DNS, DNSSECの仕組み
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNS勉強会2020/8/6平野善隆
View Slide
Copyright© QUALITIA CO., LTD. All Rights Reserved.もくじ•DNS名前解決の流れ•digコマンドの使い方•DNS名前解決の流れを確認•DNSレコードタイプ•DNSSECとその仕組み•ドメインの管理•QT-DNS(仮)のご紹介
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNS名前解決の流れ
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れネコ: ブラウザーにwww.qualitia.co.jpを入力ブラウザー: IPがキャッシュにあればそれを使うPCにwww.qualitia.co.jpのIPを問い合わせOS: キャッシュにあればそれを返すOS内のDNSサーバーはスタブDNSサーバーとよく呼ばれます
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れクライアントOS: フルリゾルバーにwww.qualitia.co.jp.のIPを問い合わせフルリゾルバー: キャッシュにあれば、それを返すフルリゾルバーwww.qualitia.co.jp.は?キャッシュDNSサーバーフルサービスリゾルバーともよく呼ばれます
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れクライアントフルリゾルバー: ルートDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせルートDNSサーバー: 知らんがな。jpのDNSサーバーに聞いてフルリゾルバールートDNSサーバー 知らんがな。jpに聞いてwww.qualitia.co.jp.は?権威DNSサーバーと呼ばれます
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れクライアントフルリゾルバー: jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせjpのDNSサーバー: 知らんがな。qualitia.co.jpのDNSサーバーに聞いてフルリゾルバールートDNSサーバー知らんがな。qualitia.co.jpに聞いてwww.qualitia.co.jp.は?jpのDNSサーバー これも権威DNSサーバーです
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れクライアントフルリゾルバー: qualitia.co.jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせqualitia.co.jpのDNSサーバー:54.65.37.180を返すフルリゾルバー: クライアントに54.65.37.180を返す。ついでにキャッシュする。OS: ブラウザーに54.65.37.180を返す。ついでにキャッシュする。ブラウザー: 54.65.37.180に接続して滝のような画面を表示ネコ: にゃーフルリゾルバールートDNSサーバー54.65.37.180やね。www.qualitia.co.jp.は?qualitia.co.jpのDNSサーバーJPのDNSサーバー54.65.37.180やて。これも権威DNSサーバーです
Copyright© QUALITIA CO., LTD. All Rights Reserved.という時代もありました
Copyright© QUALITIA CO., LTD. All Rights Reserved.クエリがルートDNSサーバーに丸見え!セキュリティ的に問題だ!
Copyright© QUALITIA CO., LTD. All Rights Reserved.QNAME MinimisationRFC7816 (2016年)
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れ (QNAME Minimisation)クライアントフルリゾルバー: ルートDNSサーバーにjp.のIPを問い合わせルートDNSサーバー: 知らんがな。jpのDNSサーバーに聞いてフルリゾルバールートDNSサーバー jpに聞いてjpのIPは?
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れ (QNAME Minimisation)クライアントフルリゾルバー: jpのDNSサーバーにco.jp.のIPを問い合わせjpのDNSサーバー: 存在しないことを返すフルリゾルバー: jpのDNSサーバーにqualitia.co.jp.のIPを問い合わせjpのDNSサーバー: 知らんがな。qualitia.co.jpのDNSサーバーに聞いてフルリゾルバーco.jp.のIPは?jpのDNSサーバーないわqualitia.co.jp.のIPは?知らんがな。qualitia.co.jpに聞いて
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの名前解決の流れ (QNAME Minimisation)クライアントフルリゾルバー: qualitia.co.jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせqualitia.co.jpのDNSサーバー:54.65.37.180を返すフルリゾルバー: PCに54.65.37.180を返す。ついでにキャッシュする。PC: ブラウザーに54.65.37.180を返す。ついでにキャッシュする。ブラウザー: 54.65.37.180に接続して滝のような画面を表示ネコ: にゃーフルリゾルバールートDNSサーバー54.65.37.180やね。www.qualitia.co.jp.は?qualitia.co.jpのDNSサーバーJPのDNSサーバー54.65.37.180やて。
Copyright© QUALITIA CO., LTD. All Rights Reserved.QNAME Minimisation•どのくらい普及しているの?➔ 最近unboundをインストールしたらデフォルトでonでした。
Copyright© QUALITIA CO., LTD. All Rights Reserved.ご家庭では?
