DNSSEC最新動向 - PDF 無料ダウンロード

DNSSEC 最新動向とインターネット検閲の問題の話 NTT セキュアプラットフォーム研究所佐藤一道 2012/9/1 1

DNSSEC 最新動向失敗事例 ( 少し ) 普及状況その他ツールお題目論文紹介 The Collateral Damage of Internet Censorship by DNS Injection 2

DNSSEC 最新動向 3

Comcast DNS News 情報源 http://dns.comcast.net/ DNSSEC Deployment Initiative https://www.dnssec-deployment.org/ その他 DNS-OARC や DNSSEC Deployment のメーリングリストなど 4

失敗事例 earthquake.gov の DNSSEC 検証失敗 2012/8/30 原因は署名の有効期限切れ medicare.gov の DNSSEC 検証失敗 2012/8/28 新しい署名情報が有効になる前に古い署名情報を削除したため sba.gov の DNSSEC 検証失敗 2012/8/27 原因は署名の有効期限切れ ubm-us.net の DNSSEC 検証失敗 2012/8/27 原因は署名の有効期限切れ glb.cdc.gov の以下略引用 :http://dns.comcast.net/ 5

DNSSEC 普及状況引用 :http://www.ohmo.to/dnssec/maps/ 6

DNSSEC 普及状況 TLD の DNSSEC 対応状況 (2012 年 8 月 17 日時点 ) 署名済みTLD 数 :77 DS 公開済みTLD 数 :82 直近数ヶ月で大きな変化はない最近署名または DS が登録された TLD 2012 年 4 月 5 月 6 月 7 月 8 月署名.fo.gn.lr.lv.lb.tt.lk DS 登録.ua.lb.mil.lv.tt 引用 :http://www.ohmo.to/dnssec/maps/ 7

DNSSEC 普及状況の可視化過去 ~ 未来の cctld の DNSSEC 普及状況を描いた地図が公開 2006 年 1 月 ~2014 年 7 月の普及状況大本さんのライバル出現? 公開場所 (2012 年 8 月 29 日時点の最新版 ) https://www.dnssec-deployment.org/wpcontent/uploads/2012/07/2012-07-02-animated.gif 凡例黄色 : 実験中オレンジ : アナウンス済緑 : 署名済みであるが DS は未公開青 : 署名済み DS 登録済み子ゾーンからの DS 登録を受け付けていない赤 : 署名済み DS 登録済み子ゾーンからの DS 登録を受け付けている 8

2006 年 2006 年 ~2008 年の普及状況 2008 年 9

2010 年 2010 年 ~2012 年の普及状況 2012 年 10

2013 年 2013 年 ~2014 年の普及状況予測 2014 年 11

今オランダが熱い署名済み.nl ドメイン名数が cctld の中で一番多い署名済みドメイン名数は SIDN の Web サイトで確認することができる https://www.sidn.nl/en/homepage-sidn/ 8/29 時点の署名済みドメイン名数約 77 万全ドメイン名数は500 万約 15% のドメイン名が署名済み 12

今オランダが熱い SIDN が今年 5 月に.nl の子ゾーンまで DNSSEC 対応したとアナウンスしてから急激な伸びを見せている 13

ツールなど YADIFA EURID が開発した DNSSEC 対応権威サーバ他の DNS サーバと比較してメモリ使用量が少ない大量のクエリをさばけるゾーンファイルのロード時間が短い対応 OS FreeBSD GNU/Linux OS X 今後 OpenBSD Solaris などの UNIX Windows にも対応予定 URL http://www.yadifa.eu/ 14

dnssecmagic.js ツールなど Web サイトにアクセスしたユーザが DNSSEC 検証 ON のキャッシュサーバを使っているかを判定するスクリプト DNSSEC 検証 ON DNSSEC 検証 OFF ソースコード https://github.com/jpmens/dnssecmagic.js 15

感想以前 (1 年前 ) と比較して変わったこと xx の署名の有効期限が切れてるなどがメーリングリストに投稿されることが少なくなった運用にこなれてきた? あまり興味がなくなった? 検証失敗事例は依然としてたくさんあるのだが xx( 上位ゾーン ) が署名しましたなどの投稿も少なくなった主要な TLD は概ね署名および DS 登録済み今後見たいニュースインパクトのあるゾーンの署名ニュース Google Facebook Twitter など 16

論文紹介 :The Collateral Damage of Internet Censorship by DNS Injection 17

投稿論文 ACM SIGCOMM 2012 に投稿された DNS によるインターネット検閲の問題を調査した論文 http://conferences.sigcomm.org/sigcomm/2012/paper/ccr-paper266.pdf http://www.sigcomm.org/sites/default/files/ccr/papers/2012/july/2317307-2317311.pdf 論文情報タイトル The Collateral Damage of Internet Censorship by DNS Injection 著者アノニマスのメンバ ( 論文ではマトリックスの登場人物名偽名 ) 所属はネブカデネザル号マトリックスの登場人物名 18

