= DNS/セキュリティ = <> <> DNSサーバーの不正利用 https://x.com/motokinter/status/1869283241783640171 Balancer and Galxe [[/Galxe]] [[/Balancer]] https://www.fxstreet.com/cryptocurrencies/news/galxe-balancer-dns-attacks-reveals-many-crypto-enterprises-are-vulnerable-to-subdomain-domain-hijacking-202310080705 [[/Phantom Domain Attack]] [[/MaginotDNS]] [[/Bard]] [[/Balancer]] [[DNSSEC]]は棚上げにして、DNS の危うさを整理してみたい。 なぜ認知されないのか。 1. DNS は難しい。 2. 啓発活動が不十分。(責任ある組織によるもの) 3. 大きなトラブルが起きていない。 [[DNS/脅威]] == DNSは信用すると危ない == DNSはセキュリティのことは考慮せずに設計された。(RFC 1034) まともに運用できるかどうかも怪しい状態から始まった。 したがって、安全性を考慮するのは運用の仕事である。 [[DNS/脅威]] UDPは偽造しやすい。できるかぎり、TCPだけを使うようにしよう。 ゾーンサーバからの返事を信用しては危険です。  DNSにおける「権威」はすべて自称(オレオレ) [[/Intercept and Inject]] Intercept and Inject: DNS Response Manipulation in the Wild https://link.springer.com/chapter/10.1007/978-3-031-28486-1_19 == 前提 == DNSの基本動作を理解していることが前提になる。 この前提が満たされているひとが運用にあたっているか。はなはだ怪しい。-- ToshinoriMaeno <> [[DNS/abuse]] [[DNS/脅威]] DNSの運用に起因するセキュリティ問題 https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-aharen.pdf リゾルバーに偽のレコードをキャッシュさせる攻撃:  [[DNS/毒盛]] == 項目 == 関連項目: [[DNS/脆弱性]] [[DNS/なりすまし]] [[DNS/乗取]] [[/privacy]] ---- https://news.ycombinator.com/from?site=thehackerblog.com [[/GoDaddy]] では問題がよく起きる。狙われているのだろう。 [[/毒盛対策]] [[DNS/脅威]] 警告:DNSの[[/仕組み]]など基本を理解していることを前提にしています。 How DNS kills the Internet https://research.kudelskisecurity.com/2014/09/23/how-dns-kills-the-internet/ DDoS attacksに対抗するのをDNS securityだと言っているところもある。  availability は securityの一部。 島村 充: DNSにまつわるセキュリティのあれこれ  インターネットイニシアティブ http://www.iij.ad.jp/company/development/tech/techweek/pdf/161111_04.pdf == ドメイン名管理 == == ゾーン管理 == = 攻撃 = == キャッシュ毒入・毒盛 == UDPは偽パケットを送り易いので、DNS返答は偽であると疑う必要がある。 [[MITM]]攻撃できる立場であれば、偽攻撃も容易である。-- ToshinoriMaeno <> DNSに対する脅威の進化状況 https://www.cloudflare.com/ja-jp/learning/insights-dns-landscape/ DNSの設計時にセキュリティは考慮されなかった 攻撃者にEmotet拡散手段やMcAfee偽装手段を提供するドメインパーキング https://unit42.paloaltonetworks.jp/domain-parking/ securityを根にした木構造にしたいと思ったが、 そう簡単ではないので、いくつかの根の元に書いてみる。-- ToshinoriMaeno <> [[DNS/1/セキュリティ]] [[DNS/lame_delegation]]  セキュリティ考察の対象 リゾルバー関連のセキュリティ : https://qiita.com/sasshi_i/items/f6057f70e9aea80e4662 [[/yajima]] https://blog.apnic.net/2021/11/26/adoption-of-dns-security-mechanisms-related-to-ease-of-use-cost/ == CIA == 機密性(Confidentiality)はDNS ゾーンデータにはもともと必要ありません。 最近になって、話題になるのは問い合わせのprivacyです。 Statement on DNS EncryptionRoot Server OperatorsMarch 2021 https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf DoS 対策は重要ですが、ここでは扱いません。(Availability) Integrity (完全性) を中心に議論することにします。 完全性よりは一貫性と呼ぶ方がふさわしいでしょう。-- ToshinoriMaeno <> == 被害 == DNSで入手する情報が間違っていたり偽だったりとかだと、  本来の目的のサイトではない相手に接続することになる。  