TOP /  セキュリティ/認証 /  [社内システムにも影響あり]多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか(非エンジニア向けに分かりやすくリスクと対策を解説)

[社内システムにも影響あり]多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか(非エンジニア向けに分かりやすくリスクと対策を解説) | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか(非エンジニア向けに分かりやすくリスクと対策を解説)  (株式会社デージーネット 大野 公善)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.9 でした!(5点満点中)
セミナー名 [社内システムにも影響あり]多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか(非エンジニア向けに分かりやすくリスクと対策を解説)
講演企業 株式会社デージーネット
開催日 2017年06月29日
サンケイリビング新聞社 水谷 明さん
BIND以外のDNSサーバーの話が聴けてよかったです。
その他の業種 60代以上 男性 の参加者
BINDの弱さが、再認識できた。有難うございます。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 女性 の参加者
ありがとうございました。仕組みの部分の説明をもっとして頂けるとうれしいです。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
DNSSEの話と、KSK Roll Overの話は、有難かったです。
匿名の参加者
コメントなし
その他のサービス業 50代 男性 の参加者
コメントなし

2017年6月29日
[社内システムにも影響あり]
多発するDNS(BIND)の深刻な脆弱性問題にどう対応するべきか
(非エンジニア向けに分かりやすくリスクと対策を解説)
自己紹介
株式会社デージーネット
大野 公善
2
株式会社デージーネット
プロフィール
設立
1999年5月
本社
愛知県 名古屋市 名東区
東京営業所 東京都 港区 浜松町
企業理念
より良い技術で、インターネット社会の便利と安心に貢献します。
事業内容
オープンソースソフトウェアを中心としたシステムインテグレーション
専門的技術サービスの提供
(全国のISP、ネットサービス、企業、大学等)
設計、構築、運用、管理、保守まですべてをトータルに提供
書籍の出版
3
書籍出版
4
DNSの仕組みと重要性
5
DNSの仕組みと重要性
DNSとは
Domain Name Systemの略
ドメイン名を元にIPアドレスを伝えるシステム
DNSの仕組み
ゾーンを階層構造で分割して管理している
www.example.com
のDNSを参照する....
ルートDNSサーバ
.comのDNSサーバ
example.comのDNSサーバ
6
権威DNSサーバ と キャッシュDNSサーバ
権威DNSサーバ
ドメインの情報を保持し、そのドメインに関する問い合わせに
応えるDNSサーバ
世界中からアクセスがある
キャッシュDNSサーバ
クライアントからのDNS問い合わせを受け付け、その問い合わせ
を権威DNSサーバに中継するDNSサーバ
DNS応答結果をキャッシュ(一時保存)する
次回からの問い合わせは、キャッシュを利用して対応する
代理で問い合わせに対応させることで、権威サーバの負荷を下げること
ができる
権威DNSサーバだけでは、アクセスに耐え切れない
7
DNSキャッシュの動作イメージ
8
DNSの重要性
DNSはインターネットのサービスの根本
WEBサイトを利用するにはドメインが必要
メールを送るにもドメインが必要
DNSサービスが停止すると
インターネットのサービスは、ほぼ利用できない状態になる
WEBやメールなどは、既にライフラインになっているため、
停止すると大事件に発展する可能性あり
9
DNSサーバに対する脅威
DNSサービス妨害攻撃
DNSサービスの提供を妨害する攻撃
大量にDNSリクエストを送信したり、DNSサーバを停止させて
しまったりする
例: DNSソフトウェアの脆弱性を突いた攻撃
DNSデータ改竄攻撃
DNSサーバが保持するドメイン情報を書き換えてしまう攻撃
例: キャッシュポイズニング攻撃
10
DNSサービス妨害攻撃
11
DNSサービス妨害攻撃の手口①
大量DNSリクエストの攻撃
攻撃対象DNSサーバに、大量のDNS問い合わせを送りつけること
でDNSサービスを妨害する
有名な攻撃
DNSアンプ攻撃
DNSリフレクション攻撃
DNS水責め攻撃
対策
攻撃を受けないようにすることは難しい
まずは、攻撃を受けていることをいち早く検知すること
12
DNSサービス妨害攻撃の手口②
ソフトウェアの脆弱性を突いた攻撃
ソフトウェアの不具合を突いて、悪意のあるDNS問い合わせを送
りつけることで、DNSサービスを停止させる攻撃
ソフトウェアに不具合が発見されると、アップデートが行われるま
では無防備になってしまう
有名な攻撃
BINDの脆弱性を突いた攻撃
BINDとは?
