orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

DNSサーバーでDNSSECを使っている人は要対応、と総務省が言っている件

IT・情報技術 セキュリティー

f:id:orangeitems:20181002205836j:plain

 

総務省が注意喚起

DNSサーバーの運用と言うのは慣れてしまうと空気みたいなものですが。総務省が注意喚起をしているので取り上げます。

 

www.soumu.go.jp

インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。
 これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。

 

キャッシュDNSサーバーというのは日本中、いや世界中にばらまかれているので、システムのお守りをしている人はギョッとするのではないでしょうか。だいたい、場合があるとはどんな場合なのか。自分の管理するDNSサーバーは対象なのかどうか。

 

ニュースにもなってますね。

www.itmedia.co.jp

総務省は10月2日、ホスト名・ドメイン名をIPアドレスに変換する仕組み「DNS」(Domain Name System)で、暗号鍵の一部が12日に更改されることを受け、インターネットサービスプロバイダー(ISP)などに対応を求めた。

 

結論

結局のところDNSSECを使う設定にしているキャッシュDNSサーバーだけが影響を受けます。しかもRFC5011という設定を行っていない場合に限定されています。

 

DNSSECとは?

まずDNSSECって何ぞや。一番わかりやすいページを紹介します。

 

www.atmarkit.co.jp

インターネットの重要な基盤技術の1つであるDNSに対して新たな攻撃手法が公開され、その安全性が脅かされている。DNSにセキュリティ機能を提供するための技術であり、普及が進んでいるDNSSECについて、仕組みと運用方法を紹介する。(編集部)

 

一通り読むと、ああDNSの経路を鍵認証を使ってキャッシュポイズニングされないようにするために仕組みなのね、とわかると思います。

で、その一番親玉の鍵が2018年10月12日に変わっちゃうぞというのがポイントです。

 したがって、えーDNSSECって構築したことないやー、って人はそもそもセーフだったりします。

 

CentOS7 + BIND

例えば、BINDでの構築については、named.confの中に、

 

options {
--省略--
dnssec-enable yes;
dnssec-validation yes;
--省略--
};

 

っていう記載がなきゃ絶対に使っていません。ダメ押しで、CentOS7 + BINDでの構築方法まで紹介しておきます。下記ページが最も具体的でわかりやすかったです。

 

genchan.net

 

RFC5011の件は後述します。

 

Window + DNS

今回初めて知ったんですけど、Windows は絶対に対応不要です。

ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性 – Ask the Network & AD Support Team

Q1.
Windows の DNS サーバーにおいてルート ゾーン KSK の更新に伴い、対策を実施する必要があるのか。

A1.
結論として、Windows OS の DNS サーバーにおいては DNSSEC の構成の有無に関わらずルート ゾーン KSK の更新に伴う対策は不要です。

一般的には、ルート ゾーン KSK を管理しているパブリックのルート DNS サーバー (権威ある DNS サーバー) に対して明示的に DNSSEC を利用するように構成されているか否かが判断基準となります。
このため、DNSSEC を構成せずに DNS サーバーを利用している環境においては、今回の更新に伴う対策は必要なく、具体的な影響もないと判断できます。

Windows において DNSSEC を利用するように構成されている場合 “Windows Server 2012” 以降の OS であれば RFC5011 (トラストアンカーの自動更新) に準拠しているため、DNS サーバーは自動更新が有効であり、対策は不要です。
更に、Windows Server 2008 R2、Windows Server 2008 ではハッシュ アルゴリズムとして "RSA/SHA-256" に非対応であり、今回更新されるパブリックのルート DNS サーバーは "RSA/SHA-256" のみ対応しているため、DNSSEC を設定することができません。
このため、Windows Server 2008 R2 および Windows Server 2008 についても対策は不要となります。

 

なるほど・・完璧ですね。RFC5011によって、鍵が変わっても自動で対応してくれるんですね。

 

RFC5011の件

そういえば、RFC5011って、BINDは対応していないのかしら?

 

NICにあるPDFがわかりやすかった・・。

https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/t5-ishihara.pdf

 

f:id:orangeitems:20181002205421p:plain

 

上記の通り、managed-keysというディレクティブで設定すれば、Windowsのように自動更新してくれるそうです。

BIND+DNSSEC使いで、自動更新していると思っている人も実際更新されているかは確認したほうがいいでしょうね。

 

感想

キャッシュポイズニングを避けるというのは確かにありがたい機能ですが、キャッシュDNSサーバーがしびれちゃうと重大障害になりますからね。DNSSECが設定されつつRFC5011で自動更新していない人は注意、くらい総務省も言ってくれるとわかりやすいのでは??と思います。

私はまだDNSSEC使ったことなかったので勉強になりました。あとWindows ServerのDNSサーバーは良くできてますね。

 

 

標準テキスト CentOS 7 構築・運用・管理パーフェクトガイド