危ない。[[DNS/1/セキュリティ]] [[/ファーミング]]  暗号通貨の盗難 DNS(ゾーンサーバー、キャッシュサーバー)を落とすという攻撃もある。(サービス妨害)  [[/DDoS]] == 分類してみる == DNSという仕組みに対する攻撃を系統的に分類するという仕事はまだされてなさそう。 (大規模な攻撃がすでにあったものさえも表面的な観察だけのようだ。) 2017年での最大の脅威は登録情報の書き換えというDNSプロトコルには関係のない攻撃だ。-- ToshinoriMaeno <> ルータとかのDNS(リゾルバーアドレス?)設定を書き換える攻撃も増えているようだ。 ここでは偽のDNS情報をクライアントプログラム(例えば、web browser)に渡すとしたら、 という観点から、以下の手法を検討してみる。[[DNS/hijacking]] に構成し直し中。 1. [[DNS/1/レジストラ情報の改変]] : DNSは直接は関係しない。JPRSは[[DNS/1/ドメイン名/ハイジャック]]と呼んでいる。   レジストラへの侵入、webインターフェースの不具合など。 [[/eNom]] 2. [[DNS/1/ゾーンサーバ/上の情報の改変]] ゾーンサーバに侵入するとか、  ゾーン同居の処理不良、管理不良ドメイン (例:さくらゾーンサービスの不良) 最近起きたのはDynamic Updateの欠陥(実装)を付いて、書き換えるとか。 https://doc.powerdns.com/md/authoritative/dnsupdate/ 3. [[DNS/毒盛]] リゾルバーキャッシュへの毒盛   DNSプロトコルの弱点を利用する。 4. 末端が参照するリゾルバー/フォワーダー情報の改変    switcher, DNS changer など。ウィルスを利用するもの。   https://www.tripwire.com/state-of-security/latest-security-news/android-trojan-performs-dns-hijacking-attacks-wireless-routers/ 5. 間違ったNS設定は付けこまれる恐れがある。   期限切れで誰でも取得できるようになったドメイン内のゾーンサーバを登録しているドメインは危ない。   偽情報を紛れ込ませるわけではないので、使う側が気をつける以外には対策はない。(visa.co.jp事件) 6. 共用DNSゾーンサービス内の使っていないDNSサーバを上位サーバに登録し忘れていると、   勝手にゾーンサービスに登録されて(使われて)危ない。(さくらは制限している)   これはドメインハイジャックと呼ぶのがぴったり。(委譲情報の改変は必要ない。) 7. [[/Typosquatting]] 紛らわしい名前、見分けのつきにくい名前を登録しておく。ミスで嵌るのを拾う。 https://en.wikipedia.org/wiki/Typosquatting {{{ Typosquatting, also called URL hijacking, a sting site, or a fake URL, is a form of cybersquatting, and possibly brandjacking which relies on mistakes such as typographical errors made by Internet users when inputting a website address into a web browser. }}} -- ToshinoriMaeno <> これら以外にはDNSサービスを妨害する目的の攻撃もある。  Amp, Water Torture == DNS攻撃リンク == DNS攻撃の分類・歴史・トレンド http://www.terilogy.com/momentum/topics/tapas02.html http://ya.maya.st/trash/openresolver.pdf DNSオープンリゾルバ問題 = 防御 = == 初級の知識では対策は難しい == できるかぎり、TCPだけを使うようにしよう。 ゾーンサーバからの偽情報判別はリゾルバーに期待する。 BINDはあぶない。Unboundの方がまし。 -- ToshinoriMaeno <> == DNSECは普及していない == 対応が難しく、面倒という状況が続いている。 リゾルバー側が対応するだけでは不十分で、すべてのゾーンが対応することは期待できない。 == DNS Cookiesはこれから == == リゾルバーの改良で凌ぐ == NS毒盛やCNAME毒盛は簡単な対策がある。  リゾルバーで対応してもらえれば、キャッシュ毒盛対策はほぼ十分になるのだが。 -- ToshinoriMaeno <> = 参考文献 = https://www.elsevier.com/books/dns-security/liska/978-0-12-803306-7# DNS Security 1st Edition Defending the Domain Name System Authors: Allan Liska Geoffrey Stowe DNS Security: In-depth Vulnerability Analysis and Mitigation Solutions https://www.amazon.com/DNS-Security-depth-Vulnerability-Mitigation-ebook/dp/B007ZW50WE#reader_B007ZW50WE The Challenge of Defending the Domain Name System http://www.bankinfosecurity.com/interviews/challenge-defending-domain-name-system-i-3381#.WHGtd_r44G8.twitter …