Copyright© QUALITIA CO., LTD. All Rights Reserved.ご家庭の環境クライアントDNSフォワーダーISPのフルリゾルバーwww.qualitia.co.jpのIPは?WIFIルーターなどwww.qualitia.co.jpのIPは?IPSに丸投げします
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSサーバー大集合
Copyright© QUALITIA CO., LTD. All Rights Reserved.いろいろなDNSサーバークライアントルートDNSサーバー社内のDNSサーバー スタブリゾルバーフルリゾルバーフォワーダー条件付きフォワーダーjpのDNSサーバーqualitia.co.jpのDNSサーバー権威DNSサーバー権威DNSサーバー権威DNSサーバー
Copyright© QUALITIA CO., LTD. All Rights Reserved.具体的なソフト名では• フルリゾルバー• BIND• unbound• Knot Resolver• PowerDNS Recursor• 権威DNSサーバー• BIND• Knot DNS• NSD• PowerDNS Authoritative Nameserver
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドのインストールWindows編
Copyright© QUALITIA CO., LTD. All Rights Reserved.ダウンロード•https://www.isc.org/download/
Copyright© QUALITIA CO., LTD. All Rights Reserved.インストール•Zipを展開ダウンロードディレクトリの下ではなくセキュリティの緩いところへ。• でないと恐い警告がでます。•BINDInstall.exeを右クリック⇨管理者として実行•Tools Onlyだけ選択
Copyright© QUALITIA CO., LTD. All Rights Reserved.VC++のランタイムもインストール• VC++のランタイムもインストールします• 再起動のボタンが出ても、まだ再起動しないように
Copyright© QUALITIA CO., LTD. All Rights Reserved.PATHを通す• PATHを追加C:¥Program Files¥ISC BIND 9¥bin
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドのインストールCentOS編
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドのインストールCentOS7yum install –y bind-utilsCentOS8dnf install –y bind-utils
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドの使い方
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドの使い方 超基本• MXレコードを知りたいdig qualitia.co.jp MXTXTレコードを知りたいdig qualitia.co.jp TXTTLSAレコードを知りたいdig _25._tcp.mail.interlingua.co.jp TLSA逆引きしたいdig -x 54.65.37.180
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSサーバーを指定したい8.8.8.8(googleのフルリゾルバーサービス)を使ってwww.qualitia.co.jpのAレコードを調べたいdig @8.8.8.8 qualitia.co.jp Ans1.qt-dns.com(QT-DNS(仮)の権威サーバー)にあるmail.interlingua.co.jpのAレコードを調べたいdig +norecurse @ns1.qt-dns.com mail.interlingua.co.jp A権威DNSサーバ上のレコードを調べるときは、再帰的に他のDNSサーバに問い合わせないように+norecを付けます。+オプションは判別可能なところまで短くできます。+norecでもokです。
Copyright© QUALITIA CO., LTD. All Rights Reserved.結果の見方 (結果があるとき); <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> qualitia.co.jp mx;; global options: +cmd;; Got answer:;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;qualitia.co.jp. IN MX;; ANSWER SECTION:qualitia.co.jp. 3549 IN MX 10 msmx01.qualitia.co.jp.qualitia.co.jp. 3549 IN MX 20 msmx02.qualitia.co.jp.;; Query time: 1 msec;; SERVER: 192.168.2.11#53(192.168.2.11);; WHEN: Thu Jul 30 18:03:18 JST 2020;; MSG SIZE rcvd: 89よく、結果がないと、空目するので注意です。結果はANSWER SECTIONにありますどのフルリゾルバーが答えたか
Copyright© QUALITIA CO., LTD. All Rights Reserved.結果の見方 (結果がないとき); <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> notexist.qualitia.co.jp mx;; global options: +cmd;; Got answer:;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;not.exist.qualitia.co.jp. IN MX;; AUTHORITY SECTION:qualitia.co.jp. 554 IN SOA ns-5.awsdns-00.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400ANSWER SECTIONはありません。所属するはずのzoneのSOAがAUTHORITY SECTIONに表示されます。statusが NXDOMAINになります。※not.exist.quialitia.co.jpは存在するのならqualitia.co.jpにあるはずなのでqualitia.co.jpのSOAが表示されています。qualitia.co.jpは存在するということです。
