DNSキャッシュポイズニング対策

Similar documents

「DNSキャッシュポイズニング対策」スライド部分の抜粋

キャッシュポイズニング攻撃対策

4 参加資格要件本提案への参加予定者は以下の条件を全て満たすこと 1 地方自治法施行令 ( 昭和 22 年政令第 16 号 ) 第 167 条の4 第 1 項各号の規定に該当しない者であること 2 会社

端末型払い出しの場合接続構成図フレッツグループから払出されたIPアドレス /32 NTT 西日本地域 IP 網フレッツグループフレッツグループから払出されたIPアドレス /

<4D F736F F D F4390B3208A948C E7189BB8CE F F8C668DDA97702E646F63>

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

2 出願資格審査前記 1の出願資格 (5) 又は(6) により出願を希望する者には, 出願に先立ち出願資格審査を行いますので, 次の書類を以下の期間に岡山大学大学院自然科学研究科等

・モニター広告運営事業仕様書

文化政策情報システムの運用等

社会保険等に加入しましょう　－みんなで取り組む保険加入－

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

目次 1. 積算内訳書に関する留意事項 1 ページ 2. 積算内訳書のダウンロード 3 ページ 3. 積算内訳書の作成 (Excel 2003の場合 ) 6 ページ 4. 積算内訳書の作成 (Excel 2007の場合 ) 13

一般競争入札について

ていることからそれに先行する形で下請業者についても対策を講じることとしました本県としましてはそれまでの間に未加入の建設業者に加入していただきますよう 28 年 4 月から実施することとしました問 6 公共工事の

2. 事務連絡者用メニュー (1) 登録変更申請委員会メンバーメンバー個人情報企業情報の変更および JIRA 会員を退会する場合このメニューから各種申請を行います申請後変更内容を JIRA 事務

<4D F736F F D F93878CA797708F4390B3816A819A95CA8B4C976C8EAE91E682538B4C8DDA97E12E646F6378>

理化学研究所の役職員への兼業（兼職）依頼について

Microsoft Word - 【事務連絡】居所情報の登録申請が間に合わなかった場合の取扱いの周知について.docx

別紙第号高知県立学校授業料等徴収条例の一部を改正する条例議案高知県立学校授業料等徴収条例の一部を改正する条例を次のように定める平成 26 年 2 月日提出高知県知事尾

この章では電子入札システムをご利用いただくための事前準備について説明します事前準備として ID 初期パスワードの確認初期パスワード初期見積用暗証番号の変更 IC カード登録またはICカード更新を行っ

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

Microsoft Word - 目次.doc

PowerPoint プレゼンテーション

住宅改修の手引き（初版）

あいち電子調達共同システム

事前チェック提出用現況報告書作成ツール入力マニュアル(法人用)

東京事務所ＢＣＰ【実施要領】溶け込み版

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

Microsoft PowerPoint - 報告書(概要).ppt

CENTNET 導入の手引き変更履歴 No. 変更日変更番号変更枚数備考 /07/ 版発行 - システムリプレースにより全面刷新 //07/ 版発行 3 誤字等の修正 /

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

「給与・年金の方」からの確定申告書作成編

Transcription:

DNS キャッシュポイズニング対策 ~DNSの役割と関連ツールの使い方 ~ 1. DNSキャッシュポイズニング 2. DNSの動作と関連ツール 3. 検査ツールの使い方と注意点 4. 再帰動作の設定 2009 年 8 月独立行政法人情報処理推進機構セキュリティセンター 0

1. DNSキャッシュポイズニング 1.1 DNSの仕組み 1.2 DNSキャッシュポイズニング DNS(Domain Name System)とは DNSはホスト名 ( 例 :www.ipa.go.jp)とipアドレス( 例 :202.229.63.242)とを紐付ける情報を提供します Webサーバへのアクセスやメール送受信などインターネット上の多くのアプリケーションはDNSを前提としていることから DNSはインターネットの基盤サービスとも言われています DNSキャッシュポイズニングとは DNSキャッシュポイズニングは DNSサービスを提供している(DNS)に偽の情報を覚えこませる攻撃手法です攻撃が成功すると DNSは覚えた偽の情報を提供してしまうことになりますこのためユーザは正しいホスト名 ( 例 :www.ipa.go.jp)のwebに接続しているつもりでも提供された偽の情報により攻撃者が罠をはったWebに誘導されてしまうことになりますこのような危険性から身を守るためにも DNSとDNSキャッシュポイズニングの特性を理解し安全なDNSによる基盤サービスを実現しましょう 1

1.1 DNSの仕組み DNSの役割 DNSはホスト名 ( 例 :www.ipa.go.jp)をipアドレス ( 例 :202.229.63.242)に変換したりドメイン( 例 :ipa.go.jp)で利用するメール( 例 :ipa-ns.ipa.go.jp)を教えたりするなどの役割を担っていますクライアント www.ipa.go.jpの IPアドレスを教えてください DNS www.ipa.go.jpのipアドレスは 202.229.63.242です DNS 設定クライアントでは手動あるいは自動 (DHCPなど)で自分が利用するDNSを設定しますクライアントでは手動あるいは自動 (DHCPなど)で設定されたDNSに問合せを行いホスト名をIPアドレスに変換したりドメインで利用するメールなどの情報を得たりしていますこのような操作のことをDNSサーバによる名前解決と呼びますここでホストとはやクライアントなどコンピュータを総称でホスト名はサーバやクライアントなどコンピュータに付けられた名前のことです 2

1.1 DNSの仕組み DNSサービスを実現する機能 DNSにはコンテンツとキャッシュの2 種類があり, これらが連携してDNSサービスを実現していますコンテンツドメインの( 原本 ) 情報を管理するDNSですキャッシュクライアントに代わってコンテンツに問合せを行うDNS です問合せた結果 (3)を複製 (4)として一時的に記憶 (キャッシュ)することからキャッシュと呼ばれていますまたクライアントに代わって問合せ(2)を行うことを再帰動作と呼びます 1 再帰的な問合せ 2 問合せクライアント 5 回答 ( 代理 ) 4キャッシュ複製 DNS キャッシュ 3 回答原本 DNS コンテンツ DNSサービスはインターネット上で稼動するホストの名前とIPアドレスを管理して名前解決を行う必要があります効率的な名前解決が必要であることから原本情報を管理するコンテンツとキャッシュと呼ぶ一時的な複製を管理するキャッシュという2 種類のが連携しています用語定義第 3 版から RFC1035(DNSの仕様を記載した文書 )にあわせ次のように用語を使用しています再帰的な問合せ DNSに再帰動作を期待するクライアントからの問合せのことを示します再帰動作 DNSがクライアントに代わって問合せを代行する動作を示します Stub Resolver 上図のクライアントに相当します Recursive Server 再帰動作を行なうDNSのことであり上図のキャッシュに相当します Foreign Name Server 上図のコンテンツに相当します Local Hosts Foreign +---------+ responses Stub <--------------------+ Resolver ----------------+ +---------+ recursive queries 再帰的な問合せ V +---------+ recursive +----------+ 問合せ +--------+ queries queries Stub --------------> Recursive --------- -> Foreign Resolver Server Name <-------------- <-------- -- Server +---------+ responses ( 再帰動作 ) responses +----------+ 回答 +--------+ 回答 ( 代理 ) Central cache +----------+ http://www.ietf.org/rfc/rfc1035.txt 3