世の中で広く使用されているオープンソースソフトウェアのDNSサーバ
脆弱性が非常に多く発見されることで有名......
対策
脆弱性が発見されたら、早急にアップデートを実施する
脆弱性が少ないソフトウェアを使用する
13
DNSデータ改竄攻撃
14
DNSデータ改竄攻撃の手口
キャッシュポイズニング攻撃
キャッシュDNSサーバを狙った攻撃手法のひとつ
キャッシュDNSに偽の情報をキャッシュさせる攻撃
DNSの利用者を悪意のあるサイトに誘導することができる
15
キャッシュポイズニングのない状態
192.168.100.100
正しいサイトに接続
http://www.example.com
に接続したい
www.exmapl.com
のIPアドレスを
DNS問い合わせ
DNS
キャッシュ
正しい情報を返答
(192.168.100.100)
16
キャッシュポイズニングされている状態
192.168.100.100
192.168.222.222
http://www.example.com
を装った悪意のあるサイト
悪意のあるサイトに接続
http://www.example.com
に接続したい
DNS
キャッシュ
(汚染状態)
www.exmapl.com
のIPアドレスを
DNS問い合わせ
偽の情報を返答
(192.168.222.222)
17
キャッシュポイズニングの被害①
WEBサイトへのアクセス妨害
DNSのキャッシュに存在しないIPアドレスを注入
特定のサイトへのアクセスを妨害する
企業の損失に繋がる可能性が高い
しかし、これはまだ優しい攻撃
18
キャッシュポイズニングの被害②
個人情報の奪取
キャッシュに攻撃者のサイトのIPアドレスを注入
クライアントは別のサイトに誘導されてしまう
銀行やショッピングサイトのサイトとほぼそのままのページが表示さ
れる
ログインすると個人情報やクレジットカードの情報が流出
19
キャッシュポイズニングの被害③
メールも奪われる
キャッシュに攻撃者のメールサーバのIPアドレスを注入
クライアントがメールを送ると、攻撃者のサーバに送信してし
まう
攻撃者サーバは、メールのデータを保存して、もとの送信先
に送る。つまり情報が流出しも気づかない
20
社内システムでも攻撃される可能性がある
ウェブサイト
(ウェブコンテンツの中に悪意のある
サイトへのリンクを含む)
キャッシュ
ポイズニング
外部のウェブ参照
社内→外部の通信を
悪用した攻撃
ファイアウォール内
でも安心できない
社内
リンク先ドメインの
名前解決
DNSサーバ
21
BIND
22
BINDとは?
BINDとは?
ISC(Internet Systems Consortium)が開発して提供している
オープンソースソフトウェアのDNSサーバ
権威DNSサーバ と キャッシュDNSサーバ の機能を提供可能
古くから利用されており、DNSサーバのデファクトスタンダードとなっ
ている
BINDの利点
デフォルト設定で動作するため、DNSサーバを構築しやすい
様々な機能を実装している
非常に多く利用されており、情報が豊富
BINDの欠点
脆弱性が非常に多い
DNSサービスが停止してしまうような重大な脆弱性も多く発見されている
テキストベースの設定が必要
DNS設定変更時には、設定ファイルを直接編集する必要がある
オペレータによる設定ミスが心配
23
BINDの問題点
権威DNSとキャッシュDNSの同居
権威DNSは全世界に公開する必要がある
キャッシュDNSは利用者を限定する必要がある
正しくアクセス制御を行わないと、全世界からキャッシュDNSが利
用できてしまう → オープンリゾルバの状態になる
キャッシュポイズニングを受けやすく、権威DNSの情報も改竄され
やすい
脆弱性が多い
昔からつぎはぎで機能追加をしているため不具合が多い
キャッシュの機能の脆弱性の影響で、権威DNSの機能も止まって
しまうということが発生する
これも権威とキャッシュの同居で発生する問題の一つ
24
DNSサービス停止を伴うBINDの脆弱性
管理番号 発表日時
CVE-2017-3137 2017/04/12
CVE-2016-9444 2017/01/11
CVE-2016-9147 2017/01/11
CVE-2016-9131 2017/01/11
CVE-2016-8864 2016/11/01
CVE-2016-2776 2016/09/27
内容
応答パケットは、CNAMEまたはDNAMEを含む
応答を処理するときにリゾルバを終了させる可
能性があります。
異常に形成されたDSレコード応答は、アサー
ションの失敗を引き起こす可能性があります。
一致しないDNSSEC情報を含むクエリ応答を
処理する際にエラーが発生すると、アサーショ
ンの失敗が発生する可能性があります。
ANY問合せへの不正な応答は、再帰中にア
サーションの失敗を引き起こす可能性がありま
す。
DNAMEの回答を含むレスポンスを処理する際
に問題が発生すると、アサーションの失敗につ
ながります。
特定の構築要求に対する応答を構築中の
buffer.cにおけるアサーションエラー。
25
BINDの脆弱性 2017 〜 2016
# CVE Number
Short Description
89 2017-3141 Windows service and uninstall paths are not quoted when BIND is installed
88 2017-3240 An error processing RPZ rules can cause named to loop endlessly after handling a query
87 2017-3139 [Red Hat] assertion failure in DNSSEC validation
86 2017-3138 named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
85 2017-3137 A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
84 2017-3136 An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
83 2017-3135 Combination of DNS64 and RPZ Can Lead to Crash
82 2016-9778 An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
81 2016-9444 An unusually-formed DS record response could cause an assertion failure
