DNS, DNSSECの仕組み

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSの名前解決の流れクライアントフルリゾルバー: ルートDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせルートDNSサーバー: 知らんがな。jpのDNSサーバーに聞いてフルリゾルバールートDNSサーバー知らんがな。jpに聞いて www.qualitia.co.jp.は? 権威DNSサーバーと呼ばれます

Slide 7

Slide 7 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSの名前解決の流れクライアントフルリゾルバー: jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせ jpのDNSサーバー: 知らんがな。qualitia.co.jpのDNSサーバーに聞いてフルリゾルバールートDNSサーバー知らんがな。qualitia.co.jpに聞いて www.qualitia.co.jp.は? jpのDNSサーバーこれも権威DNSサーバーです

Slide 8

Slide 8 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSの名前解決の流れクライアントフルリゾルバー: qualitia.co.jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせ qualitia.co.jpのDNSサーバー: 54.65.37.180を返すフルリゾルバー: クライアントに54.65.37.180を返す。ついでにキャッシュする。 OS: ブラウザーに54.65.37.180を返す。ついでにキャッシュする。ブラウザー: 54.65.37.180に接続して滝のような画面を表示ネコ: にゃーフルリゾルバールートDNSサーバー 54.65.37.180やね。 www.qualitia.co.jp.は? qualitia.co.jpのDNSサーバー JPのDNSサーバー 54.65.37.180やて。これも権威DNSサーバーです

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSの名前解決の流れ (QNAME Minimisation) クライアントフルリゾルバー: jpのDNSサーバーにco.jp.のIPを問い合わせ jpのDNSサーバー: 存在しないことを返すフルリゾルバー: jpのDNSサーバーにqualitia.co.jp.のIPを問い合わせ jpのDNSサーバー: 知らんがな。qualitia.co.jpのDNSサーバーに聞いてフルリゾルバー co.jp.のIPは? jpのDNSサーバーないわ qualitia.co.jp.のIPは? 知らんがな。qualitia.co.jpに聞いて

Slide 14

Slide 14 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSの名前解決の流れ (QNAME Minimisation) クライアントフルリゾルバー: qualitia.co.jpのDNSサーバーにwww.qualitia.co.jp.のIPを問い合わせ qualitia.co.jpのDNSサーバー: 54.65.37.180を返すフルリゾルバー: PCに54.65.37.180を返す。ついでにキャッシュする。 PC: ブラウザーに54.65.37.180を返す。ついでにキャッシュする。ブラウザー: 54.65.37.180に接続して滝のような画面を表示ネコ: にゃーフルリゾルバールートDNSサーバー 54.65.37.180やね。 www.qualitia.co.jp.は? qualitia.co.jpのDNSサーバー JPのDNSサーバー 54.65.37.180やて。

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

Slide 29

Slide 29 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. digコマンドの使い方超基本 • MXレコードを知りたい dig qualitia.co.jp MX TXTレコードを知りたい dig qualitia.co.jp TXT TLSAレコードを知りたい dig _25._tcp.mail.interlingua.co.jp TLSA 逆引きしたい dig -x 54.65.37.180

Slide 30

Slide 30 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSサーバーを指定したい 8.8.8.8(googleのフルリゾルバーサービス)を使って www.qualitia.co.jpのAレコードを調べたい dig @8.8.8.8 qualitia.co.jp A ns1.qt-dns.com(QT-DNS(仮)の権威サーバー)にある mail.interlingua.co.jpのAレコードを調べたい dig +norecurse @ns1.qt-dns.com mail.interlingua.co.jp A 権威DNSサーバ上のレコードを調べるときは、再帰的に他のDNSサーバに問い合わせないように+norecを付けます。 +オプションは判別可能なところまで短くできます。 +norecでもokです。

Slide 31

Slide 31 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 結果の見方 (結果があるとき) ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> qualitia.co.jp mx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20780 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;qualitia.co.jp. IN MX ;; ANSWER SECTION: qualitia.co.jp. 3549 IN MX 10 msmx01.qualitia.co.jp. qualitia.co.jp. 3549 IN MX 20 msmx02.qualitia.co.jp. ;; Query time: 1 msec ;; SERVER: 192.168.2.11#53(192.168.2.11) ;; WHEN: Thu Jul 30 18:03:18 JST 2020 ;; MSG SIZE rcvd: 89 よく、結果がないと、空目するので注意です。結果はANSWER SECTION にありますどのフルリゾルバーが答えたか