論文概要 DNS の応答を制御することでインターネット検閲を行っている ISP ( 以下検閲 ISP) が網外の端末に与える影響を調査検閲 ISP 外のユーザが検閲を受けてしまう巻き添えの仕組み影響を調査調査内容どの ISP がインターネット閲覧を行っているか偽装応答を受け取るキャッシュサーバはどの程度存在するか偽装応答はどの階層で受け取るか調査期間 2011 年 11 月の 1 ヶ月間調査結果中国内の 39 の ISP(AS) が閲覧を行なっていることを確認 109 ヶ国約 11,000 のキャッシュサーバが偽装応答を受け取った偽装応答を受け取る階層は主に TLD への問い合わせ時 19

巻き添えの仕組みキャッシュサーバからのクエリが検閲 ISP に到達したとき巻き添えが発生する巻き添えの要因権威サーバが検閲 ISP 内に設置されている途中経路に検閲を行っている ISP がある著者の仮説偽装応答は検閲 ISP のルータが返すクエリの送信元は考慮していない 20

やってみる www.cnnic.com qq.com にクエリを投げてみる $ dig @www.cnnic.com facebook.com $ dig @qq.com facebook.com など 21

(1) 検閲を受ける経路の特定調査方法検閲対象と思われるドメイン名の名前解決を様々な宛先に対して実施する宛先は DNS サーバではないため通常であれば応答はない問い合わせに対して応答があった場合その宛先までの経路のどこかに検閲 ISP が存在するものとする調査 IP アドレス 1,400 万 IP アドレスクエリ送信元 AS40676 にある VPS 調査対象ドメイン名 22

調査結果 (1) 応答のあった宛先 16 の地域 197 の AS 388,988IP アドレス CN CA US HK IN AP KR JP WT DE PK AU SG ZA SE FI ほぼ中国の IP アドレス偽装応答があったドメイン名 www.facebook.com twitter.com www.youtube.com www.appspot.com www.xxx.com www.urltrends.com 23

(2) 検閲 ISP の特定調査方法 IP ヘッダの TTL を 1 つずつ増加させながら問い合わせを行いどの段階で検閲を受けたかを特定する traceroute と同様の手法調査対象の宛先は (1) の調査で応答があった IP アドレス調査結果 3,120 の IP アドレスから偽装応答があることを特定上記 IP アドレスは中国の 39 の AS に属する 24

(3) 影響を受けるキャッシュサーバの特定調査方法様々なオープンリゾルバから問い合わせを行う 173 ヶ国 43,842 オープンリゾルバ問い合わせドメイン名は (1) の調査で応答があったものから生成 ( 生成ルールは次項で ) 応答 IP アドレスが偽装されたものであれば巻き添え被害を受けるキャッシュサーバ 25

(3) 影響を受けるキャッシュサーバの特定 ( ドメイン名生成ルール ) 生成ルール 1 {KEYWORD}.{RANDOM} www.facebook.com.adsasdf NXDomain ではない応答が返れば Root サーバへのクエリに対する応答が偽装されている生成ルール 2 {KEYWORD}.{RANDOM}.tld www.facebook.com.adsasdf.com NXDomain ではない応答が返れば TLD サーバへのクエリに対する応答が偽装されている生成ルール 3 {KEYWORD}.{RANDOM}.authority.tld www.facebook.com.adsasdf.ibm.com NXDoamin ではない応答が帰れば Root TLD 以外の権威サーバへのクエリに対する応答が偽装されている authority.tld は Alexa の上位 82 ドメイン (.cn 除く ) 26

調査結果 (4) キャッシュサーバ Root サーバの偽装応答 ( ルール 1) 偽装応答があったのは台湾のオープンリゾルバ 1 つのみ (124.219.23.209 AS24154) Root サーバまでの経路に中国の ISP が含まれていたと思われるキャッシュサーバ TLD サーバの偽装応答 ( ルール 2) 中国の TLD (.cn.xn--fiqs8s.xn--fiqz9s) 43,322 (99.53%) のオープンリゾルバに偽装応答が返った中国以外の TLD 11,573 (26.40%) のオープンリゾルバに偽装応答が返ったキャッシュサーバその他権威サーバの偽装 ( ルール 3) 99 のオープンリゾルバに偽装応答が返った 27

調査結果 (4) 続き検閲を受けたオープンリゾルバ数 (TLD 別 ) 韓国から.de DNS サーバへクエリを送信したとき 70% 以上のオープンリゾルバに偽装応答が返った多くのドイツまたは韓国の TLD サーバへのクエリが検閲を受けた.de DNSサーバへのクエリで検閲を受けたオープンリゾルバ割合 ( クエリ送信元地域別 ) 28

まとめ調査結果まとめ ( 再掲 ) 中国内の 39 の ISP(AS) が閲覧を行なっていることを確認 109 ヶ国約 11,000 のキャッシュサーバが偽装応答を受け取った偽装応答を受け取る階層は主に TLD への問い合わせ時著者の思い DNSSEC 検証を行えば偽装応答を検知できる調査結果が DNSSEC の普及につながることを願う 29

感想調査内容としては非常に興味がある広範囲に渡る検閲 ISP の調査特定ただし評価結果が大袈裟すぎる論文では 109 ヶ国約 11,000 のキャッシュサーバが影響を受けると主張しているが影響範囲は限定的韓国から.de のドメイン名を問い合わせたときこの結果だけでは DNSSEC 普及に繋がるとは思えない 30