ドメイン知識をゲットしよう!~DNS Summser Days 2018~(自分用メモ)

memo

DNS Summser Days 2018 の参加意図

評価を担当しているサービスが DNS に関係しているため、これは一つ勉強せねば!と去年から 2回目の参加になります。
午前中から参加したかったのですが、残念ながら午後からの参加となります。

togetter

togetter.com

ライトニングトーク Part2

gTLD動向 ~GDPR対応はRDAPで~株式会社日本レジストリサービス(JPRS

whois には問題があった。

  • 入出力の標準フォーマットがない
  • 国際化対応(ドメイン名含む)されていない
  • ユーザー認証に基づくアクセスコントロール (“tiered access”)機能がない
  • サーバー発見機能(Where to ask?)がない
  • サーバー認証機能がない(Port 43/80)
  • 通信路の暗号化機能がない(Port 43/80)

whois と RDAP を総称して RDS (あーるでぃーえす)と呼ぶ。

GDPR からの要求

ID4me

https://dnsops.jp/event/20180627/2018-06-27_DNS_Summer_Day_ID4me.pdf ドイツの会社?

  • ユニバーサル・デジタル・プロファイル

現在のSSO の問題点

  • OTT が所有され、ブランドされている
  • プライバシー保証なし
  • ユーザーにとっての移植性と選択肢がない

DNS で色々解決する

  • ディスカウント・プロセス(ホスト名を ID として使う)
  • ID ポータビリティ(ドメイン名のオーナーだったら)
  • ロール・セパレーション(認定 vs. ユーザー情報管理)
  • ユーザー・コンセント・マネジメント

技術的オーバービュー

  • DNS ベースの検出メカニズムを OpenID Connect に追加しました
  • ホスト名または E メールアドレスを ID プロバイダにマップできます
  • TXT レコードでポインターを指定するだけ
  • DNS の部分を追加する必要があり、残りは標準の OpenID Connect です

ED25519のすすめ

証明書の署名アルゴリズムのこと。

パケットがとても小さくて済むので,みんなDNSSECを使おう!という話。
色々署名アルゴリズムについて話しているけどついていけないのでいったん自分的に休憩w

RSA2048が一般的なんだと思ってた。超重いじゃん。

5分でわかるセキュアなローカルDNS

いえーい。これを聞きに来たといっても過言ではない。
一般的な企業のネットワーク構成 キャッシュサーバから内部の情報が外部に送信されてますよね。

-> LAN機器って DNS サーバ あ。これ昔やってたな。

別件で、アンケートに回答よろしく

bit.ly

BIND9.9から9.11へ移行のポイント -9.9系サポート終了まであと三日!

資料

*BIND 9.9から9.11へ移行のポイント(フルリゾルバ編)https://dnsops.jp/event/20180627/BIND_9.9%E3%81%8B%E3%82%899.11%E3%81%B8%E7%A7%BB%E8%A1%8C%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88_%E3%83%95%E3%83%AB%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90%E7%B7%A8_v0.8.pdf * BIND機能差分https://dnsops.jp/event/20180627/ISC_BIND%E6%A9%9F%E8%83%BD%E5%B7%AE%E5%88%86_v0.7.pdf

BIND サポート

BIND 9.11 のほうが、12 よりもサポート期間が長い。
なるほど、じゃあとりあえず上げるとしたらこれか。

  • Openssl 1.0.2a 以上じゃないとだめー

阿波連 良尚 さんの発表BIND 9.9から9.11へ移行のポイント(権威サーバ編)

https://dnsops.jp/event/20180627/DNSSummerDay2018_BIND9.11%E5%A4%89%E6%9B%B4%E7%82%B9auth.pdf

ドメイン名 ハイジャックされないために 漢字の其田学さん

ドメイン名に対する攻撃

上からヤバい順 * ドメイン名ハイジャック * ネームサーバハイジャック
ゾーンがハイジャックされちゃいました
* 見えない… *キャッシュポイズニング

ドメイン名攻撃に対する歴史

  • 資料公開されたら差し替え

どうやってドメイン名ハイジャックを行うのか。

更新を促すサポートメールが飛んできて、そのメールを踏むと、IDやPWが盗まれて、ハイジャック完了。

なりすまし対策:コントロールパネル向け

  • FIDO キーデバイス上のドメイン名ごとに暗号化鍵、複合鍵を格納

  • TLSクライアント証明書認証 JPNIC とか、JPRS が対応している。

  • デメリット : 証明書のライフサイクル管理が大変面倒。運用負荷が高い

  • TOTP/HOTP ( ワンタイムパスとか )
    なりすましサイトには効果がない。

  • SMS認証 なりすましサイトには効果がない

  • メール認証 なりすましサイトには効果がない

  • ACL マルウェア等でPCから侵入されると意味がない。なので、多要素認証と組み合わせるとよい。

  • FIDOいいよ!

情報書き換えに対する対策 - 管理画面のロック

  • コントロールパネル上での情報変更をできなくする機能 ** 解除方法を検討する必要。

  • レジストラロック

  • レジストリロック

  • インターネット情報で、情報変更できないレジストラであればいい?

  • いろんなロックがあるけど、解除方法も重要

  • 失う前に導入したほうが結果としてはコストは安く済む

まとめ

FIDOいいよ!
FIDO Alliance FIDOの仕組み - FIDO Alliance

信頼できるレジストリレジストラを選ぶにはどうしたらいいのか。google さん、頑張って!

DNSブロッキング

パネルディスカッションだけどゴールはない。

DNSブロッキングの経緯 山口さん

IIJ 山口さん。

  • ブロッキング: ユーザの同意を得ずに 通信を ISP設備で遮断する措置。
  • 通信の秘密を侵害する
    • 「アクセスを遮断すること」以外にも「通信先を監視している」これが問題になることが多い

DNSブロッキングとは

要するに DNS ブロッキングと一緒。

ブロッキングの問題

  • 通信の秘密を侵害する

    • どんな目的であれ、形式的には通信の秘密を侵害しているが、利用者の同意があればよいことになっている

  • ブロッキング対象リストを誰が保守するのか

    • 表現の自由の問題や他人の権利の侵害の問題などいろいろ難しい

児童ポルノブロッキング

パネルディスカッション

DNSブロッキングの前にドメイン名は?

  • ドメイン名はシャットダウンされてはいない

警察は強硬に DNSブロッキングをしてほしいと言っていた。 経緯としては、児童ポルノの場合は、国際的に問題になっていたり、児童の人権の問題がある。

あとで資料を載せますので!