Slide 32

Slide 32 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 結果の見方 (結果がないとき) ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> notexist.qualitia.co.jp mx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 4529 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;not.exist.qualitia.co.jp. IN MX ;; AUTHORITY SECTION: qualitia.co.jp. 554 IN SOA ns-5.awsdns-00.com. awsdns- hostmaster.amazon.com. 1 7200 900 1209600 86400 ANSWER SECTION はありません。所属するはずのzoneのSOAが AUTHORITY SECTION に表示されます。 statusが NXDOMAIN になります。 ※not.exist.quialitia.co.jpは存在するのならqualitia.co.jpにあるはずなのでqualitia.co.jpのSOAが表示されています。 qualitia.co.jpは存在するということです。

Slide 33

Slide 33 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 結果の見方 (結果がないとき2) ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.qualitiaaaa.co.jp mx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 12038 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.qualitiaaaa.co.jp. IN MX ;; AUTHORITY SECTION: jp. 185 IN SOA z.dns.jp. root.dns.jp. 1596109502 3600 900 1814400 900 ANSWER SECTION はありません。所属するはずのzoneのSOAが AUTHORITY SECTION に表示されます。 statusが NXDOMAIN になります。 ※qualitiaaaa.co.jpがそもそも存在しないので、 jpのSOAが表示されています。 qualitiaaaa.co.jpもco.jpも存在しないということがわかります。

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. tcpdumpコマンドで確認 •tcpdump -n -vv port 53 14:34:19.853230 IP (tos 0x0, ttl 64, id 24915, offset 0, flags [none], proto UDP (17), length 71) unbound1.cdev.jp.33600 > a.dns.jp.domain: [bad udp cksum 0xd902 -> 0xceac!] 5506% [1au] A? qualitia.co.jp. ar: . OPT UDPsize=4096 DO (43) 14:34:19.854790 IP (tos 0x0, ttl 55, id 62203, offset 0, flags [none], proto UDP (17), length 701) a.dns.jp.domain > unbound1.cdev.jp.33600: [udp sum ok] 5506- q: A? qualitia.co.jp. 0/8/1 ns: qualitia.co.jp. NS ns-1916.awsdns-47.co.uk., qualitia.co.jp. NS ns-764.awsdns-31.net., qualitia.co.jp. NS ns-1192.awsdns-21.org., qualitia.co.jp. NS ns-5.awsdns-00.com., 52JRLDO6NA169OJDDJ7TCFIT0HGJ4ESQ.jp. Type50, 52JRLDO6NA169OJDDJ7TCFIT0HGJ4ESQ.jp. RRSIG, 62LH3LQSL8CUP4UKNCIMD776PBEBTGCH.jp. Type50, 62LH3LQSL8CUP4UKNCIMD776PBEBTGCH.jp. RRSIG ar: . OPT UDPsize=4096 DO (673) qualitia.co.jpのAレコードは? 知らんな。ns-1916.awsdns-47.co.jpとかns-764.awsdns-31.netとかに聞いて長いので一部だけ

Slide 36

Slide 36 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. digコマンドで確認ルートDNSサーバのDNSサーバを確認 dig . NS ;; ANSWER SECTION: . 518400 IN NS d.root-servers.net. . 518400 IN NS h.root-servers.net. . 518400 IN NS g.root-servers.net. . 518400 IN NS m.root-servers.net. . 518400 IN NS e.root-servers.net. . 518400 IN NS c.root-servers.net. . 518400 IN NS b.root-servers.net. . 518400 IN NS i.root-servers.net. . 518400 IN NS j.root-servers.net. . 518400 IN NS f.root-servers.net. . 518400 IN NS a.root-servers.net. . 518400 IN NS l.root-servers.net. . 518400 IN NS k.root-servers.net. 13個DNSサーバがありますフルリゾルバーになったつもりで

Slide 37

Slide 37 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. digコマンドで確認ルートDNSサーバにwww.qualitia.co.jpを問い合わせ dig +norec @a.root-servers.net www.qualitia.co.jp A ;; ANSWER SECTION: なし ;; AUTHORITY SECTION: jp. 172800 IN NS a.dns.jp. jp. 172800 IN NS d.dns.jp. jp. 172800 IN NS e.dns.jp. jp. 172800 IN NS f.dns.jp. jp. 172800 IN NS h.dns.jp. jp. 172800 IN NS g.dns.jp. jp. 172800 IN NS c.dns.jp. jp. 172800 IN NS b.dns.jp. jp.のDNSサーバーに聞いて知らんがな