Copyright© QUALITIA CO., LTD. All Rights Reserved.結果の見方 (結果がないとき2); <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.qualitiaaaa.co.jp mx;; global options: +cmd;; Got answer:;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.qualitiaaaa.co.jp. IN MX;; AUTHORITY SECTION:jp. 185 IN SOA z.dns.jp. root.dns.jp. 1596109502 3600 9001814400 900ANSWER SECTIONはありません。所属するはずのzoneのSOAがAUTHORITY SECTIONに表示されます。statusが NXDOMAINになります。※qualitiaaaa.co.jpがそもそも存在しないので、jpのSOAが表示されています。qualitiaaaa.co.jpもco.jpも存在しないということがわかります。
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSの流れを実際に確認
Copyright© QUALITIA CO., LTD. All Rights Reserved.tcpdumpコマンドで確認•tcpdump -n -vv port 5314:34:19.853230 IP (tos 0x0, ttl 64, id 24915, offset 0, flags [none], proto UDP (17), length 71)unbound1.cdev.jp.33600 > a.dns.jp.domain: [bad udp cksum 0xd902 -> 0xceac!] 5506% [1au]A? qualitia.co.jp. ar: . OPT UDPsize=4096 DO (43)14:34:19.854790 IP (tos 0x0, ttl 55, id 62203, offset 0, flags [none], proto UDP (17), length 701)a.dns.jp.domain > unbound1.cdev.jp.33600: [udp sum ok] 5506- q: A? qualitia.co.jp. 0/8/1 ns:qualitia.co.jp. NS ns-1916.awsdns-47.co.uk., qualitia.co.jp. NS ns-764.awsdns-31.net.,qualitia.co.jp. NS ns-1192.awsdns-21.org., qualitia.co.jp. NS ns-5.awsdns-00.com.,52JRLDO6NA169OJDDJ7TCFIT0HGJ4ESQ.jp. Type50, 52JRLDO6NA169OJDDJ7TCFIT0HGJ4ESQ.jp.RRSIG, 62LH3LQSL8CUP4UKNCIMD776PBEBTGCH.jp. Type50,62LH3LQSL8CUP4UKNCIMD776PBEBTGCH.jp. RRSIG ar: . OPT UDPsize=4096 DO (673)qualitia.co.jpのAレコードは?知らんな。ns-1916.awsdns-47.co.jpとかns-764.awsdns-31.netとかに聞いて長いので一部だけ
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドで確認ルートDNSサーバのDNSサーバを確認dig . NS;; ANSWER SECTION:. 518400 IN NS d.root-servers.net.. 518400 IN NS h.root-servers.net.. 518400 IN NS g.root-servers.net.. 518400 IN NS m.root-servers.net.. 518400 IN NS e.root-servers.net.. 518400 IN NS c.root-servers.net.. 518400 IN NS b.root-servers.net.. 518400 IN NS i.root-servers.net.. 518400 IN NS j.root-servers.net.. 518400 IN NS f.root-servers.net.. 518400 IN NS a.root-servers.net.. 518400 IN NS l.root-servers.net.. 518400 IN NS k.root-servers.net.13個DNSサーバがありますフルリゾルバーになったつもりで
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドで確認ルートDNSサーバにwww.qualitia.co.jpを問い合わせdig +norec @a.root-servers.net www.qualitia.co.jp A;; ANSWER SECTION: なし;; AUTHORITY SECTION:jp. 172800 IN NS a.dns.jp.jp. 172800 IN NS d.dns.jp.jp. 172800 IN NS e.dns.jp.jp. 172800 IN NS f.dns.jp.jp. 172800 IN NS h.dns.jp.jp. 172800 IN NS g.dns.jp.jp. 172800 IN NS c.dns.jp.jp. 172800 IN NS b.dns.jp.jp.のDNSサーバーに聞いて知らんがな