80 2016-9147 An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
79 2016-9131 A malformed response to an ANY query can cause an assertion failure during recursion
78 2016-8864 A problem handling responses containing a DNAME answer can lead to an assertion failure
77 2016-2848 A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in
packages derived from releases prior to that date.
76 2016-2776 Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
75 2016-2775 A query name which is too long can cause a segmentation fault in lwresd
74 2016-2088 A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure
73 2016-1286 A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c
72 2016-1285 An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c
71 2016-1284 A REQUIRE assertion failure in rdataset.c can be deliberately triggered in servers performing NXDOMAIN redirection
26
BINDの脆弱性 2015 〜 2012
# CVE Number
Short Description
70 2015-8705 Problems converting OPT resource records and ECS options to text format can cause BIND to terminate
69 2015-8704 Specific APL data could trigger an INSIST in apl_42.c
68 2015-8461 A race condition when handling socket errors can lead to an assertion failure in resolver.c
67 2015-8000 Responses with a malformed class attribute can trigger an assertion failure in db.c
66 2015-5986 An incorrect boundary check can trigger a REQUIRE assertion failure in openpgpkey_61.c
65 2015-5722 Parsing malformed keys may cause BIND to exit due to a failed assertion in buffer.c
64 2015-5477 An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure
63 2015-4620 Specially Constructed Zone Data Can Cause a Resolver to Crash when Validating
62 2015-1349 A Problem with Trust Anchor Management Can Cause named to Crash
61 2014-8680 Defects in GeoIP features can cause BIND to crash
60 2014-8500 A Defect in Delegation Handling Can Be Exploited to Crash BIND
59 2014-3859 BIND named can crash due to a defect in EDNS printing processing
58 2014-3214 A Defect in Prefetch Can Cause Recursive Servers to Crash
57 2014-0591 A Crafted Query Against an NSEC3-signed Zone Can Crash BIND
56 2013-6230 A Winsock API Bug can cause a side-effect affecting BIND ACLs
55 2013-4854 A specially crafted query can cause BIND to terminate abnormally
54 2013-3919 A recursive resolver can be crashed by a query for a malformed zone
53 2013-2266 A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
52 2012-5689 BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
51 2012-5688 BIND 9 servers using DNS64 can be crashed by a crafted query
50 2012-5166 Specially crafted DNS data can cause a lockup in named
49 2012-4244 A specially crafted Resource Record could cause named to terminate
48 2012-3868 High TCP query load can trigger a memory leak
47 2012-3817 Heavy DNSSEC validation load can cause a "bad cache" assertion failure
46 2012-1667 Handling of zero length rdata can cause named to terminate unexpectedly
