MoinQ:

DNS/RFC/3833について、ここに記述してください。

http://www.ietf.org/rfc/rfc3833.txt

Network Working Group                                          D. Atkins
Request for Comments: 3833                              IHTFP Consulting
Category: Informational                                       R. Austein
                                                                     ISC
                                                             August 2004


            Threat Analysis of the Domain Name System (DNS)

Status of this Memo

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

1. Abstract

Although the DNS Security Extensions (DNSSEC) have been under
   development for most of the last decade, the IETF has never written
   down the specific set of threats against which DNSSEC is designed to protect.

Among other drawbacks, this cart-before-the-horse situation
   has made it difficult to determine whether DNSSEC meets its design
   goals, since its design goals are not well specified.
This note attempts to document some of the known threats to the DNS, and, in
   doing so, attempts to measure to what extent (if any) DNSSEC is a
   useful tool in defending against these threats.

http://jprs.jp/tech/material/rfc/RFC3833-ja.txt

DNSSEC開発に関して様々な問題が指摘されてきたが、この本末転倒状態のために
   設計目標が不明確で、DNSSECが設計目標を満たしているか判断することが
   困難となっていた。

この訳は不適当だと思われる。


(前野の訳) IETFはDNSECが防御すべき脅威を明記していないままだ。

さまざまな問題のなかでも、とりわけこのcart-before-the-horse状況は DNSSECの設計目標がきちんと定義されていないために、 DNSSECが設計の目標に合致しているのか判断することを妨げるままになっている。


RFC3833がでたあと、DNSSECの設計目標があきらかになったかどうかはまだ調査できていない。-- ToshinoriMaeno 2011-06-27 08:05:24

2. 脅威の分類

藤原のスライドから http://www.ieice.org/~ia/archives/ia20140906/20140912-ia-fujiwara.pdf

A.中間者攻撃
B.キャッシュポイズニング
C.権威DNSサーバの乗っ取り
D.サービス不能(DoS)攻撃
E.DNSリフレクター攻撃

中間者攻撃
 * クエリの全情報を使えるので、確実に入る
 * TCPでも防げない
 * エンドノードでのDNSSEC検証やTSIGで検知可能

防げるかどうかの問題なのだろうか。

キャッシュポイズニングのうち、長期にわたってゆっくり行うものは検知しづらい。

ドメイン名登録情報の改竄: 登録者パスワードの脆弱性やパスワードリカバリ–

3. RFC 3833 目次

1. Introduction

2. Known Threats
  2.1. Packet Interception
  2.2. ID Guessing and Query Prediction
  2.3. Name Chaining
  2.4. Betrayal By Trusted Server
  2.5. Denial of Service
  2.6. Authenticated Denial of Domain Names
  2.7. Wildcards

3. Weaknesses of DNSSEC
DNSSEC is complex to implement and includes some nasty edge cases at the zone cuts that require very careful coding.

4. Topics for Future Work
  4.1. Interactions With Other Protocols
  4.2. Securing DNS Dynamic Update
  4.3. Securing DNS Zone Replication

5. Conclusion