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドで確認jpのDNSサーバにwww.qualitia.co.jpを問い合わせdig +norec @a.dns.jp www.qualitia.co.jp A;; ANSWER SECTION: なし;; AUTHORITY SECTION:qualitia.co.jp. 86400 IN NS ns-1916.awsdns-47.co.uk.qualitia.co.jp. 86400 IN NS ns-1192.awsdns-21.org.qualitia.co.jp. 86400 IN NS ns-764.awsdns-31.net.qualitia.co.jp. 86400 IN NS ns-5.awsdns-00.com.qualitia.co.jpのDNSサーバーに聞いて知らんがな
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドで確認qualitia.co.jpのDNSサーバにwww.qualitia.co.jpを問い合わせdig +norec @ns-1916.awsdns-37.co.uk www.qualitia.co.jp A;; ANSWER SECTION:www.qualitia.co.jp. 3600 IN A 54.65.37.18054.65.37.180やで
Copyright© QUALITIA CO., LTD. All Rights Reserved.digコマンドで確認2実はdigコマンドにオプションがあります。dig +trace www.qualitia.co.jpdig @8.8.8.8 +trace www.qualitia.co.jpとかでどうぞ。なぜか社内のDNSでは動かないので
Copyright© QUALITIA CO., LTD. All Rights Reserved.レコードのタイプ
Copyright© QUALITIA CO., LTD. All Rights Reserved.Aレコードipv4のIPアドレスですwww.qualitia.co.jp. IN A 54.65.37.180www.qualitia.co.jp. IN A 192.0.2.1何個でも書けます
Copyright© QUALITIA CO., LTD. All Rights Reserved.AAAAレコードipv6のIPアドレスですgoogle.com. IN AAAA 2404:6800:4004:80b::200e何個でも書けます
Copyright© QUALITIA CO., LTD. All Rights Reserved.MXレコードMail Exchange、メールの配送先のサーバのホスト名qualitia.co.jp. IN MX 10 msmx01.qualitia.co.jp.qualitia.co.jp. IN MX 20 msmx02.qualitia.co.jp.何個でも書けますIPアドレスは書けません10 msmx01.qualitia.co.jp.Preference (優先度)0が最優先配送先のホスト名
Copyright© QUALITIA CO., LTD. All Rights Reserved.SOAレコードZONEの情報ですqualitia.co.jp. IN SOA ns-5.awsdns-00.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 864001つのzoneに1つしか書けませんホストは管理するzoneと同じになります※必須です
Copyright© QUALITIA CO., LTD. All Rights Reserved.SOAレコード 詳細呼び名 説明 実際の値MName Primary DNSサーバー ns-5.awsdns-00.comRName 管理者のメールアドレス(@は.に変換) awsdns-hostmaster.amazon.comSerial zoneファイルのバージョンセカンダリはこのバージョンが増えていれば更新する1Refresh セカンダリがプライマリに確認して更新する間隔 7200Retry Refreshが失敗したとき、次にリトライするまでの間隔 900Expire Retryが失敗し続けたとき現在のデータを使う期間 1209600Minimum ネガティブキャッシュの時間 86400のところはセカンダリDNSのための設定です。
Copyright© QUALITIA CO., LTD. All Rights Reserved.NSレコード (自分のzone)自分のZONEを管理するDNSサーバーの情報ですqualitia.co.jp. IN NS ns-5.awsdns-00.com.qualitia.co.jp. IN NS ns-764.awsdns-31.net.qualitia.co.jp. IN NS ns-1192.awsdns-21.org.qualitia.co.jp. IN NS ns-1916.awsdns-47.co.uk.何個でも書けます管理するzoneと同じになります同じ内容を、親のzoneにも書くことで、親のzoneから委任されます※必須です
Copyright© QUALITIA CO., LTD. All Rights Reserved.NSレコード (親のzone)自分のZONEを管理するDNSサーバーの情報ですsub.qualitia.co.jp. IN NS ns-5.awsdns-00.com.sub.qualitia.co.jp. IN NS ns-764.awsdns-31.net.何個でも書けますサブドメインにzoneを委任します
Copyright© QUALITIA CO., LTD. All Rights Reserved.CNAMEレコード別名を指定できますwww.qualitia.co.jp. IN CNAME qualitia.co.jp.1つだけ書けますいくつか制限があります
Copyright© QUALITIA CO., LTD. All Rights Reserved.CNAMEレコード (制限1)他のTYPEと共存できませんwww.qualitia.co.jp. IN CNAME qualitia.co.jp.www.qualitia.co.jp. IN A 192.0.2.1×qualitia.co.jp. IN SOA ...qualitia.co.jp. IN NS ...qualitia.co.jp. IN CNAME www.qualitia.co.jp.×外部のCDNを使うときに問題に!