Slide 38

Slide 38 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. digコマンドで確認 jpのDNSサーバにwww.qualitia.co.jpを問い合わせ dig +norec @a.dns.jp www.qualitia.co.jp A ;; ANSWER SECTION: なし ;; AUTHORITY SECTION: qualitia.co.jp. 86400 IN NS ns-1916.awsdns-47.co.uk. qualitia.co.jp. 86400 IN NS ns-1192.awsdns-21.org. qualitia.co.jp. 86400 IN NS ns-764.awsdns-31.net. qualitia.co.jp. 86400 IN NS ns-5.awsdns-00.com. qualitia.co.jpのDNSサーバーに聞いて知らんがな

Slide 39

Slide 39 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. digコマンドで確認 qualitia.co.jpのDNSサーバにwww.qualitia.co.jpを問い合わせ dig +norec @ns-1916.awsdns-37.co.uk www.qualitia.co.jp A ;; ANSWER SECTION: www.qualitia.co.jp. 3600 IN A 54.65.37.180 54.65.37.180やで

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Slide 43

Slide 43 text

Slide 44

Slide 44 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MXレコード Mail Exchange、メールの配送先のサーバのホスト名 qualitia.co.jp. IN MX 10 msmx01.qualitia.co.jp. qualitia.co.jp. IN MX 20 msmx02.qualitia.co.jp. 何個でも書けます IPアドレスは書けません 10 msmx01.qualitia.co.jp. Preference (優先度) 0が最優先配送先のホスト名

Slide 45

Slide 45 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SOAレコード ZONEの情報です qualitia.co.jp. IN SOA ns-5.awsdns-00.com. awsdns- hostmaster.amazon.com. 1 7200 900 1209600 86400 1つのzoneに1つしか書けませんホストは管理するzoneと同じになります ※必須です

Slide 46

Slide 46 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SOAレコード詳細呼び名説明実際の値 MName Primary DNSサーバー ns-5.awsdns-00.com RName 管理者のメールアドレス(@は.に変換) awsdns-hostmaster.amazon.com Serial zoneファイルのバージョンセカンダリはこのバージョンが増えていれば更新する 1 Refresh セカンダリがプライマリに確認して更新する間隔 7200 Retry Refreshが失敗したとき、次にリトライするまでの間隔 900 Expire Retryが失敗し続けたとき現在のデータを使う期間 1209600 Minimum ネガティブキャッシュの時間 86400 のところはセカンダリDNSのための設定です。

Slide 47

Slide 47 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. NSレコード (自分のzone) 自分のZONEを管理するDNSサーバーの情報です qualitia.co.jp. IN NS ns-5.awsdns-00.com. qualitia.co.jp. IN NS ns-764.awsdns-31.net. qualitia.co.jp. IN NS ns-1192.awsdns-21.org. qualitia.co.jp. IN NS ns-1916.awsdns-47.co.uk. 何個でも書けます管理するzoneと同じになります同じ内容を、親のzoneにも書くことで、親のzoneから委任されます ※必須です

Slide 48

Slide 48 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. NSレコード (親のzone) 自分のZONEを管理するDNSサーバーの情報です sub.qualitia.co.jp. IN NS ns-5.awsdns-00.com. sub.qualitia.co.jp. IN NS ns-764.awsdns-31.net. 何個でも書けますサブドメインにzoneを委任します

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. CNAMEレコード (制限1) 他のTYPEと共存できません www.qualitia.co.jp. IN CNAME qualitia.co.jp. www.qualitia.co.jp. IN A 192.0.2.1 × qualitia.co.jp. IN SOA ... qualitia.co.jp. IN NS ... qualitia.co.jp. IN CNAME www.qualitia.co.jp. × 外部のCDNを使うときに問題に！

Slide 51

Slide 51 text

Slide 52

Slide 52 text

Slide 53

Slide 53 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. CNAMEレコード (制限2) MX, CNAME, PTR, NSなどの別の名前を指すレコードと一緒に使えない？！ www.apple.com IN CNAME www.apple.com.edgekey.net. www.apple.com.edgekey.net. IN CNAME www.apple.com.edgekey.net.globalredir.akadns.net. www.apple.com.edgekey.net.globalredir.akadns.net. IN CNAME e6858.dsce9.akamaiedge.net. e6858.dsce9.akamaiedge.net. IN A 23.35.197.152 www.microsoft.com. IN CNAME www.microsoft.com-c-3.edgekey.net. www.microsoft.com-c-3.edgekey.net. IN CNAME www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. IN CNAME e13678.dspb.akamaiedge.net. e13678.dspb.akamaiedge.net. IN A 23.35.196.245