1.2 DNSキャッシュポイズニング DNSキャッシュポイズニングの実現手法偽の再帰的な問合せ(1)に対して本物のコンテンツの回答 (5) よりも先に偽の回答 (3)を送り込むことでキャッシュに偽の情報 (4)を覚えこませる(キャッシュさせる) 攻撃です 1 偽の再帰的な問合せクライアントの役割を果たす攻撃者 3 偽の回答 ( 本物の回答よりも先に送り込む) 2 問合せ DNSの役割を果たす攻撃者偽の原本クライアント 4キャッシュ偽の複製 DNS キャッシュ 5 回答原本 DNS コンテンツキャッシュポイズニングの実現手法を簡潔に説明すると本物の回答よりも先に偽の回答をキャッシュに送り込むことで偽の情報を記憶させることですこのため DNSキャッシュポイズニング対策では偽の回答を送り込みにくい環境を整備しキャッシュが偽の情報を覚えないという状況を作ることが重要となります 4

1.2 DNSキャッシュポイズニング DNSキャッシュポイズニングによる脅威 (その1) 攻撃者が罠をはったWebへの誘導キャッシュはクライアントの再帰的な問合せ(1)に対する回答 (キャッシュされた偽の複製 2)を持っている場合にはその複製を回答 (3)します結果としてクライアントは提供された偽の情報により攻撃者が罠をはったWeb(4)に誘導されてしまうことになります偽の複製に登録された攻撃者 Web 4 偽 Webにアクセス原本に登録された正規 Web 1 再帰的な問合せクライアント 3 回答 ( 代理 ) 2キャッシュ偽の複製 DNS キャッシュ原本 DNS コンテンツ DNSキャッシュポイズニングによるひとつめの脅威は偽の情報を記憶したキャッシュを利用してしまった場合その偽の情報に誘導され攻撃者が罠をはったWebにアクセスしてしまうことです学校や企業の場合には学校や企業で運用管理しているDNSに対してキャッシュポイズニング対策をしておかないとイントラネットからインターネット上のWebを利用している多くの学生や社員が偽の情報に誘導され攻撃者が罠をはったWebにアクセスする可能性を高めてしまいます脅威の説明については次の資料を参考にしてください DNSキャッシュポイズニングの脆弱性に関する注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200809_dns.html DNSの脆弱性に関する再度の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200812_dns.html 5

1.2 DNSキャッシュポイズニング DNSキャッシュポイズニングによる脅威 (その2) DoS 攻撃ための増幅装置データサイズの大きな偽の複製 (2)を覚えこませた(キャッシュさせた) 後キャッシュに対して発信元を詐称した再帰的な問合せ(1)を行います結果としてデータサイズの大きな偽の複製 (3)を攻撃対象サーバに送信してしまうことになります理論的に49 倍程度のトラフィック増幅が可能であると報告されています理論的には 49 倍程度の増幅可攻撃対象 1 再帰的な問合せ( 発信元詐称 ) 3 回答 ( 代理 ) 攻撃者 2キャッシュ偽の複製 DNS キャッシュ原本 DNS コンテンツ DNSキャッシュポイズニングによるふたつめの脅威は DoS(Denial of Service) 攻撃のための増幅装置として利用されてしまう可能性があることですふたつめの脅威を悪用した活動は 1999 年にオーストラリアのCSIRT(Computer Security Incident Response Team)から報告されていますまた 2006 年には JPCERT/CC @policeから DNSの再帰的な問合せを使った DDoS 攻撃について報告されています DNSの再帰的な問合せを使ったDDoS 攻撃については次の資料を参考にしてください DNSの再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について http://www.cyberpolice.go.jp/server/rd_env/pdf/20060711_dns-ddos.pdf AL-1999.004 -- Denial of Service (DoS) attacks using the Domain Name System (DNS) http://www.auscert.org.au/render.html?it=80 6

2. DNSの動作と関連ツール 2.1 DNSの動作概説 2.2 whoisサービス 2.3 nslookupコマンド 2.4 まとめ 2. DNSの動作と関連ツールでは DNSの問合せ動作とその関連ツールであるwhoisサービスとnslookupの使い方を説明します 7

2.1 DNSの動作概説インターネット直接接続 PCの場合 (ブラウザでプロキシ設定なし) example.com ドメインインターネット Web コンテンツ 1URL 入力 http://www.example.com/ 5HTTPアクセス 4 回答 208.77.188.166 3 問合せクライアント PC DNS 設定キャッシュ 2 再帰的な問合せ www.example.com 通常 Webへアクセスする際にDNSがどのように使用されているかを説明しますインターネットに直接接続されているPCの場合 1ブラウザへURL(http://www.example.com/)を入力すると 2クライアントPCは OSで設定されているDNS 設定 (キャッシュ)に対して www.example.com の名前解決を要求 ( 再帰的な問合せ)します 3キャッシュは example.com ドメインを管理しているコンテンツに問合せを行い 4コンテンツからの回答 (208.77.188.166)をキャッシュ経由でクライアントPCに転送します 5クライアントPCのブラウザは回答 (208.77.188.166)で示されたWebにHTTPアクセスを行います 8

2.1 DNSの動作概説イントラネット接続 PCの場合 (ブラウザでプロキシ設定あり) example.com ドメインインターネット Web コンテンツファイアウォール 1URL 入力 http://www.example.com/ 6HTTPアクセスプロキシ DNS 設定 5 回答キャッシュ 4 問合せクライアント PC 2HTTPアクセス DNS 設定 3 再帰的な問合せブラウザでプロキシ設定ありの場合クライアントPCはDNSに再帰的な問合せをしませんイントラネットに接続されているPCの場合一般的にはブラウザの設定でプロキシが指定されていますブラウザでプロキシ設定のあるPCの場合 1ブラウザへURL(http://www.example.com/)を入力すると 2クライアントPCのブラウザはプロキシにHTTPアクセスを行います 3プロキシは設定されているDNS 設定 (キャッシュ)に対して www.example.comの名前解決を要求 ( 再帰的な問合せ)します 4キャッシュは example.com ドメインを管理しているコンテンツへ問合せを行い 5コンテンツからの回答 (208.77.188.166)をキャッシュ経由でプロキシに転送します 6プロキシは回答 (208.77.188.166)で示されたWebにHTTPアクセスを行いますブラウザにプロキシの設定がある場合はクライアントPCはDNS 設定を参照せずプロキシがDNS 設定を参照して名前解決を行いますここが前述のインターネット直接接続 PCの場合と異なる点です 9

2.2 whoisサービス whoisサービスとは IPアドレスやドメイン名の登録者などに関する情報をインターネットユーザが誰でも参照できるサービスですこのサービスを使用することでドメインの( 原本 ) 情報管理を行うDNS(コンテンツ)を確認できます whoisサービスはトップレベルドメイン別にサービスサイトが存在しますトップレベルドメインとは.jp.com.net などを示します JPRS whois (.jp の場合 ) http://whois.jprs.jp/ InterNIC WHOIS(.com.net などの場合 ) http://www.internic.net/whois.html その他以下の whois サービスサイトがあります APNIC WHOIS AfriNIC WHOIS ARIN WHOIS RIPE NCC WHOIS LACNIC WHOIS IPアドレスやドメイン名の登録者などドメイン関連する情報を参照できるwhoisサービスについて紹介します whois サービスに掲載されている情報はドメイン登録時 / 更新時に申請した情報ですトップレベルドメインは分野別トップレベルドメインである gtld(generic Top Level Domain)と国コードトップレベルドメインである cctld(country code Top Level Domain)に分けられます internic WHOIS のサービスサイトで gtld である.com や.net の情報が検索でき JPRSのwhoisサービスサイトで jp の情報は検索できます.jp は cctldに属します JPRS 以外に cctldのサービスサイトはそれぞれの地域に存在しますアジア太平洋地域 :APNIC WHOIS アフリカ地域 :AfriNIC WHOIS 北米地域 :ARIN WHOIS 欧州アフリカ地域 :RIPE NCC WHOIS 南米カリブ海地域 :LACNIC WHOIS トップレベルドメインの詳細については次の資料を参照してくださいドメイン名の種類 http://www.nic.ad.jp/ja/dom/types.html 10