Copyright© QUALITIA CO., LTD. All Rights Reserved.CNAMEレコード (制限2)MX, CNAME, PTR, NSなどの別の名前を指すレコードと一緒に使えないpodunk.xx. IN MX mailhostmailhost IN CNAME marymary IN A 1.2.3.4×
Copyright© QUALITIA CO., LTD. All Rights Reserved.しかし
Copyright© QUALITIA CO., LTD. All Rights Reserved.CNAMEレコード (制限2)MX, CNAME, PTR, NSなどの別の名前を指すレコードと一緒に使えない?!www.apple.com IN CNAME www.apple.com.edgekey.net.www.apple.com.edgekey.net. IN CNAME www.apple.com.edgekey.net.globalredir.akadns.net.www.apple.com.edgekey.net.globalredir.akadns.net. IN CNAME e6858.dsce9.akamaiedge.net.e6858.dsce9.akamaiedge.net. IN A 23.35.197.152www.microsoft.com. IN CNAME www.microsoft.com-c-3.edgekey.net.www.microsoft.com-c-3.edgekey.net. IN CNAMEwww.microsoft.com-c-3.edgekey.net.globalredir.akadns.net.www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. IN CNAMEe13678.dspb.akamaiedge.net.e13678.dspb.akamaiedge.net. IN A 23.35.196.245
Copyright© QUALITIA CO., LTD. All Rights Reserved.TXTレコード何でも書けますqualitia.co.jp. IN TXT "v=spf1 ip4:52.68.88.39 ip4:54.65.37.180ip4:18.182.159.94 include:_spf.mail.qualitia.co.jp include:_spf.activegate-ss.jp include:spf.haihaimail.jp include:_spf.salesforce.cominclude:spf.protection.outlook.com include:aspmx.pardot.com ~all"qualitia.co.jp. IN TXT"pardot_124481_*=7327c3f6f1d49449b5c4852f37729deac16217011863c1ba1b68b520d3da44f5"qualitia.co.jp. IN TXT "MS=ms67333108"qualitia.co.jp. IN TXT "google-site-verification=nWIa4dpvjWUIJuD0VT0mcKXKcb3pRh2tk1LwBX19xZ8"何個でも書けます
Copyright© QUALITIA CO., LTD. All Rights Reserved.メールとDNSの関係Type DNSSECメール配送 example.jp MX mail.example.jp -SPF example.jp TXT v=SPF1 ip4:192.0.2.0/24 -all -DKIM 123._domainkey.example.jp TXT v=DKIM1; k=rsa;p=.... -DMARC _dmarc.example.jp TXT v=DMARC1; p=reject;rua=mailto:[email protected]; ruf=...-ARC - - - -BIMI default._bimi.example.jp TXT v=BIMI1; l=https://.... -MTA-STS _mta-sts.example.jp TXT v=STSv1; id=20200320T170000; -TLS-RPT _smtp._tls.example.jp TXT v=TLSRPT1;rua=mailto:[email protected]-DANE _25.tcp.mail.example.jp TLSA 3 0 1 2B73BB905F.... 必須REQUIRE-TLS - - - -
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSEC
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECとは?DNSの問い合わせや応答を暗号化して守るDNSの応答が改ざんされていないことを保証するDNSの応答が正しい人からのものであることを保証する×○○
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECがないときメールサーバー192.0.2.1新着メールあるかな?ログインして確認!DNSサーバーメールサーバのIPは?192.0.2.1ですよ権威DNSサーバーメールサーバのIPは?192.0.2.1ですよスマホのメーラーはIMAPサーバーに定期的に新着メールを問い合わせます
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECがないときメールサーバー192.0.2.1新着メールあるかな?ログインして確認!DNSサーバー192.0.2.100ですよ権威DNSサーバーメールサーバのIPは?192.0.2.1ですよ192.0.2.100ですよメールサーバのIPは?ID/パスワード収集サーバー192.0.2.100192.0.2.100ですよ
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECがあるときメールサーバー192.0.2.1DNSサーバーなんかおかしいわ権威DNSサーバーメールサーバのIPは?192.0.2.1ですよ192.0.2.100ですよ メールサーバのIPは?ID/パスワード収集サーバー192.0.2.100
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECの関係者クライアントルートDNSサーバースタブリゾルバーフルリゾルバーフォワーダーjpのDNSサーバーqualitia.co.jpのDNSサーバー権威DNSサーバー権威DNSサーバー権威DNSサーバー
