【DNS】Name Server 総合スレ Part2
Name Server 総合スレ【DNS】
http://toro.2ch.sc/test/read.cgi/unix/1227629676/
djb(4)
http://toro.2ch.sc/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://toro.2ch.sc/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://toro.2ch.sc/test/read.cgi/unix/997686566/
【DNS】DNS (Domain Name System) 総合 Part02
http://pc11.2ch.sc/test/read.cgi/network/1264403707/ (dat落)
【設定面倒】BIND 総合スレッド【DNS】
http://engawa.2ch.sc/test/read.cgi/mysv/1258628558/
BIND ttp://www.isc.org/software/bind
djbdns ttp://cr.yp.to/djbdns.html
NSD ttp://www.nlnetlabs.nl/projects/nsd/
Unbound ttp://unbound.net/
PowerDNS ttp://www.powerdns.com/
■規格
RFC1034 ttp://www.ietf.org/rfc/rfc1034.txt
RFC1035 ttp://www.ietf.org/rfc/rfc1035.txt
■アプライアンス
Nominum ttp://www.nominum.com/
Infoblox ttp://www.infoblox.jp/
■ついでに
ISC DHCP ttp://www.isc.org/sw/dhcp
Solarisのシステム管理
(DNS、NIS、LDAP 編) http://docs.oracle.com/cd/E19683-01/817-4911/
(FNS、NIS+ 編) http://docs.oracle.com/cd/E19683-01/816-6236/
Windows Server のDNSは省略だよもん
|::::i:::';::::::::l、::i:::ハ:/,ィチ爪' {ヒチ'!::イイ
|ハ::::::ヾ::::ハ 'Vリ ゙´ {、込ソ ゛″!:::i:.:l
|:.::ト、:.:.:ヾ:.ハーi| :::::::: 〉 ノ::::i::.|
{:.:.ト、ヾ.:.:.:ヾハ lト、 _, , イ:.:.:.:i.:ハ
ヾ::ヽゞ、\.::.\!! ヽ、. ´ /!.::!.:.i:.:!:.!:l >>1乙ぱい
, '" ヾ\ \:::::::::k /` ー ' `メ'リ:.:.ノ.ノ:ノノ
/ 川 リllVハ. ( i `\ ,イイ// //
/ |l ̄`ヽ ノ `メ、
,/ {:} `ー'- ニ_
,/ _∠ |l \ , \
/ _ ,. イ´: |l \ ,λ
/ -‐‐‐-<´ .! / |l ' , _,ィ'ンy}
〈 \ .ノ`ー斗rェ,,_,_,_|l ,.ir'彡イy-´ !
`ヽ、 ` ' <._ {jt=t-t-ミ`^Yーrヘr-彡'水k} !:} .ノ
` ー- .._ ` -ヽ. l`亠^{:i ̄ {:リ |ハ ノノ/ノ
_,. -‐ '  ̄ ´ ̄` ー- 、 \{{ {:l {:i ノ_,ィニ_ン´
// `ヽ 、\ \ {:l {∠ニァ--'
/ / `ヽミニ>ァ┴ '´
/\V| /
./ ヾ.、 ,. ' ´
先ごろプロバイダにDNSのセカンダリーを依頼したんですが
プロバイダのDNSがDNSSECしてませんでした。orz
でも利用者が少ないのは確実だから改修したくないんだろうね
もう使ってないのでDSレコードは削除したけどアカウントの削除方法が不明なんだよな。
自前のDNS(dns1.example.jp)のIPアドレスは a.b.c.d、プロバイダのDNS(dns1.example.com)のIPアドレスは w.x.y.zとします。
プロバイダのDNSにセカンダリーを依頼しています。
example.jp NS dns1.example.jp
example.jp NS dns1.example.com
dns1.example.jp A a.b.c.d
としているあるのですが、これを
example.jp NS dns1.example.jp
example.jp NS dns2.example.jp
dns1.example.jp A a.b.c.d
dns2.example.jp A w.x.y.z
とするのは宜しくない設定でしょうか。
w.x.y.z は変更される場合は置いといて。
うーむ・・・どの部分がひっかかっているのでしょう? w.x.y.z の逆引きが dns2.example.jp
ではない、とかじゃないですよね?
そうする必要なくね。
dns1.example.com A w.x.y.z
は署名がありません。
dns2.example.jp A w.x.y.z
にすれば、自分のドメインなので署名できます。
が、DNSホスティング業者がサーバのIPアドレスを変更したら名前解決できなくなる。
そしてたいていの場合、アドレス変更は予告なくおこなわれる。
アドレスは金輪際変えないよ、と明言してるのであればいいかもしれんけど。
ゾーン転送許可用にサーバIPを連絡されているのでは?