2.2 ドメイン( 原本 ) 情報管理の確認方法.jp ドメインの whois サービスサイト 1whoisサービスにアクセス http://whois.jprs.jp/ 2ドメイン名を入力 ipa.go.jp 3 結果 ipa.go.jpドメインの ( 原本 ) 情報管理をしている DNS(コンテンツ) JPドメイン用のwhoisサービスの使い方です Webベースのツールですのでブラウザから http://whois.jprs.jp/ にアクセスして対象のドメイン名を入力後検索ボタンをクリックしてください 11

2.2 ドメイン( 原本 ) 情報管理の確認方法.com の whois サービスサイト 1whoisサービスにアクセス http://www.internic.net/whois.html 2ドメイン名を入力 example.com 3 結果 example.comドメインの ( 原本 ) 情報管理をしている DNS(コンテンツ).comドメイン用のwhoisサービスの使い方です Webベースのツールですのでブラウザから http://www.internic.net/whois.html にアクセスして対象のドメイン名を入力後 Submit ボタンをクリックしてください 12

2.3 nslookup コマンド nslookupは DNSに登録されている情報を参照するコマンドです参照可能な情報の例ホスト名からIPアドレス IPアドレスからホスト名ドメイン( 原本 )を管理しているDNS ドメインのメールホスト名からIP IPアドレスの検索クライアントPC PCにおけるにおける DNS 設定の確認クライアントPCで設定している DNSの名前とアドレスクライアントPCにおける DNS 設定の確認と DNSに登録されている情報を参照するコマンドである nslookupについて紹介します Windowsの場合コマンドプロンプトを開いた後 ipconfig を入力すると左側のクライアントPCにおける DNS 設定の確認で示す通り現在設定されている DNS を確認できます DHCPでネットワーク設定が自動設定されている場合も確認できます nslookupはコマンドに引き続いてホスト名を入力することでIPアドレスを参照できます右側のホスト名からIP アドレスの検索は nslookupを用いて www.example.com. のIPアドレスを参照した例です 13

2.3 nslookupコマンド nslookupコマンドの表示結果の例を環境別に説明します使用コマンド書式 nslookup [ 検索するホスト名 ] [ 使用するDNS] [ 使用するDNS]を指定しない場合にはクライアントPCにおける DNS 設定が使用されます接続環境インターネット直接接続 PC イントラネット接続 PC 使用するDNS DNS アクセス制限なしアクセス制限あり組織内キャッシュ組織外キャッシュパターン 1 2 3 4 nslookupはコマンドに引き続いて検索するホスト名使用するDNS を入力することで使用するDNSサーバに対して検索するホスト名の名前解決を依頼できます例 : DNS(ipa-ns.ipa.go.jp)に www.example.comを問合せる場合 nslookup www.example.com. ipa-ns.ipa.go.jp また [ 使用するDNS]を指定しない場合にはクライアントPCの DNS 設定で指定されているDNSに対して名前解決を依頼しますなお www.example.com.の右端にドットがついているのは名前が終端していることを意味します例 : クライアントPCの DNS 設定で指定されているDNSに www.example.comを問合せる場合 nslookup www.example.com. 14

2.3 nslookupコマンド1 インターネット直接接続 PCの場合 [ 使用するDNS]としてインターネット上のアクセス制限されていないキャッシュ( 含むコンテンツ兼用 )を指定した場合インターネット example.com ドメインコンテンツ C: >nslookup www.example.com. 202.229.63.xxx Server: aaa.aaa.xxx Address: 202.229.63.xxx Non-authoritative answer: Name: www.example.com Address: 208.77.188.166 クライアント PC 3 回答 208.77.188.166 [ 使用するDNS] 1 再帰的な問合せ www.example.com 2 問合せキャッシュコンテンツ 202.229.63.xxx クライアントPCからの再帰的な問合せの回答がキャッシュを経由した回答の場合には Non-authoritative answer: と表示されますこれはコンテンツサーバからのオリジナルの回答ではないことを意味しますパターン1 インターネットに直接接続しているPCがインターネット上のアクセス制限されていないキャッシュ( 含むコンテンツ兼用 )を指定した場合のnslookupコマンド実行結果の例です 15

2.3 nslookupコマンド2 インターネット直接接続 PCの場合 [ 使用するDNS]としてインターネット上のアクセス制限されているキャッシュ( 含むコンテンツ兼用 )を指定した場合インターネットクライアント PC example.com ドメイン 2 回答 NG コンテンツ [ 使用するDNS] キャッシュコンテンツ 202.229.63.yyy C: >nslookup www.example.com. 202.229.63.yyy Server: aaa.aaa.yyy Address: 202.229.63.yyy *** 202.229.63.yyy can't find www.example.com.: Query refused クライアントPCにキャッシュへのアクセス許可権限がない場合には再帰的な問合せは拒否されます 1 再帰的な問合せ www.example.com パターン2 インターネットに直接接続しているPCがインターネット上のアクセス制限されているキャッシュ( 含むコンテンツ兼用 )を指定した場合のnslookupコマンド実行結果の例ですクライアントPCがキャッシュへのアクセス許可権限がない(BIND の設定 :allow-query { address_match_list }; を用いた) 場合には再帰的な問合せを受け付けないためキャッシュからの回答が Query refused という拒否された内容となります 16

2.3 nslookupコマンド3 イントラネット接続 PCの場合 [ 使用するDNS]として自組織のキャッシュを指定した場合 example.com ドメイン C: >nslookup www.example.com. 10.10.10.10 Server: dns-internal.ipa.go.jp Address: 10.10.10.10 インターネット 3 回答 208.77.188.166 コンテンツ 2 問合せ Non-authoritative answer: Name: www.example.com Address: 208.77.188.166 ファイアウォールクライアント PC キャッシュ 10.10.10.10 [ 使用するDNS] ipa.go.jp ドメインコンテンツ nslookupコマンド1と同じ結果が得られます 1 再帰的な問合せ www.example.com パターン3 イントラネットに接続されたPCが自組織のキャッシュを指定した場合のnslookupコマンド実行結果の例です実行結果はパターン1と同じですクライアントPCからの再帰的な問合せがキャッシュを経由した回答の場合には Non-authoritative answer と表示されますこれはコンテンツからのオリジナルの回答ではないことを意味します 17

2.3 nslookupコマンド4 イントラネット接続 PCの場合 [ 使用するDNS]としてインターネット上のキャッシュを指定した場合インターネット example.com ドメインキャッシュ 199.7.69.1 C: >nslookup www.example.com. 199.7.69.1 DNS request timed out. timeout was 2 seconds. *** Can't find server name for address 199.7.69.1: Timed out Server: UnKnown Address: 199.7.69.1 ファイアウォール [ 使用するDNS] クライアント PC キャッシュ 1 再帰的な問合せ www.example.com ipa.go.jp ドメインコンテンツ DNS request timed out. timeout was 2 seconds. *** Request to UnKnown timed-out ファイアウォールなどで [ 使用するDNS ]へのアクセスが制限されている場合にはタイムアウトが発生しますパターン4 イントラネットに接続されたPCがインターネット上のキャッシュを指定した場合のnslookupコマンド実行結果の例ですクライアントPCからインターネット上のキャッシュへの再帰的な問合せがファイアウォールやルータなどでアクセス制限がされている場合タイムアウトが発生します 18