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECが有効かどうかの確認 (リゾルバー)http://www.dnssec-or-not.com/PCが聞きに行っているフルリゾルバがDNSSECに対応してるかどうかVPNを使っていると、DNSSEC有効でもこちらが表示されるかも知れません
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECが有効かどうかの確認 (サーバー)https://dnsviz.net/権威DNSサーバーがDNSSECに対応してるかどうかDNSSECが失敗したところは黒くなります
Copyright© QUALITIA CO., LTD. All Rights Reserved.dig コマンドで確認DNSSEC非対応ドメインdig qualitia.co.jp;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; ANSWER SECTION:qualitia.co.jp. 1443 IN A 54.65.37.180DNSSEC非対応ドメイン + DNSSEC非対応リゾルバーDNSSEC非対応ドメイン + DNSSEC対応リゾルバー;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; ANSWER SECTION:qualitia.co.jp. 3600 IN A 54.65.37.180同じです
Copyright© QUALITIA CO., LTD. All Rights Reserved.dig コマンドで確認DNSSEC対応ドメインdig mail.interlingua.co.jp;; ->>HEADER<;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; ANSWER SECTION:mail.interlingua.co.jp. 0 IN A 210.158.71.76DNSSEC対応ドメイン + DNSSEC非対応リゾルバーDNSSEC対応ドメイン + DNSSEC対応リゾルバー;; ->>HEADER<;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; ANSWER SECTION:mail.interlingua.co.jp. 300 IN A 210.158.71.76同じですDNSSEC対応ドメインはadフラグが付きます
Copyright© QUALITIA CO., LTD. All Rights Reserved.dig コマンドで確認なりすまされているDNSSEC対応ドメインdig dnssec-failed.org;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; ANSWER SECTION:dnssec-failed.org. 6510 IN A 69.252.80.75DNSSEC対応ドメイン + DNSSEC非対応リゾルバーDNSSEC対応ドメイン + DNSSEC対応リゾルバー;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1DNSSEC対応リゾルバーではSERVFAILになりますIPは返りませんDNSSEC非対応リゾルバーは答えを返してしまいますadフラグはありませんVPNを使っているとご自宅のDNSサーバーからSERVFAILを受け取っても、その後、会社のDNSサーバーに聞きに行ってNOERRORになるかも知れません
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSEC対応/非対応まとめDNSSEC非対応ドメイン DNSSEC対応ドメイン なりすまされたDNSSEC対応ドメインDNSSEC非対応リゾルバ adフラグなし adフラグあり adフラグなしDNSSEC対応リゾルバ adフラグなし adフラグあり adフラグなしDNSSEC非対応ドメイン DNSSEC対応ドメイン なりすまされたDNSSEC対応ドメインDNSSEC非対応リゾルバ 回答あり 回答あり 回答ありDNSSEC対応リゾルバ 回答あり 回答あり SERVFAILadフラグ応答
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECとは?(再掲)DNSの問い合わせや応答を暗号化して守るDNSの応答が改ざんされていないことを保証するDNSの応答が正しい人からのものであることを保証する×○○
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECの仕組み (イメージ)qualitia.co.jp. IN MX 20 msmx02.qualitia.co.jp.qualitia.co.jp. IN MX 10 msmx01.qualitia.co.jp.レコードセットをqualitia.co.jpが署名qualitia.co.jpのハンコをjpが署名jpのハンコをrootが署名
Copyright© QUALITIA CO., LTD. All Rights Reserved.デジタル署名Hash・元のデータを固定長のデータに変換する・基本的に戻せない誕生日占い自分の誕生日、誕生月、誕生年の数字を足してください。その数字を一桁ずつ分けた上で、全てを足しててください。この計算を、数字が一桁になるまで続けましょう1972年7月1日⇨ 1972 + 7 + 1 = 1980⇨ 1 + 9 + 8 + 0 = 18⇨ 1 + 8 = 91:アイデアマン2:平和主義3:お祭り好き4:保守的5:パイオニア6:ロマンチスト7:インテリ8:大物9:エンターテイナーmd5, sha1, sha256
Copyright© QUALITIA CO., LTD. All Rights Reserved.デジタル署名共通鍵暗号 (秘密鍵暗号)・暗号化する側と復号する側が同じ鍵を使う・変換されたデータは元に戻せるAES, DES, 3DES, Camellia, ...デジタル署名では使いません
Copyright© QUALITIA CO., LTD. All Rights Reserved.デジタル署名公開鍵暗号・暗号化する側の鍵(秘密鍵:Private Key)と復号するの鍵(公開鍵: Public Key)が異なる・変換されたデータは元に戻せるRSA, ECDSA, Ed25519, ...
