1. DNS/キャッシュ兼用サーバー/危険性

DJB: コンテンツサーバとキャッシュサーバを分離することの重要性

危ないもの同士を同居させている実装のBIND

• 同居でより危険になる部分もあるが、なにを好き好んで危ないものを同居させるのか、 分離するのに、マシンが複数台必要とか言っているのもいます。
  • 管理コストという概念が異なる世界の人らしい。
  分離するために理由が必要と思うような人もいる。

/キャッシュ毒盛 でどういう危険があるのか。

クライアントがどちらに対して問合せしているかは、 rd flag で区別するらしいが、本当に区別できているのだろうか。

コメントをつけたいので、まずは全文引用しておく。 http://www.e-ontap.com/dns/weirdra/ キャッシュサーバを権威サーバと兼用すると危ない

• ～ 分離してキャッシュサーバはアクセス制限しましょう ～

兼用していると、、、
 1. 毒を入れられやすい
    理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである(オープンでなくとも毒いれする方法はある)
 2. DDoS(DNS amplification attack)の踏み台になりやすい
    理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである。
　キャッシュサーバを権威サーバと兼用すると危ない
 3. アクセス制限をしづらい/忘れる/失敗する
    理由: 権威サーバは世界に公開しないといけないので、ファイアウォールで守るのが困難。
　BINDだと仕様がよく変わり、ある日から中途半端なアクセス制限のような状態になったりする。
 4. キャッシュ利用者のアクセス先の漏洩が起きるかもしれない
    理由: 中途半端なアクセス制限による。
 5. ゾーンの移転に失敗しやすい
    理由: 権威のない古いコンテンツをキャッシュが応答してしまう。
 6. キャッシュ利用者に嘘の応答をしてしまう危険性がある
    理由: 同上。キャッシュ利用者に権威のないデータを応答してしまう。
 7. 下手なキャッシュサーバに毒を入れるかもしれない
    理由: 権威サーバがキャッシュを応答。これで毒が入るのは不良キャッシュサーバですが。
 8. DNSをいつまでたっても理解できなくなる
    理由: 応答が権威あるものかキャッシュなのかわかりづらい。
　再帰問い合わせ/非再帰問い合わせの使い分けを学習できない。
 9. Lame Delegation を起こしやすい (役立たずのサーバに気づかない)
    理由: 運用管理者がDNSを理解できていないと応答がキャッシュであることに気づかなかったりする。
 10. コストがかかる
    理由: 上記トラブルを避けるための労力や、脆弱性対応、設定、運用、障害時の切り分け、
　ユーザサポート対応などのコストが複雑化により大幅に増える。(分離にかかるコストを上回る)

想定読者はどういう人なのか。（兼用サーバの管理者？）

• 危険なのは誰なのか。（兼用サーバの利用者か）

BINDの脆弱性(あるいはDNSの脆弱性）ではないのか。(8,9,10)

1.1. 「兼用するから」危ないのか

共用キャッシュサーバにはもともとある危険性ではないのか。(1,2,3,4)

兼用するから危ないのか。権威サーバ（DNS)にもともとある危険ではないのか。(5,7)

• キャッシュサーバの問題とはかぎらない。
  • 権威サーバがキャッシュを応答することはないので、7 の理由は誤解だろう。

  BINDは答えますよ -- tss 2012-04-10 01:04:22

キャッシュサーバからの返事には権威はないので、6は筋違いの指摘ではないか。

• ゾーンデータをもっているのでAAフラグ付きで答えます。-- tss 2012-04-10 01:04:22

  • 権威のないデータにAAフラグを付けるのはバグですね。-- ToshinoriMaeno 2012-04-10 06:52:05

    • 不良のある実装の話は除外すべきでしょう。

「兼用すること」により、どれだけ危険性が増えているのか。

このあたりを分けて考える必要があるのではないのか。（まるで、BIND脳の人を見ている感じがする。） -- ToshinoriMaeno 2012-04-09 06:50:38

6,8,10 あたりが兼用の場合に生じる問題だといえる。

• 9は8の結果かもしれないが。