2.4 まとめ whoisサービスに登録されているDNS(コンテンツ) と nslookupで表示されるDNS(コンテンツ)は一致していますか? C: >nslookup -q=ns example.jp. Server: dns-internal.ipa.go.jp Address: 10.10.10.10 Non-authoritative answer: example.jp nameserver = wed.example.jp example.jp nameserver = sun.example.jp example.jp nameserver = mon.example.jp example.jp nameserver = fri.example.jp example.jp nameserver = sat.example.jp 5 件 example.jp Domain Information: [ドメイン情報 ] [Domain Name] EXAMPLE.JP [ 登録者名 ] [Registrant] [ネーム] sun.example.jp [ネーム] mon.example.jp [ネーム] fri.example.jp [ネーム] sat.example.jp 4 件 wed.example.jp internet address = 202.229.xxx.5 sun.example.jp internet address = 202.229.xxx.1 mon.example.jp internet address = 202.229.xxx.2 fri.example.jp internet address = 202.229.xxx.3 sat.example.jp internet address = 202.229.xxx.4 ドメイン名の登録と DNS の設定に関する注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html DNSの問合せ動作とその関連ツールであるwhoisサービスとnslookupの使い方を説明しましたまとめでは whoisサービスとnslookupを使った DNS(コンテンツ)の一致について補足したいと思います whois サービスに掲載されている情報はドメイン登録時 / 更新時に申請した情報です一方 nslookupコマンドで参照できる情報は実際に稼動しているコンテンツに登録されている情報ですこの事例 (example.jp)の場合 whois に登録されているネーム(=DNS)は4 件で nslookupで参照できたDNSは5 件ですこれはドメイン登録時 / 更新時に申請した内容と実際に稼動しているコンテンツに登録されている情報とに乖離があることを意味します一般的には whoisサービスに登録されている情報とnslookupにて参照できる情報が同じであることが推奨されていますこの機会にwhoisサービスに登録されている情報とnslookupにて参照できる情報 ( 実際に管理している情報 )が一致しているかを確認し整合性のとれた運用管理をしましょう詳細については次の資料を参照してくださいドメイン名の登録とDNSの設定に関する注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html 19

3. 検査ツールの使い方と注意点 3.1 Cross-Pollination Check 3.2 DNS-OARC Randomness Test (Web 版 ) 3.3 DNS-OARC Randomness Test (コマンドライン版 ) 3.4 まとめ 3. 検査ツールの使い方と注意点では DNSに対してキャッシュポイズニング対策の検査ができるツールの使い方と注意点を説明します Cross-Pollination Check DNS-OARC Randomness Test (Web 版 ) DNS-OARC Randomness Test (コマンドライン版 ) 事前に次に示す用語の意味を理解しておく必要がありますコンテンツキャッシュ再帰的な問合せ nslookup 20

3.1 Cross-Pollination Checkの使い方 (1/2) http://recursive.iana.org/ コンテンツを検査するツールですドメイン名を入力するとそのドメインのコンテンツを調べて 1) 再帰動作の可否 2) 送信元ポート番号のランダム性有無を確認し結果を表示してくれます自分の管理しているドメイン名を入力することで自ドメインのコンテンツを検査可能です 1 検査ページにアクセス 2ドメイン名を入力例 :ipa.go.jp 3クエリ送信をクリックコンテンツを検査するツール Cross-Pollination Check の使い方です Webベースのツールですのでブラウザから http://recursive.iana.org/ にアクセスして検査対象のドメイン名を入力後クエリ送信ボタンをクリックしてください 21

3.1 Cross-Pollination Checkの使い方 (2/2) コンテンツ毎に結果が表示されます結果は Highly Vulnerable Vulnerable Safeのいずれかになります Safeの場合は再帰的な問合せに回答しなかったことを示しており再帰動作が無効化もしくは制限されていることがわかります Safe 以外の場合は再帰的な問合せに回答したことを示しておりセキュリティ修正プログラム(ポート番号のランダム化 )が適用されていればVulnerable されていなければHighly Vulnerableになります < 検査結果の例 > < 検査結果の見方 > Highly Vulnerable Vulnerable 再帰動作無効 No No 送信元ホートのランタム化 No Yes Safe Yes - Cross-Pollination Check の検査結果の見方は上記の通りです結果は Highly Vulnerable Vulnerable Safeの3つのうちいずれかになります 22

3.1 Cross-Pollination Checkの仕組みと注意点インターネット側から再帰的な問合せを送信し回答があれば送信元ポート番号のランダム性を検査します IANA Cross-Pollination Check 3ipa.go.jpドメインのコンテンツを調査ルート jpドメイン co.jpドメインインターネット 4ipa.go.jpドメインのコンテンツに対して 1) 再帰動作の確認 2) 送信元ポート番号のランダム性の検査を行う ipa.go.jpドメイン 2HTTPアクセスコンテンツ #1 コンテンツ #2 コンテンツ #3 キャッシュ 1 検査したいドメイン(ipa.go.jp)を入力ツール実行 PC コンテンツとして登録されていなければ検査されない Cross-Pollination Check が実施する検査の仕組みについて説明しますここでのポイントは 1)インターネットからの再帰的な問合せに回答するDNSに対してのみセキュリティ修正プログラム適用有無の検査ができるという点と 2)コンテンツとして登録されていないDNS(キャッシュ)は検査対象とならない点です 23

3.1 検査ツールが送信元ポート番号を確認する仕組み検査ツールは自身のコンテンツへ問合せが発生するように検査対象に再帰的な問合せを送信することで再帰動作時の送信元ポート番号を調査しますまた複数回の問合せを行うことでポート番号のランダム性を検査しています検査ツール検査対象 DNS DNSクライアント送信元 :6001/ 宛先 :53 送信元 :6002/ 宛先 :53 送信元 :6003/ 宛先 :53 検査用コンテンツへの問合せ検査用コンテンツ IANA Cross-Pollination Check DNS-OARC Randomness Test 宛先 :53/ 送信元 :1025 宛先 :53/ 送信元 :1026 宛先 :53/ 送信元 :1027 再帰動作再帰動作再帰動作検査ツールでは送信元ポート番号のランダム性を検査します上記では検査ツールがどのようにして検査対象 DNSの送信元ポート番号とそのランダム性について確認しているかを補足説明しています 24

3.2 DNS-OARC(Web 版 )の使い方 (1/2) https://www.dns-oarc.net/oarc/services/dnsentropy 自分が使用しているキャッシュを検査するツールです Test My DNS ボタンをクリックすると自動的に検査が開始され 1) 送信元ポート番号のランダム性有無 2)トランザクションIDのランダム性有無の検査結果が新しいウインドウに表示されます 1 検査ページにアクセス 2クリックして検査開始前述した通り Cross-Pollination Check ではコンテンツでないDNSを検査できませんこのためキャッシュを検査する場合は DNS-OARC Randomness Test を使用する必要がありますこのツールには Web 版とコマンドライン版がありますまずWeb 版について説明します https://www.dns-oarc.net/oarc/services/dnsentropy にアクセスし Test My DNS ボタンをクリックすると検査が開始されますなおこのボタンは PCの環境によっては黒く塗り潰された画像として表示される場合があります 25