Copyright© QUALITIA CO., LTD. All Rights Reserved.デジタル署名署名・データからHashを生成・Hashを秘密鍵で暗号化・これを署名として公開・公開鍵ももちろん公開検証・データからHash(①)を生成・署名を公開鍵で複合(②)・①と②が一致するかどうか確認Hashと公開鍵暗号の秘密鍵を使いますぼくドラえもんです ⇨ abcdeabcde ⇨ くぁwせdrftgyふじこlpぼくドラえもんです (署名:くぁwせdrftgyふじこlp)ぼくドラえもんです ⇨ abcdeくぁwせdrftgyふじこlp ⇨ abcdeabcde == abcdeHashと公開鍵暗号の公開鍵を使います
Copyright© QUALITIA CO., LTD. All Rights Reserved.レコードセットの署名•dig +dnssec interlingua.co.jp mxinterlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp.interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 2020080223003855501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/pNdysOWDNRQxO/4zom+Wvb87YwYl+g==interlingua.co.jp. 6 IN DNSKEY 256 3 13 (6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKpRI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501interlingua.co.jp. 6 IN DNSKEY 257 3 13 (rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661•dig +multi interlingua.co.jp dnskey署名公開鍵署名した人
Copyright© QUALITIA CO., LTD. All Rights Reserved.レコードセットの署名interlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp.interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 2020080223003855501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/pNdysOWDNRQxO/4zom+Wvb87YwYl+g==interlingua.co.jp. 6 IN DNSKEY 256 3 13 (6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKpRI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501署名公開鍵権威DNSサーバーはMXレコードセットのHashをZSK(Zone Signing Key)の秘密鍵で暗号化し、RRSIG MXとして公開フルリゾルバーはRRSIGをZSKの公開鍵で復号し、MXレコードセットのHashと合っているかどうかを確認MXレコードセットはZSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる
Copyright© QUALITIA CO., LTD. All Rights Reserved.しかしそもそも公開鍵が偽物かも
Copyright© QUALITIA CO., LTD. All Rights Reserved.公開鍵も署名しないと
Copyright© QUALITIA CO., LTD. All Rights Reserved.公開鍵の署名•dig +dnssec +multi interlingua.co.jp dnskeyinterlingua.co.jp. 300 IN DNSKEY 256 3 13 (6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKpRI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501interlingua.co.jp. 300 IN DNSKEY 257 3 13 (rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661interlingua.co.jp. 300 IN RRSIG DNSKEY 13 3 300 (20200817003032 20200802230032 63661 interlingua.co.jp.6GYbqK+/csGs3SW70LdxvHwAHM+AAGem6G4vK4OvrJWu4lQesbZTVO9fXHIfkSZnx0QqppKSEt9SBhUdVF91lg== )署名KSKの公開鍵ZSKの公開鍵権威DNSサーバーはDNSKEYレコードセットのHashをKSK(Key Signing Key)の秘密鍵で暗号化し、RRSIG DNSKEYとして公開公開鍵はKSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる
Copyright© QUALITIA CO., LTD. All Rights Reserved.まだ、なりすませますね
Copyright© QUALITIA CO., LTD. All Rights Reserved.鍵のHash(DS)を親Zoneに預けるinterlingua.co.jp. 300 IN DNSKEY 257 3 13 (rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661KSKの公開鍵のHash。DSと呼びますKSKの公開鍵KSK(Key Signing Key)の公開鍵のHashを親のZoneに登録しておく•dig interlingua.co.jp dsinterlingua.co.jp. 4520 IN DS 63661 13 2975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DCこのレコードはjp.のzoneに存在interlingua.co.jpのKSKの公開鍵が改ざんされていないことをjpが保証する
Copyright© QUALITIA CO., LTD. All Rights Reserved.親ZoneでDSを署名•dig +dnssec interlingua.co.jp dsinterlingua.co.jp. 4087 IN DS 63661 13 2975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DCinterlingua.co.jp. 4087 IN RRSIG DS 8 3 7200 20200831174502 2020080117450232163 jp. N8AnyWRKCGnaZmsLPhvkOoUuhKKzwNcPvATKCr4dzTCcmaWFpNDKNEU7gddNckfgg2VxtRpvV2ZT5MPcwhWpqWM1O7p+TxX3fz3pYm/7RjoCjvK6p5n4IdSmkHCT+9ThHD3popKUWXI/KtXkgXUCkFatkTFxt9uTJOmsXxN/ OVs=jp. 86394 IN DNSKEY 256 3 8 (AwEAAa9eY9Ns9TIFqb+iYkU9C7n80Y0M1L2NZcEbvmCJfrJqQC09tA+7TJbJ7y3k5q+wtYznOpGY1v2qbeTaEbaRvr7ZFa/OQUZbl7yE7qNDNVl7+s5/zXFq09hRWoFFaWgY5rC75FmeVambDibge+G0yIGNsD1PsYQ/7oG3mujg+0jn) ; ZSK; alg = RSASHA256 ; key id = 32163•dig +multi jp dnskey署名公開鍵署名した人
Copyright© QUALITIA CO., LTD. All Rights Reserved.これをrootまで繰り返す
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSSECのトラストチェインinterlingua.co.jp. IN MX 10 mail.interlingua.co.jp.DNSKEY (ZSK)DNSKEY (KSK)DNSKEY (ZSK)DNSKEY (KSK)DS署名署名Hashを預ける署名署名DNSKEY (ZSK)DNSKEY (KSK)DS署名署名interlingua.co.jpのzoneルートのzonejpのzone
Copyright© QUALITIA CO., LTD. All Rights Reserved.Keyのロールオーバー•DKIM署名のKeyと同じようにDNSSECのKeyも定期的にメールオーバーする必要があります。結構複雑なので、次回!
