ドメイン知識をゲットしよう!~DNS Summser Days 2018~(自分用メモ)
DNS Summser Days 2018 の参加意図
評価を担当しているサービスが DNS に関係しているため、これは一つ勉強せねば!と去年から 2回目の参加になります。
午前中から参加したかったのですが、残念ながら午後からの参加となります。
togetter
ライトニングトーク Part2
gTLD動向 ~GDPR対応はRDAPで~株式会社日本レジストリサービス(JPRS)
whois には問題があった。
- 入出力の標準フォーマットがない
- 国際化対応(ドメイン名含む)されていない
- ユーザー認証に基づくアクセスコントロール (“tiered access”)機能がない
- サーバー発見機能(Where to ask?)がない
- サーバー認証機能がない(Port 43/80)
- 通信路の暗号化機能がない(Port 43/80)
whois と RDAP を総称して RDS (あーるでぃーえす)と呼ぶ。
GDPR からの要求
ID4me
https://dnsops.jp/event/20180627/2018-06-27_DNS_Summer_Day_ID4me.pdf ドイツの会社?
- ユニバーサル・デジタル・プロファイル
現在のSSO の問題点
- OTT が所有され、ブランドされている
- プライバシー保証なし
- ユーザーにとっての移植性と選択肢がない
DNS で色々解決する
- ディスカウント・プロセス(ホスト名を ID として使う)
- ID ポータビリティ(ドメイン名のオーナーだったら)
- ロール・セパレーション(認定 vs. ユーザー情報管理)
- ユーザー・コンセント・マネジメント
技術的オーバービュー
- DNS ベースの検出メカニズムを OpenID Connect に追加しました
- ホスト名または E メールアドレスを ID プロバイダにマップできます
- TXT レコードでポインターを指定するだけ
- DNS の部分を追加する必要があり、残りは標準の OpenID Connect です
ED25519のすすめ
証明書の署名アルゴリズムのこと。
パケットがとても小さくて済むので,みんなDNSSECを使おう!という話。
色々署名アルゴリズムについて話しているけどついていけないのでいったん自分的に休憩w
RSA2048が一般的なんだと思ってた。超重いじゃん。
5分でわかるセキュアなローカルDNS
いえーい。これを聞きに来たといっても過言ではない。
一般的な企業のネットワーク構成
キャッシュサーバから内部の情報が外部に送信されてますよね。
-> LAN機器って DNS サーバ あ。これ昔やってたな。
別件で、アンケートに回答よろしく
BIND9.9から9.11へ移行のポイント -9.9系サポート終了まであと三日!
資料
*BIND 9.9から9.11へ移行のポイント(フルリゾルバ編)https://dnsops.jp/event/20180627/BIND_9.9%E3%81%8B%E3%82%899.11%E3%81%B8%E7%A7%BB%E8%A1%8C%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88_%E3%83%95%E3%83%AB%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90%E7%B7%A8_v0.8.pdf * BIND機能差分https://dnsops.jp/event/20180627/ISC_BIND%E6%A9%9F%E8%83%BD%E5%B7%AE%E5%88%86_v0.7.pdf
BIND サポート
BIND 9.11 のほうが、12 よりもサポート期間が長い。
なるほど、じゃあとりあえず上げるとしたらこれか。
- Openssl 1.0.2a 以上じゃないとだめー
阿波連 良尚 さんの発表BIND 9.9から9.11へ移行のポイント(権威サーバ編)
https://dnsops.jp/event/20180627/DNSSummerDay2018_BIND9.11%E5%A4%89%E6%9B%B4%E7%82%B9auth.pdf
ドメイン名 ハイジャックされないために 漢字の其田学さん
ドメイン名に対する攻撃
上からヤバい順
* ドメイン名ハイジャック
* ネームサーバハイジャック
ゾーンがハイジャックされちゃいました
* 見えない…
*キャッシュポイズニング
ドメイン名攻撃に対する歴史
- 資料公開されたら差し替え
どうやってドメイン名ハイジャックを行うのか。
更新を促すサポートメールが飛んできて、そのメールを踏むと、IDやPWが盗まれて、ハイジャック完了。
なりすまし対策:コントロールパネル向け
デメリット : 証明書のライフサイクル管理が大変面倒。運用負荷が高い
TOTP/HOTP ( ワンタイムパスとか )
なりすましサイトには効果がない。SMS認証 なりすましサイトには効果がない
メール認証 なりすましサイトには効果がない
FIDOいいよ!
情報書き換えに対する対策 - 管理画面のロック
コントロールパネル上での情報変更をできなくする機能 ** 解除方法を検討する必要。
レジストラロック
レジストリロック
インターネット情報で、情報変更できないレジストラであればいい?
いろんなロックがあるけど、解除方法も重要
- 失う前に導入したほうが結果としてはコストは安く済む
まとめ
FIDOいいよ!
FIDO Alliance FIDOの仕組み - FIDO Alliance
信頼できるレジストリ、レジストラを選ぶにはどうしたらいいのか。google さん、頑張って!
DNSブロッキング
パネルディスカッションだけどゴールはない。
DNSブロッキングの経緯 山口さん
IIJ 山口さん。
DNSブロッキングとは
ブロッキングの問題
通信の秘密を侵害する
- どんな目的であれ、形式的には通信の秘密を侵害しているが、利用者の同意があればよいことになっている
ブロッキング対象リストを誰が保守するのか
- 表現の自由の問題や他人の権利の侵害の問題などいろいろ難しい
児童ポルノブロッキング
パネルディスカッション
DNSブロッキングの前にドメイン名は?
- ドメイン名はシャットダウンされてはいない
警察は強硬に DNSブロッキングをしてほしいと言っていた。 経緯としては、児童ポルノの場合は、国際的に問題になっていたり、児童の人権の問題がある。
あとで資料を載せますので!