27
BINDの脆弱性 2011 〜 2002
# CVE Number
Short Description
45 2011-4313 BIND 9 Resolver crashes after logging an error in query.c
44 2011-2465 Remote crash with certain RPZ configurations
43 2011-2464 remote packet denial of service against authoritative and recursive servers
42 2011-1910 Large RRSIG RRsets and negative caching can crash named
41 2011-1907 RRSIG queries can trigger server crash when using Response Policy Zones
40 2011-0414 Server lockup upon IXFR or DDNS update combined with high query rate
39 2010-3613 cache incorrectly allows an ncache entry and an RRSIG for the same type
38 2010-3615 allow-query processed incorrectly
37 2010-3614 Key algorithm rollover bug in BIND 9
36 2010-3762 failure to handle bad signatures if multiple trust anchors configured
35 2010-0218 Unexpected ACL Behavior in BIND 9.7.2
34 2010-0213 RRSIG query handling bug in BIND 9.7.1
33 2010-0097 DNSSEC validation code could cause bogus NXDOMAIN responses
32 2009-4022 Cache Update From Additional Section
31 2009-0696 Dynamic Update DoS attack
30 2008-5077 DNSSEC issue with DSA and NSEC3DSA algorithms
29 2008-1447 DNS cache poisoning issue
28 2008-0122 inet_network() off-by-one buffer overflow
27 2007-2930 cryptographically weak query ids (BIND 8)
26 2007-2926 cryptographically weak query ids
25 2007-2925 allow-query-cache/allow-recursion default acls not set.
24 2007-2241 Sequence of queries can cause a recursive nameserver to exit.
23 2007-0494 Denial of service via ANY query response containing multiple RRsets.
22 2007-0493 Denial of service via unspecified vectors that cause "dereference a freed fetch context."
21 2006-4096 Denial of service via a flood of recursive queries causing INSIST failure.
19 2005-0034 The DNSSEC validator can cause the server to exit
13 2002-0400 DoS internal consistency check (DoS_findtype)
28
BINDの管理者の皆様、
お疲れ様です...
29
対策
30
対策① DNSSECの採用
DNSSECとは?
公開鍵認証と電子署名の仕組みを使用して、DNS応答が信頼でき
るかどうかを検証することができる仕組み
公開鍵の信頼性を保証するため、上位DNSサーバが下位DNSサー
バを保証する仕組みになっている
権威DNSサーバとキャッシュDNSサーバの役割
権威DNSサーバ
DNSSECの公開鍵を公開する
キャッシュDNSサーバ DNSSECの検証を行う
DNSSECの効果
権威DNSにDNSSECを導入することで、キャッシュDNSが権威DNS
から受け取った応答の信頼性を確認できる
キャッシュDNSにもDNSSECの検証を行う設定が必要
キャッシュDNSの設定は比較的容易
キャッシュDNSは保証できないデータを受け取らない
キャッシュポイズニングの攻撃を無効化できる
31
対策② DNS攻撃を受けにくいシステム構成
攻撃されやすいDNSサービスは?
キャッシュDNSサーバ
キャッシュポイズニング等、DNSキャッシュへの攻撃が多い
攻撃の影響が大きいシステム構成は?
BINDのこと
権威DNSとキャッシュDNSを兼ねているDNSサーバ
権威DNSサービスは外部に公開する必要がある
キャッシュDNSサービスは内部だけに限定したいが、両機能を兼
ねていると限定は難しい
外部からDNSキャッシュへの攻撃がされやすい
権威DNSサーバ と キャッシュDNSサーバ を
分離すれば、DNS攻撃を受けにくくなる
32
攻撃に弱い構成
自ドメインの
名前解決
DMZ
キャッシュ
ポイズニング
外部のドメインの
名前解決
権威 兼 キャッシュDNSサーバ
内部
33
攻撃に強い構成
自ドメインの
名前解決
DMZ
キャッシュ
ポイズニング
キャッシュがないのでポイズニング
攻撃はできない
内部のキャッシュDNSに
到達できない
権威DNSサーバは脆弱性が少ない
権威DNSサーバ
内部
外部のドメインの
名前解決
キャッシュ
DNSサーバ
34
対策③ ソフトウェアの脆弱性を突く攻撃の対策
ソフトウェアの脆弱性を突く攻撃を防ぐことはできない
脆弱性が多く発見されるDNSサーバを利用する場合、
下記のような作業を繰り返して実施することが必要となり、
システム管理者の負担が大きい
脆弱性が発見された
脆弱性の影響度の精査(影響があるか/ないか等)
アップデートの計画〜検証
アップデートの適用
BINDからの卒業
脆弱性の少ないDNSサーバを使用しましょう!