3.2 DNS-OARC(Web 版 )の使い方 (2/2) キャッシュ毎に送信元ポート番号及びトランザクションIDのランダム性が GREAT GOOD POORの3 段階で表示されます注 ) 必ずしも全てのキャッシュが検査対象になる訳ではありません < 検査結果の例 > < 検査結果の見方 > DNS-OARC Randomness Test(Web 版 ) の検査結果は上記の通りです画面上部に結果のサマリが表示され GREAT GOOD POORの3 段階で評価されます以降結果の詳細がグラフとともに表示されますここでの注意点は設定している全てのキャッシュが検査対象となる訳ではありませんので意図したDNSが全て検査されているかを確認する必要があります GREAT GOOD POORの評価は送信元ポート番号及びトランザクションIDの値が16ビットをどの程度まんべんなく使用しているかに基づいていますなおこの2つの値が推測できるということはキャッシュポイズニング攻撃が実現しやすいことを意味しています右図は送信元ポート番号のランダム性 POORと判定された事例です値にばらつきがないと次に発生しうる値を容易に類推できます DNSキャッシュポイズニング対策においては送信元ポート番号及びトランザクションIDの値を推測されにくい状況すなわち POORと評価されないこと GOODよりは GREATと評価されるような状況を作り出すことが重要です 26

3.2 DNS-OARC(Web 版 )の仕組み Webアクセス時に名前解決を行ったキャッシュが検査対象となりますすなわち OSに設定しているDNS(=DNS 設定 )です DNS-OARC インターネット 5[ 乱数 ].et.dns-oarc.netに問合せを送信したキャッシュに対して 1) 送信元ポート番号のランダム性 2)トランザクションIDのランダム性の検査を行う 4[ 乱数 ].et.dns-oarc.netを DNS-OARCに問合せ 1"Test My DNS" をクリック 2[ 乱数 ].et.dns-oarc.net にリダイレクトを指示キャッシュツール実行 PC DNS 設定 3[ 乱数 ].et.dns-oarc.netをキャッシュに再帰的な問合せ上記はインターネットに直接接続しているPCで DNS-OARC Randomness Test(Web 版 ) を実行した場合の検査の流れを示していますツール実行 PC 上に設定しているDNS(=DNS 設定の参照するキャッシュ)がDNS-OARCのコンテンツに問合せを行うためそのDNSが検査対象となります 27

3.2 DNS-OARC(Web 版 )の注意点プロキシ環境においてはプロキシに設定されているキャッシュが検査対象となるため必ずしもツール実行 PCに設定されたキャッシュが検査対象となる訳ではありません DNS-OARC インターネット 4DNS-OARCに対して問合せを行ったキャッシュが検査対象となるここでは構成上外部キャッシュが検査対象となる 3 問合せファイアウォール 1HTTPアクセスプロキシ 2 再帰的な問合せ外部キャッシュキャッシュ #2 ツール実行 PC DNS 設定内部キャッシュイントラネットに接続したPCの場合 Webのアクセスにはプロキシ経由であることが一般的ですこの場合はツール実行 PC 自身がDNSに名前解決を行うのではなくプロキシがDNSに名前解決を行いますしたがってツール実行 PCに設定しているDNSが検査対象になる訳ではありませんまたこの場合プロキシが使用しないDNS( 上記の場合キャッシュ#2 )は検査対象になりません検査したい場合はコマンドライン版を使用する必要があります 28

3.3 DNS-OARC(コマンドライン版 )の使い方 (1/2) DNS-OARCには Web 版の他にコマンドライン版がありますコマンドライン版では検査対象のDNSを任意に指定可能ですコマンドライン版は WindowsもしくはLinuxのnslookupコマンドで実行します(digコマンドでも同様に実行できます詳しくは下記解説ページを参照ください) 送信元ポート番号のランダム性検査の場合 nslookup -q=txt -timeout=10 porttest.dns-oarc.net. [ 検査対象 DNS] トランザクションIDのランダム性検査の場合 nslookup -q=txt -timeout=10 txidtest.dns-oarc.net. [ 検査対象 DNS] 解説ページ https://www.dns-oarc.net/oarc/services/porttest https://www.dns-oarc.net/oarc/services/txidtest http://itpro.nikkeibp.co.jp/article/column/20080811/312660/ DNS-OARC Randomness Test(コマンドライン版 ) では OSに標準搭載されているnslookupコマンドを使用しますなお nslookupコマンド以外に digコマンドを使用することも可能ですなおコマンドライン版の場合は送信元ポート番号とトランザクションIDは別々に検査する必要があります使い方については次の資料を参照してください porttest.dns-oarc.net -- Check your resolver's source port behavior https://www.dns-oarc.net/oarc/services/porttest txidtest.dns-oarc.net -- Check your resolver's transaction ID behavior https://www.dns-oarc.net/oarc/services/txidtest 詳細が明かされたDNSキャッシュポイズニングの新手法 http://itpro.nikkeibp.co.jp/article/column/20080811/312660/ 29

3.3 DNS-OARC(コマンドライン版 )の使い方 (2/2) 検査対象 ns.example.com(192.168.0.2) の実行結果は次の通りです C: >nslookup -q=txt -timeout=10 porttest.dns-oarc.net. ns.example.com. Server: ns.example.com Address: 192.168.0.2 Non-authoritative answer: porttest.dns-oarc.net canonical name =porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k. j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net text = "192.168.0.2 is GREAT: 26 queries in 3.6 seconds from 26 ports with std dev 17332" y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net nameserver = ns.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net DNS-OARC Randomness Test(コマンドライン版 ) の実行例です ns.example.com の送信元ポート番号のランダム性を検査した結果 GREAT であることがわかります 30

3.3 DNS-OARC(コマンドライン版 )の注意点 (1/2) コマンドライン版では Web 版 (プロキシ経由 )では検査対象とならないキャッシュをイントラネット内から検査可能ですただしツール実行 PCと検査対象 DNS 間のDNS 通信が遮断されていない場合に限ります DNS-OARC インターネット 3 検査実行 2 問合せ 1 再帰的な問合せファイアウォールプロキシ DNS 設定外部キャッシュ検査対象 DNS ツール実行 PC DNS-OARC Randomness Test(コマンドライン版 ) 使用時の注意点です検査できるのはツール実行 PCと検査対象 DNS 間のDNS 通信が遮断されていない場合に限ります 31

3.3 DNS-OARC(コマンドライン版 )の注意点 (2/2) ファイアウォールなどによりツール実行 PCと検査対象 DNS 間のDNS 通信が遮断されている場合はイントラネットから正しく検査が行えませんその場合はインターネットに直接接続しているPCから実行してください DNS-OARC インターネットツール実行 PC 3 検査実行 2 問合せ DNS 通信が遮断! 1 再帰的な問合せファイアウォールプロキシ DNS 設定外部キャッシュ検査対象 DNS ツール実行 PC ツール実行 PCと検査対象 DNS 間のDNS 通信が遮断されている場合は検査できませんのでインターネットに直接接続しているツール実行 PCから検査する必要があります 32