Copyright© QUALITIA CO., LTD. All Rights Reserved.ドメインの管理
Copyright© QUALITIA CO., LTD. All Rights Reserved.ドメイン管理の仕組み.jpとか.comとかを管理.jpの場合JPRSお名前.comなどjpの場合実はクオリティアもこれ
Copyright© QUALITIA CO., LTD. All Rights Reserved.ドメイン登録の仕組みクオリティアクオリティアJPRS
Copyright© QUALITIA CO., LTD. All Rights Reserved.ドメイン移管JPRSクオリティア お名前.com①example.jpをお名前.comからクオリティアに移して③example.jpをクオリティアに移していい?②example.jpをクオリティアに移して④example.jpをクオリティアに移していい?example.jpはお名前.comが管理
Copyright© QUALITIA CO., LTD. All Rights Reserved.ドメイン移管JPRSクオリティア お名前.com①example.jpをお名前.comからクオリティアに移して③example.jpをクオリティアに移していい?②example.jpをクオリティアに移して⑤ええで⑦example.jpはクオリティアが管理④example.jpをクオリティアに移していい?⑥ええらしいわ
Copyright© QUALITIA CO., LTD. All Rights Reserved.DNSホスティングサービスQT-DNS(仮)ご紹介
Copyright© QUALITIA CO., LTD. All Rights Reserved.QT-DNS(仮)の範囲クライアントルートDNSサーバー社内のDNSサーバー スタブリゾルバーフルリゾルバーフォワーダー条件付きフォワーダーjpのDNSサーバーqualitia.co.jpのDNSサーバー権威DNSサーバー権威DNSサーバー権威DNSサーバー
Copyright© QUALITIA CO., LTD. All Rights Reserved.レコードの一覧
Copyright© QUALITIA CO., LTD. All Rights Reserved.メール管理者向けのわかりやすい設定
Copyright© QUALITIA CO., LTD. All Rights Reserved.権威DNSサービス (今できること)• ドメイン登録・管理代行 (手動)• DNSサーバのホスティング• ns1.qt-dns.com, ns2.qt-dns.com• 日本、シンガポールにそれぞれ2系統、計4系統で冗長化• 規模に応じてスケールアウト/イン可能• DNSSECの自動設定• ECDSAP256SHA256のアルゴリズムで署名• ZSK, KSKの自動Rollover• 2週間のZSK自動Rollover• 3ヶ月のKSK自動Rollover• レジストリへのDSレコード自動登録• MX, SPF, DKIM, DMARC, TXTの親切な登録
Copyright© QUALITIA CO., LTD. All Rights Reserved.おわり
Copyright© QUALITIA CO., LTD. All Rights Reserved.おまけWindowsのDNSキャッシュをクリアしたい⇨ ipconfig /flushdns社内でDNSSEC対応のリゾルバーを試してみたい⇨ 172.16.96.53, 172.16.96.54 にunboundがインストールされています。自分でunboundをインストールしてみたい⇨ https://qiita.com/hirachan/items/bb1cf3a7cd2e93ead56dフルリゾルバーを変更したいWindows ⇨ 設定 ➔ ネットワークとインターネット ➔ アダプターのオプションを変更する ➔ 変更するアダプターをダブルクリック ➔ プロパティ ➔インターネットプロトコルバージョン4(TCP/IPv4) ➔ 次のDNSサーバーのアドレスを使うLinux ⇨ /etc/resolv.conf
hirachan
robots
drumath2237
megabitsenmzq
oracle4engineer
yamamotohiroya
sumiren
uzulla
mizunohiroaki
line_developers
safie_recruit
tmm1
soudai
dotmariusz
lara
lemiorhan
colly
matthewcrist
moore
62gerente
skipperchong
tanoku