35
デージーネットが推奨するDNSサーバ
権威DNSサーバ
PowerDNS
オープンソースのDNSサーバ
権威DNSサーバとキャッシュDNSサーバが完全に分離
高速な処理
統計情報を参照するためのウェブUIを提供
DNS管理ウェブUIを利用可能
容易なDNSSEC設定
キャッシュDNSサーバ
Unbound
オープンソースのDNSサーバ
キャッシュ専用
キャッシュポイズニングに強い設計
高速な処理
Red Hat Enterprise Linuxにも採用されているy
36
PowerDNS
37
PowerDNSとは?
オープンソースのDNSサーバ
「権威DNSサーバ(Authoritative Server)」と
「キャッシュDNSサーバ(Recursor)」で構成
歴史
1999年に発足
最初はクローズドソースだった
2002年にオープンソースとしてリリース
2005年あたりにユーザが増え始めた
現在の最新版は
Authoritative Server
Recursor
4.0.4
4.0.5
(2017年6月23日)
(2017年6月13日)
BINDからの移行
BINDの設定を移行するためのツールが付属している
38
PowerDNSの脆弱性①
# 日付 アドバイザリ番号
内容
1 2006-11-13 2006-01 CVE-2006-4251
影響範囲: Recursor 3.1.3 以前
細工したTCP問い合わせによるバッファオーバーフローの問題
2 2006-11-13 2006-02 CVE-2006-4252
影響範囲: Recursor 3.1.3 以前
0秒CNAME TTLsが指定された時、スタック領域を使い果たしてクラッシュ
3 2008-03-31 2008-01 CVEアサインなし
影響範囲: Recursor 3.1.4 以前
システム乱数生成が予測されてることで、偽装攻撃を許可
4 2008-08-06 2008-02 CVE-2008-3337
影響範囲: Authoritative Server 2.9.21 以前
いくつかの問い合わせに答えないことにより、ドメインの偽装をしやすくなる問題
5 2008-11-18 2008-03 CVEアサインなし
影響範囲: Authoritative Server 2.9.21.1 以前
CH HINFO問い合わせを送信すると、再起動されてしまう問題
6 2010-01-06 2010-01 CVE-2009-4009
影響範囲: Recursor 3.1.7.1 以前
細工したパケットを送信することで、バッファオーバーフローを引き起こすことができる問題
7 2010-01-06 2010-02 CVE-2009-4010
影響範囲: Recursor 3.1.7.1 以前
細工したパケットを送信することで、偽のデータを受け入れさせることができる問題
8 2012-02-10 2012-01 CVE-2012-0206
影響範囲: Authoritative Server 3.0.1 より前
細工したUDPパケットを使用することで、サービスを一時的に停止させることができ、パケットループを引
き起こすことができる問題
9 2014-09-10 2014-01 CVE-2014-3614
影響範囲: Recursor 3.6.0
細工したパケットによるクラッシュの問題
10 2014-12-08 2014-02 CVE-2014-8601
影響範囲: Recursor 3.6.1 以前
特別な設定をしたドメインにクエリを送った時のパフォーマンが低下する問題
39
PowerDNSの脆弱性②
# 日付 アドバイザリ番号
内容
11 2015-04-23 2015-01 CVE-2015-1868 (original), CVE-2015-5470 (update)
影響範囲: Recursor 3.5 以前, Authoritative Server 3.2 以前
細工したクエリを送信することで、クラッシュやCPU使用率増加を引き起こせる問題
12 2015-09-02 2015-02 CVE-2015-5230
影響範囲: Authoritative Server 3.4.0 〜 3.4.5
パケット解析のバグにより、クラッシュ等を引き起こせる問題
13 2015-11-09 2015-03 CVE-2015-5311
影響範囲: Authoritative Server 3.4.4 〜 3.4.6
細工されたパケットを受け取った時、PowerDNSのプロセスが停止されられる問題
14 2016-09-09 2016-01 CVE-2016-5426, CVE-2016-5427
影響範囲: Authoritative Server 3.4.9
細工されたクエリにより期待しないバックエンドをロードしてしまう問題