3.4 まとめ検査ツールでの確認は終了しましたか? Cross-Pollination Checkツールではコンテンツに対して 1) 再帰動作の可否 2) 送信元ポート番号のランダム性有無を検査できます DNS-OARCツールではキャッシュに対して 1) 送信元ポート番号のランダム性有無 2)トランザクションIDのランダム性有無を検査できますコンテンツの検査には Cross-Pollination Checkを使用しましょうキャッシュの検査には DNS-OARC Randomness Test (Web 版 )を使用しましょう Cross-Pollination CheckとDNS-OARC Randomness Test (Web 版 )のいずれでも検査できない場合は DNS-OARC Randomness Test (コマンドライン版 )を使用しましょうその際環境によってはイントラネットからは正しく検査ができない場合がありインターネットに直接接続しているPCから検査を行う必要があります DNSキャッシュポイズニング対策の検査ツールに関するポイントをまとめてありますのでぜひ検査ツールで確認してみてください 33

4. 再帰動作の設定 4.1 BIND DNSでの対策 4.2 Windows DNSでの対策 4.3 まとめ 4. 再帰動作の設定では BINDとWindows DNSの再帰動作の設定について説明します事前に次に示す用語の意味を理解しておく必要がありますコンテンツキャッシュ再帰的な問合せ 34

4.1 BIND DNSでの対策 BIND DNSでの対策ポイントは次の通りですコンテンツ再帰動作が無効になっていることを確認するキャッシュ兼コンテンツコンテンツ単独 ( 再帰動作を無効としキャッシュとして動作させないあるいはキャッシュとコンテンツを物理装置的に分離する)での稼動を検討するコンテンツ単独での稼動が可能な場合にはコンテンツでの対策を実施するキャッシュ兼コンテンツで運用する必要がある場合には再帰的な問合せはイントラネットからのアクセスのみを許可するキャッシュ再帰的な問合せはイントラネットからのアクセスのみを許可する BIND DNSでの対策では次の資料を基にコンテンツキャッシュ兼コンテンツキャッシュサーバの3つにわけ再帰的な問合せに関するアクセス制御設定について説明します DNSの再帰的な問合せを使ったDDoS 攻撃の対策について http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html 対策にあたっては製品開発ベンダから提供されているJVNVU#800113 対応のセキュリティ修正プログラムの適用を前提としますなお ISC(Internet Systems Consortium) BIND 9についてはサービス運用妨害 (DoS)の脆弱性 (JVNVU#725188)が報告されています named.confに type master; の設定がある場合には脆弱性の影響を受けることになりますのでJVNVU#725188 対応のセキュリティ修正プログラムの適用も検討してください複数のDNS 実装にキャッシュポイズニングの脆弱性 ( 公開日 :2008/07/09) http://jvn.jp/cert/jvnvu800113/ ISC BIND 9におけるサービス運用妨害 (DoS)の脆弱性 ( 公開日 :2009/07/29) http://jvn.jp/cert/jvnvu725188/ バージョンの確認 type master 設定有無の確認 35

4.1 コンテンツでの対策セカンダリDNS (バックアップ) 202.229.63.234 インターネットファイアウォールメール my-network 192.168.1.0/24 コンテンツ 5ドメイン情報の転送要求 example.jpドメイン Web 3 問合せ 1 問合せコンテンツプライマリDNS 192.218.88.1 // グローバルオプションの設定 options { fetch-glue no ; // BIND 9 では不要 recursion no ; directory "/etc/ns" ; allow-transfer { none ; } ; }; // example.jp のマスタ DNS 設定 zone "example.jp" { type master ; file "example.jp.zone" ; allow-transfer { 202.229.63.234 ; } ; }; // ルートへの hint 情報 zone "." { type hint ; file "/dev/null" ; // ファイル名に /dev/null を指定 } ; コンテンツではイントラネットからの問合せ(1) インターネットからの問合せ(3) セカンダリDNS からのドメイン情報の転送 (ゾーン転送 ) 要求 (5)を許可します設定ファイルのポイント recursion no ; 再帰動作を無効とすることで問合せ(13)のみを受け付けるよう設定しますこの設定の場合問合せに対してアクセス制限を行う必要はありません allow-transfer { 202.229.63.234 ; } ; ドメイン情報の転送 (ゾーン転送 )(5)をセカンダリDNSのみに制限します file "/dev/null" ; ルートへの hint 情報は再帰動作を有効としている場合のみ必要になりますここでは利用しないことを明示するためにファイル名として /dev/null を指定します 36

4.1 キャッシュ兼コンテンツでの対策セカンダリDNS (バックアップ) 202.229.63.234 インターネットファイアウォールメール my-network 192.168.1.0/24 コンテンツ 5ドメイン情報の転送要求 example.jpドメイン Web 2 再帰的な問合せ 3 問合せ 1 問合せ 4 再帰的な問合せキャッシュコンテンツプライマリDNS 192.218.88.1 // イントラネットからのアクセス設定 acl my-network { 192.168.1.0/24 ; } ; // グローバルオプションの設定 options { fetch-glue no ; // BIND 9では不要 recursion yes ; directory "/etc/ns" ; allow-query { localhost ; my-network ; } ; allow-transfer { none ; } ; }; // example.jp のプライマリ DNS 設定 zone "example.jp" { type master ; file "example.jp.zone" ; allow-query { any ; } ; allow-transfer { 202.229.63.234 ; } ; }; zone "." { type hint ; file "named.root" ; } ; 再帰動作を期待する問合せを再帰的な問合せと記載していますキャッシュ兼コンテンツではイントラネットからの問合せ(1)と再帰的な問合せ(2) インターネットからの問合せ(3) セカンダリDNSからのドメイン情報の転送 (ゾーン転送 ) 要求 (5)を許可しますまたインターネットからの再帰的な問合せ(4)を拒否します設定ファイルのポイント acl my-network { 192.168.1.0/24 ; } ; イントラネットを定義します recursion yes ; キャッシュとして稼動させるため再帰動作を有効とします allow-query { localhost ; my-network ; } ; allow-queryを用いて問合せ( 含む再帰的な問合せ)のアクセス制御を実施しますキャッシュ兼コンテンツサーバ(localhost)とイントラネット(my-network)からの問合せ( 含む再帰的な問合せ)(12)のみを許可します allow-query { any ; } ; example.jpドメインに関する問合せのみイントラネットからの問合せ(1)とインターネットからの問合せ(3)のいずれも許可します allow-transfer { 202.229.63.234 ; } ; ドメイン情報の転送 (ゾーン転送 )(5)をセカンダリDNSのみに制限します file "named.root" ; 再帰動作を有効としているのでルートへの hint 情報が格納されたファイルを指定します最新の hint 情報は次のURLから取得してください ftp://ftp.internic.net/domain/named.root 37

