「Interop Tokyo 2007」において13日、日本DNSオペレーターズグループによる「DNSOPS.JP BoF」が開催された。日本DNSオペレーターズグループは、DNSオペレーター間の連携の場を形成することと、DNSにかかわる横断的かつ全体的な連携を形成することを主な目的として、昨年の「Interop Tokyo 2006」の場で設立が宣言された。
内容的には、lame(DNSにおける不適切な設定のこと)やDNSの安全性、統計情報や新しい提案など幅広い話題が提供されたが、今回はこの中からDNSSECに関する話題や、DNSの仕組みを悪用したDDoS攻撃(DNS Amp)の情報などをお伝えする。
|
|
「DNSOPS.JP BoF」会場
|
オープニング
|
● DNSSECはなぜ普及しないのか
|
APNICのGeoff Huston氏
|
DNSSEC(DNS Security Extension)は、DNSのセキュリティを向上させるために生み出された技術である。基本的な仕組みは、DNSで使われるメッセージが改竄されていないことを保証するために、公開鍵暗号の技術を用いた認証を行なうというものだ。
このDNSSECがなかなか普及しない現状を、(直前に参加が決まった)APNICのGeoff Huston氏が、まずDNSSECの概要について説明し、続いて自身の考えを述べていくという形で問題提起した。
DNSSECは、上から下(ルートから自分自身が管理するゾーン)まですべて署名することが基本だが、実際はそうなっておらず、そのことにより信頼の連鎖が途切れてしまう。DNSSECの採用を促すためにはそのためのモチベーションが重要だが、正しいことを示していくことで対応していくことになる。
メリットとしては、攻撃されにくくなること、DNSの信頼性が上がるといったことがあるが、その一方で、ゾーンが大きくなり、応答も大きくなること、管理が面倒になるといったデメリットなども示された。
会場からは、現状のDNSのアンセキュアな状況と、DNSSECを採用することによって応答パケットが大きくなることで、DNS Ampで悪用される危険性とどちらが重要かといった質問や、ルートゾーンの鍵をどのように安全に得るのかといった質問などが投げかけられ、活発な議論が行なわれた。
現状のDNSは、UDPというパケットを使っている関係で偽造が容易であり、そのことがDNSの信頼性を低いものとしている。Geoff Huston氏は、その発言の中で「インターネットを支えているルーティングとDNSという重要な2つのプロトコルはセキュアではない」と何度も述べており、会場も何らかの対策が必要という点では共通した認識を持っていたようだ。今後、この話題が盛り上がるように頑張りたいと締めくくられた。
● DNS Amp攻撃は現実の脅威
|
JPRSの森下泰宏氏
|
インターネット上でどこかのサービスを妨害する際によく使われるのが、そこに大量のトラフィックを送りつけてネットワークを実質的に使えなくするDDoS攻撃である。その手法の1つとして、DNSの仕組みを悪用したDNS Ampについての議論が行なわれた。
まず、日本レジストリサービス(JPRS)の森下泰宏氏がDNS Ampについて概要を解説した。DNS Ampとは、その名の通り小さなパケットを増幅(Amp)してターゲットに送りつける仕組みであること、増幅にDNSの仕組みが使われること、悪用されるのは、利用者を限定していない“オープンな”DNSサーバーであることなどが示された。
DNS Ampは、仕組みとしては正しい動作であるために受動的な防御が難しい。重要なのは、DNS Ampで悪用されないようにすることだが、そのためにどうすればよいのだろうか? ここでは、IPアドレスを騙ったパケットを外部に出させないためにSource Address Validationという仕組みを採用すること、DNSキャッシュサーバーを正式なユーザーのみに使わせるといった基本的な対策ばかりでなく、オープンになっているDNSサーバーについては、たとえばJPCERT/CCを経由して対応を依頼するといったアイディアまで幅広い意見が数多く出されていた。
また、会場では実際に起こったDDoS攻撃の例も紹介された。DNS Amp攻撃は現実の脅威であり、その対策が重要であることがあらためて示された形だ。
● Whois情報のメンテナンスは自分自身のために必須
その他のトピックとしては、JPNICが行なっている逆引きDNSにおけるlame delegationの改善に関して、その手順について確認が行なわれた。
具体的には、1)1日1回調査を行ない、15日連続してlameと判定した場合、技術連絡担当者へメールにて通知する、2)状態が変わらない場合には週に1度メールを送る、3)30日経過しても解消しない場合には、該当逆引きゾーンの委任を停止する──ということだ。その後、lameではないと判定されれば自動的に復活するが、そのタイミングは、1日1回の調査と次回のゾーン生成後となることが示された。
同時に、連絡はメールを使用するため、技術連絡担当者に確実にメールが届くようにWhois情報のメンテナンスを行なうことの大切さが確認された。
関連情報
■URL
Interop Tokyo 2007
http://interop.jp/
日本DNSオペレーターズグループ
http://dnsops.jp/
■関連記事
・ 「日本DNSオペレーターズグループ」が発足へ、InteropのBOFで有志が宣言(2006/06/08)
・ 「DNS Day」では、安定運用とセキュリティが最大の関心事に(2006/12/07)
( 遠山 孝 )
2007/06/15 22:10
- ページの先頭へ-
|