それなら、IP変更前に連絡はくるんじゃないか?
whoisに登録するDNSはホスト名で指定されています。
現状、これらのホスト名とIPアドレスは一致しています。
ゾーン転送のソースとセカンダリDNSのサービスIPが
この先も一致しているとは限りません。一致させない
理由は特に考えられませんが。
dns2.example.jp A w.x.y.z
と設定する w.x.y.z が急に使われなくなるのは、まあいいとしても
w.x.y.z が突如キャッシュサーバーに変身することがあると
困るかもしれません。
登録したいということですね。その気持ちは理解できる気がします。
それに >>21 さんの言うように、内部名の方が好ましいとする考え方も
ありますしね。
んで本題の「宜しくないのか」という点ですが、IP アドレスの変更に気を
付ける必要があるというのは既出ですが、DNS 的には問題ないように
思えます。やってみてもいいんじゃない?
dnssec-enable no;
になってるような…。bindなのかどうか分かりませんが
bindなら、そうなってるような。
dig @(プロバイダのDNS) (自分のドメイン) +dnssec
でRRSIGが表示されません。
DNSSECに対応しているかどうか、問い合わせ中です。
昔DNSSEC機能まわりでBIND9の脆弱性が出たときにdnssec-enable no
とすればワークアラウンドになることがあって、その時の設定が
そのまま入ってるとこが沢山ある。
あと、ブロードバンドルータの類がDNSSECというかEDNS0に
対応してるのはほとんどない。
こんなんじゃDNSSEC普及に何年かかるのやら
年2回程度でも鍵の定期更新に人手が必要になるとかコストが高すぎる。
IETFではCDS/CSYNCを使って自動的にDSレコードを吸い上げる案が出てるけど、
まだ、時間が掛かりそうな感じ。
http://tools.ietf.org/html/draft-hardaker-dnsop-csync-02
http://tools.ietf.org/html/draft-ietf-dnsop-delegation-trust-maintainance-11
そもそもDSを含む鍵更新の手順が複雑すぎて、ふつうのオペレータ
には対応不可能というのが問題。これ自動化されても問題の本質は変わらない。
何かがおかしくなったときに人手でちゃんと修正できるようになって
初めて実用になるが、たかがDNSをセキュアにするためだけに
全てのオペレータにプロトコルとPKIを精緻に理解することを要求する
DNSSECは人的コストがかかりすぎる
(さもなくば運用ミスは直ちにbogusになって引けなくなり、
さらにキャッシュのため修正しても回復に時間がかかる)
IETFとかのDNSSECやってる連中は想像できないかもしれないが、
オペレータにはDNS以外にもやらなきゃならないことは沢山あるのだ
言えるけどな DNSCurve・DNSSECそれぞれ固有の難しさがあるが、
難易度は大きくは変わらないだろう
始まってるけどな。こうなるとDNSSECとは何だったのかということ
になりかねないが
>>9
「パンドラの箱」とはおそれいった。
記事中では新規性が無いという指摘を巧妙に回避するための
レトリックを使っているが、こういう煽り記事を書いて目立たないと
いけない私大の先生も大変だな
毒がいわゆるin-bailiwickルールにマッチしていればDNSキャッシュサーバ
はそれを受け入れる(すでにキャッシュ上に同じデータがあれば
RFC2181 Rankingに従い上書きされる)という従来からある話に過ぎない。
基本的な対策はポートランダマイゼーションというのは6年前から
変わっていない。ポートランダマイゼーションしてないキャッシュサーバが
10%もあることは頭が痛いが。
この人は以前カミンスキー攻撃でDNSに毒は入らない、BIND9のバグに
過ぎないと主張していたが、こういう誤解を生む主張は全く迷惑だ。
カミンスキーの本質はそれではなく、TTLがoff-path攻撃からの保護にならず、
攻撃の成功確率を大きく向上させることができることを示したことだ。
カミンスキー以降、どのような毒が入るか研究が進んで、2010年前後に
にその手の論文や解説がいくつか出ているが、概ね↑で書いたものだ。
元文章を理解して書いているとは思えない内容ですが…??
緩和策いうのはその通りだけど、攻撃成功した時の影響が
大きいということでしょ。カミンスキーと類似の攻撃で
ポート・TXIDのランダム化を突破できれば、
TLD丸ごと、SLD(co.jp)丸ごと乗っ取れるという話。
TLDをターゲットにした具体的な攻撃法を示したのは
新規と言っていいんじゃないの
この人よほどDNSSEC嫌いなのか知らんけど、ポートランダム化だって
限界があるしDNSSECくらいしか次の現実的な対抗策はなさそう
(NSEC3はOptOpt無しでな)
RFC2181のルールを見直しても穴がありそうだし
でも他に何があるのさ?