4.1 キャッシュ兼コンテンツでの対策 ( 留意事項 1) BIND9.2.6ならびにそれ以前の実装で allow-queryを使ってアクセス制御した場合アクセス制御は有効に機能するのですが(status: REFUSED) 再帰動作の有効フラグ(ra: Recursion available)がon(flags: ra)となるため Cross-Pollination Check(http://recursive.iana.org/) では Vulnerable(Is recursive, could not detect source port randomisation) と判定されます ; <<>> DiG <<>> @bind926.ipa.go.jp. www.example.com. ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 62833 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 BIND 最新版ではこの問題は解決されていますので BIND 最新版にアップデートすることを推奨しますなお allow-recursionを併記することで再帰動作の有効フラグをOFFできますがあくまでも暫定対策として利用してください options { fetch-glue no ; // BIND 9では不要 recursion yes ; directory "/etc/ns" ; allow-query { localhost ; my-network ; } ; allow-recursion { localhost ; my-network ; } ; // BIND 9.2.6 以前への暫定対策 allow-transfer { none ; } ; }; 古いバージョンのBINDを利用している場合の留意事項です BIND9.2.6ならびにそれ以前の実装で allow-queryを使ってアクセス制御した場合アクセス制御は有効に機能するのですが(status: REFUSED) 回答に格納される再帰動作の有効フラグ(ra: Recursion available)がon (flags: ra)となるため Cross-Pollination Check(http://recursive.iana.org/)では Vulnerable(Is recursive, could not detect source port randomisation) と判定されますなおフラグの情報については digコマンドを使って確認できます使い方 : dig @[ 使用するDNS] [ 検索するホスト名 ] dig @bind926.ipa.go.jp. www.example.com. BIND 最新版ではこの問題は解決されていますので BIND 最新版にアップデートすることを推奨しますなお allow-recursionを併記することで再帰動作の有効フラグをOFFできますがあくまでも暫定対策として利用してください allow-query { localhost ; my-network ; } ; allow-queryを用いて問合せ( 含む再帰的な問合せ)のアクセス制御を実施しますキャッシュ兼コンテンツサーバ(ローカルホスト)とイントラネットからの問合せ( 含む再帰的な問合せ)(12)のみを許可します allow-recursion { localhost ; my-network ; } ; allow-recursionを用いて再帰的な問合せに対してアクセス制御を実施しますキャッシュ兼コンテンツ(ローカルホスト)とイントラネットからの再帰的な問合せ(2)のみを許可します 38

4.1 キャッシュ兼コンテンツでの対策 ( 留意事項 2) allow-queryとallow-recursionのアクセス制御の違い allow-queryを使用したアクセス制御の場合には再帰的な問合せ自身を拒否 (status: REFUSED)し何もデータを含まない回答を返信します ; <<>> DiG <<>> @allow-query.ipa.go.jp. www.example.com. ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 54392 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 allow-recursionを使用したアクセス制御の場合には再帰的な問合せを受入れます(status: NOERROR) ただし名前解決をせず(ANSWER: 0) 次に問合せるべきDNS(AUTHORITY: 2, ADDITIONAL: 2)を返信します ; <<>> DiG <<>> @allow-recursion.ipa.go.jp. www.example.com. ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 535 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2 digコマンドの結果を使って allow-queryとallow-recursionのアクセス制御の違いについて説明しますアクセス制御なしの場合アクセス制御なしの場合には再帰的な問合せを受入れ(status: NOERROR) 名前解決 (ANSWER: 1)を実施します ; <<>> DiG <<>> @any.ipa.go.jp www.example.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7322 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 allow-queryの場合 allow-queryを使用したアクセス制御の場合には許可されていないネットワークからの再帰的な問合せに対して再帰的な問合せ自身を拒否 (status: REFUSED)し何もデータを含まない回答 (ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0)を返信します allow-recursionyの場合 allow-recursionを使用したアクセス制御の場合には許可されていないネットワークからの再帰的な問合せに対して再帰的な問合せを受入れます(status: NOERROR) ただし名前解決をせず(ANSWER: 0) 名前解決処理を進めるために次に問合せるべきDNS(AUTHORITY: 2, ADDITIONAL: 2)を返信します 39

4.1 キャッシュ兼コンテンツでの対策 allow-queryを用いたアクセス制御を推奨します allow-recursionを用いたアクセス制御の場合再帰的な問合せを受け入れてしまいます allow-queryを用いたアクセス制御の場合再帰的な問合せを拒否できます 2009 年にはいってから DDoS(Distributed DoS) 攻撃に活用するため外部からの再帰的な問合せに回答してしまうキャッシュに対してルート( 名前解決の基点となるDNS)のIPアドレスを繰り返し要求する活動が報告されています BINDを用いて構築したキャッシュでは allow-recursionを用いたアクセス制御ではなく問合せ( 含む再帰的な問合せ) 自身を拒否するallow-queryを用いたアクセス制御を推奨します報告された活動については次の資料を参照してください DNS queries for "." http://isc.sans.org/diary.html?storyid=5713 DNS DDoS - let's use a long term solution http://isc.sans.org/diary.html?storyid=5773 40

4.1 キャッシュでの対策セカンダリDNS (バックアップ) 202.229.63.234 インターネットファイアウォールメール my-network 192.168.1.0/24 コンテンツ example.jpドメイン Web 2 再帰的な問合せ 3 再帰的な問合せキャッシュプライマリDNS 192.218.88.1 // イントラネットからのアクセス設定 acl my-network { 192.168.1.0/24 ; } ; // グローバルオプションの設定 options { fetch-glue no ; // BIND 9では不要 recursion yes ; directory "/etc/ns" ; allow-query { localhost ; my-network ; } ; }; // ルートへの hint 情報 zone "." { type hint ; file "named.root" ; } ; 再帰動作を期待する問合せを再帰的な問合せと記載していますキャッシュではイントラネットからの再帰的な問合せ(2)を許可しますまたインターネットからの再帰的な問合せ(4)を拒否します設定ファイルのポイント acl my-network { 192.168.1.0/24 ; } ; イントラネットを定義します recursion yes ; キャッシュとして稼動させるため再帰動作を有効とします allow-query { localhost ; my-network ; } ; allow-queryを用いて問合せ( 含む再帰的な問合せ)のアクセス制御を実施しますキャッシュ(localhost) とイントラネット(my-network)からの問合せ( 含む再帰的な問合せ)(2)のみを許可します file "named.root" ; 再帰動作を有効としているのでルートへの hint 情報が格納されたファイルを指定します最新の hint 情報は次のURLから取得してください ftp://ftp.internic.net/domain/named.root 41

4.2 Windows DNSでの対策 Windows DNSでの対策ポイントは次の通りですコンテンツ再帰動作が無効になっていることを確認するキャッシュ兼コンテンツ Windows DNSは再帰的な問合せを受け付けるか/ 否かしか設定できないため(BIND DNSのような細かなアクセス制御機能なし) キャッシュとコンテンツを物理装置的に分離して運用するキャッシュファイアウォールなどのパケットフィルタリング機能を用いてイントラネットからの再帰的な問合せのみを許可するよう制限する Windows DNSでの対策では次の資料を基にコンテンツキャッシュ兼コンテンツキャッシュの3つにわけ再帰動作に関するアクセス制御設定について説明します DNS > DNSの操作方法 http://technet.microsoft.com/ja-jp/library/cc757540.aspx なお対策にあたっては製品開発ベンダから提供されているセキュリティ修正プログラムの適用を前提とします複数のDNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/jvnvu800113/ 42

4.2 コンテンツでの対策 // 再帰動作の設定セカンダリDNS (バックアップ) 202.229.63.234 コンテンツ 3 問合せインターネット 5ドメイン情報の転送要求 // ドメイン情報の転送設定ファイアウォールメール my-network 192.168.1.0/24 example.jpドメイン Web 1 問合せコンテンツプライマリDNS 192.218.88.1 コンテンツではイントラネットからの問合せ(1) インターネットからの問合せ(3) セカンダリDNS からのドメイン情報の転送 (ゾーン転送 ) 要求 (5)を許可します設定のポイント再帰動作の設定再帰を無効にする(フォワーダも無効になります) のチェックボックスをONにしますドメイン情報の転送設定ゾーン転送を許可するのチェックボックスをONにしますまたネームータブの一覧にあるーのみ次のーのみのいずれかを使用してドメイン情報の転送 (ゾーン転送 )(5)をセカンダリDNS のみに制限します 43