15 2016-12-15 2016-02 CVE-2016-7068
影響範囲: Authoritative Server 3.4.10, 4.0.1, Recursor 3.7.3, 4.0.3
細工されたクエリによりCPU使用率が異常になる問題
16 2016-12-15 2016-03 CVE-2016-7072
影響範囲: Authoritative Server 3.4.10, 4.0.1
ウェブサーバ経由でDoS攻撃が行われる問題
17 2016-12-15 2016-04 CVE-2016-7073 CVE-2016-7074
影響範囲: Authoritative Server 3.4.10, 4.0.1, Recursor 3.0.0 〜 4.0.3
TSIG署名が不十分な問題
18 2016-12-15 2016-05 CVE-2016-2120
影響範囲: Authoritative Server 3.4.10, 4.0.1
細工されたゾーンレコードによりDoSが発生する問題
40
DNSSEC対応
PowerDNSのDNSSECサポート
DNSSECフルサポート
DNSSECに関する管理ツールが充実している
DNSSEC設定ツール
DNSSECの初期設定や登録状況の参照ができる
簡単にDNSSECを開始できる
BIND
公開鍵の作成 専用コマンドを使って、
複雑なオプションの指定が必要
ゾーンファイルの署名 専門的な知識が必要
署名したゾーンファイルの適用
PowerDNS
簡単
DNSSEC初期設定コマンドを1回実行するだけ
41
高性能
338,890
340,000
330,000
320,000
310,000
303,898
300,000
290,000
280,000
BIND
PowerDNS
権威 DNS サーバ
PowerDNSとBINDの1秒あたりのクエリ処理数を比較しました。
42
ウェブインタフェースによる統計情報の参照
統計情報を参照するためのウェブインタフェースを利用可能
下記の問い合わせの統計情報を参照できる
UDP問い合わせの受信数
接続元IPアドレス毎の接続数
レコードは存在するが、タイプが存在しない
ドメインは存在するが、レコードが存在しない
権威のないドメイン
権威のないドメインを問い合わせたリモートホスト
異常なDNS問い合わせが行われていることが認識できる

攻撃が行われていることを検知できる
43
PowerDNS ウェブインタフェース
44
ウェブUIを使用したDNS管理 ①
45
ウェブUIを使用したDNS管理 ②
46
Unbound
47
Unboundとは?
オープンソースのキャッシュ専用DNSサーバ
Unboundの特徴
DNSSEC対応
DNSキャッシュ汚染に対する耐性が強い
高性能
主要なLinuxディストリビューションに採用されている
Red Hat Enterprise Linux 7 / CentOS 7
Ubuntu 等......
dnstap対応
DNS問い合わせログを取得する仕組み
DNS攻撃が実施されていることを検知できる
DNS攻撃の送信元IPアドレスを特定できる
契約ユーザがどんなサイトに接続しているかの統計情報を取得することも
できる
統計情報の可視化(ウェブUIで参照)が可能
48
DNSログを検査
問い合わせドメイン
による統計情報
49
DNSログを検査
送信元IPアドレス
による統計情報
50
攻撃手法を特定
送信元IPアドレスを指定して、
DNS問い合わせドメイン毎の問い合わせ数を表示
これは「水責め攻撃」だ!
攻撃されているサブドメイン名の
問い合わせを一時禁止しよう!
存在しなさそうなサブドメインの
問い合わせを大量に行っている
あやしい! 攻撃者かも!
51
推奨システム構成
攻撃を行われても
攻撃に対抗できる
DNSシステム
DMZ
DNSダイバーシティ
PowerDNS
権威DNSサーバ
BIND
権威DNSサーバ
内部
DNSダイバーシティ
Unbound
キャッシュ
DNSサーバ
PowerDNS
recusor
キャッシュ
DNSサーバ
攻撃検知機能を持ったDNSシステム
攻撃されてからでは遅い!
Elasticsearch
ログ管理サーバ
52
ご清聴ありがとうございました
53
イベント情報
ケーブル技術ショー 2017
2017年7月20日(木) 〜 21日(金)
東京国際フォーラム
オープンソースカンファレンス 2017 Kyoto
2017年8月4日(金) 〜 5日(土)
京都リサーチパーク(KRP)東地区
オープンソースカンファレンス 2017 Tokyo/Fall
2017年9月9日(土) 〜 10日(日)
明星大学 日野キャンパス 28号館
54

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!