Transcript

• 1. DNSSECDNSSECはは 君の君の嘘嘘 を見抜くを見抜く **君君=clacker=clacker ～～DNSSECDNSSECをを月月100100円円でで 運用してみよう！～運用してみよう！～ 2015/04/04 Sat 13
• 2. お約束 この発表は個人的な物で 仕事や所属等は全然関係ありません。 誤記や間違い等あれば ご指摘頂けると 助かります。 @takatayoshitake
• 3. 自己紹介 @takatayoshitake 広島を中心に勉強会に出没。 オープンソースカンファレンス広島の お手伝いやいろんな勉強会で Ustとかやってます。 広島サーバユーザ友の会(仮称)や 日本CloudStackユーザ会 広島支部等 も最近はじめました。一応・・・ OSC広島の公式キャラクター 「あきちゃん」 http://j.mp/osc14hiaki
• 4. 四月は君の嘘 まだ見たことの無い方は 騙されたと思って ぜひ見てみよう！ http://www.kimiuso.jp/
• 5. 会場のみなさんに質問 A. ある B. ない DNSSECDNSSECをを 運用したことが…運用したことが…
• 6. 全員運用したことが あったらここで終了 まだ運用したことが 無い方が居たら 次のページへ進む
• 7. DNSSECとは? DNSSEC(Domain Name System Security Extensions)とは、 DNSに対し、データ作成 元の認証やデータの完全性を確認できるよう に仕様を拡張するものです。 DNSSECによっ て、データの偽装を検知することができるよう になり、 DNSキャッシュポイズニング(*)のよう な攻撃を防ぐことができます。 https://www.nic.ad.jp/ja/basics/terms/dnssec.html
• 8. DNSSECの仕組み 電子署名の仕組みを応用しDNS応答を検証。 詳しくは下記参照 https://www.nic.ad.jp/ja/newsletter/No43/0800.html
• 9. DNSSECの利点と問題点 利点 ● DNSの毒入れ等による不正を検出する事が出来る。 ● ※防御できるわけでは無い。 問題点 ● しくみが複雑で運用が大変。 ● 設定ミス等により名前解決が出来なくなる危険がある 昨今のセキュリティインシデントにより必要性は理解されて 来ているが運用の危険性が高くまだまだ普及していないの が現状
• 10. そんな運用の大変な DNSSECですが 月100円で運用できる サービスがあったので 試してみた
• 11. お名前.com http://www.onamae.com/
• 12. DNS管理サービス - DNS追加オプション DNS管理サービス 無料オプション DNSレコード設定 セカンダリDNS DSレコード ・・・ DNS追加オプション 1ドメイン月額100円（税抜）でご利用いただけます。 外部管理ドメインの追加 DNSSEC ・・・ http://www.onamae.com/option/dns/
• 13. DNSSECに対応している ドメインの種類は？ 汎用/都道府県型JPドメイン（日本語・ローマ字） .co.jp .com（日本語・ローマ字） .net（日本語・ローマ字） .nagoya（日本語・ローマ字） .okinawa（日本語・ローマ字） .tokyo（日本語・ローマ字） .yokohama（日本語・ローマ字） .tv（日本語・ローマ字） .cc（日本語・ローマ字） 属性型.com/属性型.net/属性型.org .pw（日本語・ローマ字） .me .club .xyz（日本語・ローマ字） .bar .bid .blackfriday .ceo .christmas .click .cooking .fishing .gift .guitars .horse .ink .link .photo .pics .rest .rodeo .sexy .tattoo .trade .vodka .webcam .wiki
• 14. エラーが発生しましたが、無事設定済みになってました。
• 15. $ dig xxxxxx.xx ds ;; Query time: 4 msec ;; SERVER: 210.188.224.10#53(210.188.224.10) ;; WHEN: Sat Apr 4 09:55:02 2015 ;; MSG SIZE rcvd: 92 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> xxxxxx.xx ds ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44718 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;xxxxxx.xx. IN DS ;; ANSWER SECTION: xxxxxx.xx. 3600 IN DS 44356 8 2 F977F8BA95177CB88A57818B47111B0F2E0E16A8D8F0179674175DEA 672C6C68 申込後約1時間で設定完了 早い！
• 16. dig xxxxxx.xx +dnssec ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> xxxxxx.xx +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37912 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;xxxxxx.xx. IN A ;; AUTHORITY SECTION: xxxxxx.xx. 3600 IN SOA 01.dnsv.jp. hostmaster.dnsv.jp. 1428104896 3600 900 604800 3600 xxxxxx.xx. 3600 IN RRSIG SOA 8 2 3600 20150417161143 20150403224815 25165 xxxxxx.xx. OWJHpRxhcKYLVXpVjnmR4wC4hpOR9S5kiRbZUwvRXs/+cKUReAOrLz3n SOkw2uJ3ggM+hVpnDqk41QOleQWgBzOO8df5ACkcUjs6pps0ZMR/49Tp tGWBXkXQ7rAfJC9xiQXo6K9Kz4mREALP+BLs8Q/ETd2LS71zcvSvVlEJ 36Y= bnvjsvn75ug7hftl0un71dd9c3ba3d60.xxxxxx.xx. 3600 IN RRSIG NSEC3 8 3 3600 20150418033909 20150403224815 25165 xxxxxx.xx. j3t6WJYjId7R3DO683cagd4mWGllZoztfmLbnifc85XiJXmMoZrCwHuu 7XYkvA6NhJOGusUzGm4iRk+U2lbJ9MuXjtFMvvvEJkmVvTQnS3D6WkuR SiPN1Yx47LteVUNiUyjZmiGpNlqVGE3AFju++ekFe2YqXg78Kf3txjnu tSo= bnvjsvn75ug7hftl0un71dd9c3ba3d60.xxxxxx.xx. 3600 IN NSEC3 1 0 5 AED08CAB94B77598 SH0DID7579TC7FM1V5ERMM4LQ64DOBJB NS SOA MX TXT RRSIG DNSKEY NSEC3PARAM ;; Query time: 57 msec ;; SERVER: xxx.xxx.xxx.xx#53(xxx.xxx.xxx.xx) ;; WHEN: Sat Apr 4 11:45:06 2015 ;; MSG SIZE rcvd: 521
• 17. まとめ ● DNSSEC自分で設定し ようとすると大変だけど 月100円なら設定して もいいよね。 ● DNSSECを始めよう! ご清聴ありがとうございました。