4.2 コンテンツでの対策 ( 設定画面拡大 ) // 再帰動作の設定 // ドメイン情報の転送設定設定のポイント再帰動作の設定再帰を無効にする(フォワーダも無効になります) のチェックボックスをONにしますドメイン情報の転送設定ゾーン転送を許可するのチェックボックスをONにしますまたネームータブの一覧にあるーのみ次のーのみのいずれかを使用してドメイン情報の転送 (ゾーン転送 )(5)をセカンダリDNS のみに制限します 44

4.2 キャッシュ兼コンテンツでの対策セカンダリDNS (バックアップ) 202.229.63.234 コンテンツ 3 問合せ 4 再帰的な問合せ Windows DNSは再帰的な問合せを受け付けるか/ 否かしか設定できないため(BIND DNS のような細かなアクセス制御機能なし) キャッシュとコンテンツを物理装置的に分離して運用しますインターネット 5ドメイン情報の転送要求ファイアウォールメール my-network 192.168.1.0/24 example.jpドメイン Web 2 再帰的な問合せ 1 問合せキャッシュコンテンツプライマリDNS 192.218.88.1 Windows DNSの場合にはキャッシュとコンテンツを物理装置的に分離した運用を推奨します 45

4.2 キャッシュでの対策セカンダリDNS (バックアップ) 202.229.63.234 コンテンツ 4 再帰的な問合せファイアウォール製品などのパケットフィルタリング機能を用いてイントラネットからの再帰的な問合せのみを許可するよう制限しますまた Windows DNSのセキュリティ機能を活用しますインターネットファイアウォールメール my-network 192.168.1.0/24 example.jpドメイン Web 2 再帰的な問合せキャッシュプライマリDNS 192.218.88.1 // セキュリティ機能の設定再帰動作を期待する問合せを再帰的な問合せと記載していますキャッシュではイントラネットからの再帰的な問合せ(2)を許可しますまたインターネットからの再帰的な問合せ(4)を拒否します設定のポイント再帰動作の設定再帰を無効にする(フォワーダも無効になります) のチェックボックスをOFFにしますファイアウォールなどを用いたアクセス制御の実施 Windows DNSは再帰的な問合せを受け付けるか/ 否かしか設定できませんイントラネットからの再帰的な問合せ(2)を許可しインターネットからの再帰的な問合せ(4)を拒否するためにファイアウォールなどを用いてアクセス制御を実施してくださいセキュリティ機能の設定 Pollution に対してセキュリティでキャッシュを保護するのチェックボックスをONにしますこの機能は回答に含まれている無関係なデータ(コンテンツが管理する原本以外のデータ)をキャッシュしないという機能です 46

4.2 キャッシュでの対策 ( 設定画面拡大 ) // 再帰動作の設定 // セキュリティ機能の設定設定のポイント再帰動作の設定再帰を無効にする(フォワーダも無効になります) のチェックボックスをOFFにしますセキュリティ機能の設定セキュリティ機能の設定詳細については次の資料を参照してくださいーのキャッシュを名前の汚染から保護する http://technet.microsoft.com/ja-jp/library/cc758810.aspx DNS ーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について http://support.microsoft.com/kb/316786/ja Pollution に対してセキュリティでキャッシュを保護するは回答に含まれている無関係なデータ(コンテンツサーバが管理する原本以外のデータ)をキャッシュしないという機能です例えばドメインexample.comを管理するコンテンツからの回答の場合には example.com 以外のデータ(www.ipa.go.jpなど)はキャッシュしないことになります 47

4.3 まとめ DNSの設定は適切ですか? キャッシュとして動作しているDNSがインターネットからの再帰的な問合せ(1)に対して再帰動作による問合せ(2)をしてしまう場合 DNSキャッシュポイズニング攻撃 (3)を受ける可能性が高くなります攻撃者偽の原本 3 偽の回答 2 問合せ example.comドメインインターネット 1 再帰的な問合せ www.example.comの IPアドレスを教えてくださいコンテンツ DNS ファイアウォールメールイントラネット Web ipa.go.jpドメインコンテンツ DNS キャッシュコンテンツ DNS 偽の複製キャッシュ DNS 2 問合せ偽の複製 DNSのアクセス制御設定についてまとめますキャッシュとして動作しているDNSがインターネットからの再帰的な問合せ(1)に対して再帰動作による問合せ(2)をしてしまう場合 DNSキャッシュポイズニング攻撃を受ける可能性が高くなります基本的なアクセス制御設定はインターネットからの再帰的な問合せ(1)に対する再帰動作を無効にすることです DNSの設定を再確認して安全なDNSによる基盤サービスを実現していきましょう [ 発行 ] [ 執筆 ] 2009 年 1 月 14 日 2009 年 2 月 6 日 2009 年 8 月 11 日第 1 版 : 新規第 2 版 :DNS-OARCの使い方 (P26)とDDoS 対策の注意事項 (P40)を追記第 3 版 :RFC1035にあわせた用語定義 (P3 他 )に変更 JVNVU#725188(P35)を追記 IPA( 独立行政法人情報処理推進機構 )セキュリティセンター寺田真敏 48

情報セキュリティに関する届出について IPA セキュリティセンターでは経済産業省の告示に基づきコンピュータウイルス不正アクセス脆弱性関連情報に関する発見被害の届出を受け付けていますウェブフォームやメールで届出ができます詳しくは下記のサイトを御覧ください URL: http://www.ipa.go.jp/security/todoke/ コンピュータウイルス情報コンピュータウイルスを発見またはコンピュータウイルスに感染した場合に届け出てください不正アクセス情報ネットワーク(インターネット LAN WAN パソコン通信など)に接続されたコンピュータへの不正アクセスによる被害を受けた場合に届け出てくださいソフトウエア製品脆弱性関連情報 OSやブラウザ等のクライアント上のソフトウエアウェブ等の上のソフトウエアプリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てくださいウェブアプリケーション脆弱性関連情報インターネットのウェブサイトなどで公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届け出てください脆弱性関連情報流通の基本枠組み情報セキュリティ早期警戒パートナーシップ脆弱性関連情報流通体制ソフトウェア製品の脆弱性発見者脆弱性関連情報届出受付分析機関受付機関報告された報脆告弱された性関連脆情弱報性の関連内情容報確の認検証内容確認分析支援機関分析機関脆弱性関連情報通知調整機関公表日の決定海外の調整機関との連携等対応状況の集約公表日の調整等対策情報ポータル脆弱性対策情報ポータルソフト開発者等システム導入支援者等セキュリティ対策推進協議会等対策応方状法況等公表公表ユーザー政府企業個人 Webサイトの脆弱性脆弱性関連情報届出報告された脆弱性産総研など脆弱性関連脆情弱報性通関知連情報通知関連情報の検証 Webサイト運営者 Webサイト運営者検証対策実施個人情報の漏洩えい時は時事は実事関実係関を係公を表公表 IPA: 独立行政法人情報処理推進機構 JPCERT/CC: 一般社団法人 JPCERT コーディネーションセンター産総研 : 独立行政法人産業技術総合研究所独立行政法人情報処理推進機構 113-6591 東京都文京区本駒込二丁目 28 番 8 号文京グリーンコートセンターオフィス16 階 http://www.ipa.go.jp セキュリティセンター TEL: 03-5978-7527 FAX 03-5978-7518 http://www.ipa.go.jp/security/