浸透いうな・大岡山の両氏はDNSはオワコンであきらめろと言っとるよな。
むしろDNSSECしたら「お宅だけメールが送れないので、お宅のメールサーバーがおかしいですよ」と言われてorzする。
さすがに今はないか?
別のを作ってもDNSと同じものができそうw
いい歳して何を言ってんだ、いまどきマンガでもねえよ
サイト証明したければSSL使えばいい。
2008年当時でも、TLDの乗っ取りができないなんて話は誰もしていなくて
ポートランダマイズしてなければあらゆるものが簡単に乗っ取れる
という空気だった。
tss氏が示した毒が、ポート・TXIDのランダマイズをすり抜けられれば
TLDやSLDを乗っ取れるし、それが重大なのもよくわかるけど、
それは2008年当時から状況は変わらない。よくわからないのは、それでなにを
主張したいのかということだ。
ポートランダマイズを無効にする攻撃法を見つけたという主張なのか?
ポートランダマイズではもう不足だと言いたいのか?
ランダマイズしてないのがいっぱいあるのでランダマイズしろよという主張なのか?
カミンスキー的な攻撃は頻繁に行われているがRFC2181 Rankingによって
結構守られていた(今回そうでない毒を見つけた)という主張なのか?
DNSSECでもNSEC3 Opt-Out運用ではinsecure delegationを毒と
して入れることが可能なので、Out-Outはやめろと言いたいのか?
DNSは欠陥だらけで手の施しようがないので、もうやめろということなのか?
非専門家ばかりが騒ぎ、専門家の反応がいまいちなのはそのあたりなんじゃないか。
attackerに情報を与えることになるから
詳細は公表しないって逃げるに決まってる
ポートランダマイズの効果を薄くする方法はある…っぽいが、
オープンリゾルバで無ければ大丈夫かと思う。
普通のフルリゾルバであれば、とりあえずランダマイズで
対応する、で行くしかないんじゃないかな。
ただ、TXID&ランダマイズを抜けた後の手法がより危なく
なったので、ポイズニングに対する監視は充実させたほうが
よいのかもしれない。
unboundなら、「unwanted-reply-threshold」設定とか、
その他ならば、パケットキャプチャでクエリとレスポンスの
割合とかを見ておくとかかな?他にもあればPLZ.
いずれにせよ、今全てを投げ出すわけにもいかんのだし、
やれることを粛々と頑張るしか無いよね。
それに一口にオープン良くないというけど、そのオープンてどういう定義なの?
オープンは危ないという風評被害もありそう
え、オープンリゾルバに定義いくつもあるの?
あまり詳しく書くのははばかられるが、オープンだと
ポートランダマイズの効果を下げる事前作業がやりやすい
>>47
許可NW内のBOTを使えば、同じようなことは出来るので、
許可NWが多いリゾルバとかは危険かもしれない
いずれにせよ、そういうところは監視による警戒を厳
として、危険な兆候が見られたら即対応などを考えて
おいたほうがよいのかもしれない
何か特殊な設定仕込んでるのかなぁ
自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど・・・
用途は、避けたいサイト(正引き)で127.0.0.1を返すため
スマホとかで自前DNSを利用したい
JPRSも書いてたけど、危ないと思ったらキャッシュクリアするとか…
あとは攻撃元IPを見つけたら、BANして通報とかかな。
>>50
GoogleDNSは権威側で動作を見てると、多段で構成されてるっぽい。
フロントはオープンだが単なるフォワーダっぽいリゾルバみたい。
バックエンドはオープンでないフルリゾルバで、フロントからの
問い合わせにだけ答えている模様で、こちらは色々対策している
のでは無いかと思う。
> GoogleDNSって、たしかUnbound使ってたと思うけど
それどこ情報?
それってオープンリゾルバの一種なの?
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね?
自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど??
どれが誰だかわからん。
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。
aho ?
鍵更新をしくじりでもしたのか。
ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。
まだ問い合わせは一度も来たこと無いけどね! (酷いオチ)
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。
復旧してないとは思わなかった。何やってんだ、中の人。
参考
↓
ttp://www.e-ontap.com/blog/20140527.html
絶賛リカバリ中ってとこなのかな。
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな……
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか
# まだ7月じゃないのに・・・
???「ANSドゾー」
合掌
気付いてるけどかわりがないから使わざるをえないだけで。
DNS 進化への渇望
DNS使わない派?
DNS抜きでActiveDirectoryを使える?
そのハッシュ関数はどのように実装されるのでしょうか?
IPアドレスが変わったら、どうなるのでしょうか?
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。
すいません許してください!なんでもしますから!
ならば、これからは私利私欲ではなく、世の人のためにその力を使うのじゃ。
100〜のスレッドの続きを読む