Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Avatar for Yu F Yu F
April 23, 2019
1
870

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Avatar for Yu F

Yu F

April 23, 2019
Tweet

More Decks by Yu F

See All by Yu F
BINDの脆弱性が出るタイミングを見抜く力を!
Avatar for Yu F fj
0
82
Internet Week 2014 - D1 DNS DAY 「攻撃への対応」
Avatar for Yu F fj
0
100

Featured

See All Featured
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
36
2.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
124
52k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.9k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.3k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
330
24k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.8k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
94
6.1k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.4k

Transcript

  1. Yutaka FUJIWARA 2019/04/23 #ssmjp 2019/04 DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

  2. #ssmjp 2019/04 2019/04/23 2 自己紹介 藤原 豊 ü 元DNS運用者 ü

    2000〜2010 ISPのDNS(キャッシュ・権威)運用等 ü 2010〜 情報セキュリティのお仕事 • ICT-ISACでの活動 • 本業はビールを飲むこと(年間200種類以上)

  3. #ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! つまり、DNS[をで]止め(ろ|るな)!

  4. #ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •

    電気通信事業法 • 第二十八条 電気通信事業者は、第八条第二項の規定により電気 通信業務の一部を停止したとき、又は電気通信業務に関し通信の 秘密の漏えいその他総務省令で定める重大な事故が生じたときは、 その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告 しなければならない。 • 「2時間以上かつ3万人以上」== 重大事故 ü 1時間58分で復旧しがち ü そんなことをしてると判断基準が厳しく変更されがち

  5. #ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな! • 頻繁に(突然に)公表されるBINDの脆弱性 •

    脆弱性が出るタイミングを予測する試み(2016年頃) InternetWeek2016 DNSOPS.JP BoF https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf

  6. #ssmjp 2019/04 2019/04/23 6 DNSを止めるな! Ø BINDを止めるな! • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む •

    「心の準備」が出来る…

  7. #ssmjp 2019/04 2019/04/23 7 DNSを止めるな! Ø BINDを止めるな! • パッチリリースの手順(プロトコル)を理解する •

    「特定ディレクトリ」のタイムスタンプ更新→大体5日後に公開

  8. #ssmjp 2019/04 2019/04/23 8 DNSを止めるな! ん!?

  9. #ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø

    9.11.6, 9.12.4, 9.13.7 ü Patchが出るとしたら、多分こんな感じ↓ 多分… Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1

  10. #ssmjp 2019/04 2019/04/23 10 DNSを止めるな! • ( ꒪⌓꒪)…オッ、オゥ • 先行リリースされたBIND適用済みDNSキャッシュが存在…

    • 当該キャッシュをリゾルバとして参照するオープンリゾルバ…

  11. #ssmjp 2019/04 2019/04/23 11 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  12. #ssmjp 2019/04 2019/04/23 12 DNSで止めるな! Ø 海賊版サイトブロッキング

  13. #ssmjp 2019/04 2019/04/23 13 DNSで止めるな! Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議

    ü 「インターネット上の海賊版サイトに対する緊急対策」 ü 「DNSで(漫画村を)止めろ」 Ø 緊急避難として…? ü 危難の存在、補充性、法益権衡(緊急避難の3要件) ü 危難は存在するとして、補充・権衡が微妙な… ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局) • つまり海賊版サイトをDNSで止めることは違法 ( ꒪⌓꒪)… 「刑事訴追の恐れがあるためブロッキングは差し控えたい」

  14. #ssmjp 2019/04 2019/04/23 14 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  15. #ssmjp 2019/04 2019/04/23 15 DNSで止めろ! Ø 児童ポルノブロッキング

  16. #ssmjp 2019/04 2019/04/23 16 DNSで止めろ! Ø 経緯 Ø 「民間の自主的な取り組み」として実施

  17. #ssmjp 2019/04 2019/04/23 17 DNSで止めろ! Ø 児童ポルノブロッキング ü 緊急避難 •

    危難の存在 被害児童が存在 • 補充性 一旦流通→回収不可→ブロッキングやむなし • 法益権衡 被害児童の人権・生命を鑑みれば… ü 被害者は児童、自ら訴訟などできない… ü 背景に児童の貧困問題・家庭の問題等もあると聞く… ü 緊急避難的措置を取らないと取り返しの付かないことに… Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の 上でDNSブロッキングを実施

  18. #ssmjp 2019/04 2019/04/23 18 DNSで止めろ! Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解 決を遮断

    Ø 攻撃を未然に防ぐ Ø 感染拡大を抑える 「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns

  19. #ssmjp 2019/04 2019/04/23 19 DNSで止めろ! Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü

    ブロッキング 利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備 にて遮断すること 例:児童ポルノブロッキング ü フィルタリング 利用者の同意を得て、特定の通信を電気通信設備にて遮断すること 例:迷惑メール、青少年フィルタリング、マルウェア対策

  20. #ssmjp 2019/04 2019/04/23 20 DNSで止めろ! Ø 同意とは… ü 個別かつ明確な同意 •

    厳格に遮断サイトを限定、都度同意を取って遮断 ü 約款による包括同意 • 一般的、類型的に見て通常の利用者による許諾が想定できるもの ü みなし同意的な何か • デフォルトON • 迷惑メールフィルタ等 • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言(総務省 H22.5)」 「ユーザー側で設定の変更ができること」 「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」 「フィルタリングサービスの内容が明確に限定されていること」 「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」 「利用者に対して事前に十分な説明をすること」

  21. #ssmjp 2019/04 2019/04/23 21 DNSで止めろ!(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を ⾒過ぎ! テレビ

    某社製の某BRAVIA Youtubeが観られる… 当該機能は無効に出来ない 他の機能を使う都合、ネッ ト切断不可… DNS設定は変更可能… 家庭内DNSキャッシュ (BIND) Youtubeの名前 解決をしない Youtube ブロッキング Ø 某社製某BRAVIAのYoutube閲覧機能 Ø 子供がゲーム動画を見過ぎる問題 Ø テレビの名前解決をひねって問題解決… Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ!

  22. #ssmjp 2019/04 2019/04/23 22 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  23. #ssmjp 2019/04 2019/04/23 23 DNSを止めろ! Ø ところで… ü ISP以外のDNSキャッシュの利用した場合… ü

    例) 8.8.8.8 ü DNSフィルタリング、ブロッキングが効かない

  24. #ssmjp 2019/04 2019/04/23 24 DNSを止めろ! Ø OP53B(Outbound Port 53 Blocking)

    JPRS用語辞典|OP53B(Outbound Port 53 Blocking) https://jprs.jp/glossary/index.php?ID=0215

  25. #ssmjp 2019/04 2019/04/23 25 DNSを止めろ! Ø NIST SP800-81-2 Secure Domain

    Name System (DNS) Deployment Guide ü Checklist item 39 ü Enterprise firewalls should consider restricting outbound DNS traffic to only the enterprise’s designated recursive resolvers. (企業のファイアウォールは、外向きのDNSトラフィックを指定さ れたリゾルバだけに制限することを考慮すべき) →制限した上で、DNSクエリをDNSBLやIPSで監視する

  26. #ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! DNS[をで]止め(ろ|るな)!