケーススタディ:qmailの512バイト 問 題 基 本 的 な 考 え 方 はBIND 9の 脆 弱 性 の 例 と 同 じ 開 発 元 の 公 式 発 表 を 受 けたものではないため どこ が 発 表 したのか( 情 報 源 ) の 項 目 がない JPRSが 発 表 した ということになる そのため 問 題 の 概 要 の 前 に 背 景 を 記 載 問 題 の 概 要 について 説 明 する 前 に どのような 動 作 が 技 術 的 に 正 しくかつ 望 ましいのか を 明 確 にしておく 必 要 があるため 技 術 的 な 背 景 と 望 ましい 動 作 について 記 述 あくまで 技 術 的 中 立 的 に 記 述 仕 様 や 望 ましい 動 作 について 記 述 する 場 合 その 根 拠 を 明 確 に Copyright 2011 株 式 会 社 日 本 レジストリサービス 14

実 例 :2011 年 3 月 3 日 発 表 背 景 そのうち TCPの 使 用 は 従 来 からあるDNSの 基 本 機 能 の 一 つであり インターネットに 接 続 するホストが 満 たす べき 要 件 を 定 めたRFC 1123では DNSにおけるTCPの 使 用 を サポートすべき(SHOULD support) と 定 めています そして TCPを 使 用 することでDNSでは65,535バイトまでの DNS 応 答 を 取 り 扱 うことができ これがDNSの 仕 様 において サポートされるDNS 応 答 の 最 大 サイズとなります ただし DNSの 仕 様 では 負 荷 軽 減 の 観 点 から 通 信 時 には UDPを 最 初 に 使 用 し TCPの 使 用 は 応 答 の 大 きさが512バ イトを 超 え 応 答 パケットの 切 り 詰 めが 発 生 した 場 合 のみと することを 定 めています そのため DNS 応 答 の 大 きさが 512バイトを 超 えない 場 合 ゾーン 転 送 以 外 の 通 常 のDNS 運 用 でTCPが 使 用 されることはありません Copyright 2011 株 式 会 社 日 本 レジストリサービス 15

実 例 :2011 年 3 月 3 日 発 表 根 拠 1-1 背 景 そのうち TCPの 使 用 は 従 来 からあるDNSの 基 本 機 能 の 一 つであり インターネットに 接 続 するホストが 根 満 拠 たす 1-2 べき 要 件 を 定 めたRFC 1123では DNSにおけるTCPの (RFC 1035 使 用 根 拠 を サポートすべき(SHOULD を 明 確 に 示 してなかった! support) と 定 めています そして TCPを ( 減 点 使 1) 用 することでDNSでは65,535バイトまでの DNS 応 答 を 取 り 扱 うことができ これがDNSの 仕 様 において サポートされるDNS 応 答 の 最 大 サイズとなります 事 実 1 4.2.2. TCP usage) 根 拠 2 ただし DNSの 仕 様 では 負 荷 軽 減 の 観 点 から 通 信 時 には UDPを 最 初 に 使 用 し TCPの 使 用 は 応 答 の 大 きさが512バ イトを 超 え 応 答 パケットの 切 り 詰 めが 発 生 した 場 合 のみと することを 定 めています そのため DNS 応 答 の 大 きさが 512バイトを 超 えない 場 合 ゾーン 転 送 以 外 の 通 常 のDNS 運 用 でTCPが 使 用 されることはありません 事 実 2 Copyright 2011 株 式 会 社 日 本 レジストリサービス 16

最 後 に まとめのようなもの 今 後 も 必 要 に 応 じてできるだけ 迅 速 に 重 複 をお 許 しください を 出 す 予 定 です お 騒 がせいたしますが よろしくお 願 いします 文 書 作 成 技 術 や 広 報 技 術 に 関 するさまざまなノウハウを 蓄 積 共 有 していければいいなと 思 っています 繰 り 返 しますが 私 が 仕 事 を 増 やしてるわけではないはずです メールが 来 ても 不 機 嫌 にならないでください たんたんと 必 要 な 対 応 をお 願 いいたします でも 朝 会 社 に 来 た 時 に げげ まじかよ となるメールは やっぱりつらいのかも ISCからの 不 幸 のメールを 受 け 取 った 時 の 私 を 思 うと やはり 私 も 不 幸 のメールを 出 しているのかもしれません Copyright 2011 株 式 会 社 日 本 レジストリサービス 17

おまけ:qmailの 件 がなぜいまいちなのか 6つの まずいところ 1. 送 り 側 が 何 年 も 設 定 を 変 えてないのにおかしくなる 送 れないのは 自 分 のせいだという 認 識 が 薄 い 2. 受 け 側 がDNSSECを 入 れた 所 だけがおかしくなる やっぱり 相 手 が 設 定 を 間 違 えたに 違 いないと 思 われる 3. いわゆる 簡 単 パッケージ に 組 み 込 まれている 場 合 がある そもそも 自 分 がqmailのユーザーだとは 思 っていない 4. SMTPセッションが 張 られる 前 にこける 受 け 側 でエラーが 起 こっていることがわからない 5. エラーメッセージからは 真 の 原 因 がわかりにくい deferral: CNAME_lookup_failed_temporarily._(#4.4.3) 6. デフォルトでは1 週 間 後 に 初 めてエラーメールが 戻 る 受 け 側 でのDNSSEC 導 入 後 しばらくは 発 覚 しない Copyright 2011 株 式 会 社 日 本 レジストリサービス 18

Q and A Copyright 2011 株 式 会 社 日 本 レジストリサービス 19