Slide 54

Slide 54 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. TXTレコード何でも書けます qualitia.co.jp. IN TXT "v=spf1 ip4:52.68.88.39 ip4:54.65.37.180 ip4:18.182.159.94 include:_spf.mail.qualitia.co.jp include:_spf.activegate- ss.jp include:spf.haihaimail.jp include:_spf.salesforce.com include:spf.protection.outlook.com include:aspmx.pardot.com ~all" qualitia.co.jp. IN TXT "pardot_124481_*=7327c3f6f1d49449b5c4852f37729deac1621701186 3c1ba1b68b520d3da44f5" qualitia.co.jp. IN TXT "MS=ms67333108" qualitia.co.jp. IN TXT "google-site- verification=nWIa4dpvjWUIJuD0VT0mcKXKcb3pRh2tk1LwBX19xZ8" 何個でも書けます

Slide 55

Slide 55 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. メールとDNSの関係 Type DNS SEC メール配送 example.jp MX mail.example.jp - SPF example.jp TXT v=SPF1 ip4:192.0.2.0/24 -all - DKIM 123._domainkey.example.jp TXT v=DKIM1; k=rsa;p=.... - DMARC _dmarc.example.jp TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=... - ARC - - - - BIMI default._bimi.example.jp TXT v=BIMI1; l=https://.... - MTA-STS _mta-sts.example.jp TXT v=STSv1; id=20200320T170000; - TLS-RPT _smtp._tls.example.jp TXT v=TLSRPT1; rua=mailto:[email protected] - DANE _25.tcp.mail.example.jp TLSA 3 0 1 2B73BB905F.... 必須 REQUIRE-TLS - - - -

Slide 56

Slide 56 text

Slide 57

Slide 57 text

Slide 58

Slide 58 text

Slide 59

Slide 59 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSSECがないときメールサーバー 192.0.2.1 新着メールあるかな? ログインして確認！ DNSサーバー 192.0.2.100ですよ権威DNSサーバーメールサーバのIPは? 192.0.2.1ですよ 192.0.2.100ですよメールサーバのIPは? ID/パスワード収集サーバー 192.0.2.100 192.0.2.100ですよ

Slide 60

Slide 60 text

Slide 61

Slide 61 text

Slide 62

Slide 62 text

Slide 63

Slide 63 text

Slide 64

Slide 64 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. dig コマンドで確認 DNSSEC非対応ドメイン dig qualitia.co.jp ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23896 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: qualitia.co.jp. 1443 IN A 54.65.37.180 DNSSEC非対応ドメイン + DNSSEC非対応リゾルバー DNSSEC非対応ドメイン + DNSSEC対応リゾルバー ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6419 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: qualitia.co.jp. 3600 IN A 54.65.37.180 同じです

Slide 65

Slide 65 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. dig コマンドで確認 DNSSEC対応ドメイン dig mail.interlingua.co.jp ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17088 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: mail.interlingua.co.jp. 0 IN A 210.158.71.76 DNSSEC対応ドメイン + DNSSEC非対応リゾルバー DNSSEC対応ドメイン + DNSSEC対応リゾルバー ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10109 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: mail.interlingua.co.jp. 300 IN A 210.158.71.76 同じです DNSSEC対応ドメインは adフラグが付きます

Slide 66

Slide 66 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. dig コマンドで確認なりすまされているDNSSEC対応ドメイン dig dnssec-failed.org ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14060 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: dnssec-failed.org. 6510 IN A 69.252.80.75 DNSSEC対応ドメイン + DNSSEC非対応リゾルバー DNSSEC対応ドメイン + DNSSEC対応リゾルバー ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63229 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 DNSSEC対応リゾルバーでは SERVFAILになります IPは返りません DNSSEC非対応リゾルバーは答えを返してしまいます adフラグはありません VPNを使っているとご自宅のDNSサーバーから SERVFAILを受け取っても、その後、会社のDNSサーバーに聞きに行ってNOERRORになるかも知れません

Slide 67

Slide 67 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSSEC対応/非対応まとめ DNSSEC非対応ドメイン DNSSEC対応ドメインなりすまされた DNSSEC対応ドメイン DNSSEC非対応リゾルバ adフラグなし adフラグあり adフラグなし DNSSEC対応リゾルバ adフラグなし adフラグあり adフラグなし DNSSEC非対応ドメイン DNSSEC対応ドメインなりすまされた DNSSEC対応ドメイン DNSSEC非対応リゾルバ回答あり回答あり回答あり DNSSEC対応リゾルバ回答あり回答あり SERVFAIL adフラグ応答

Slide 68

Slide 68 text

Slide 69

Slide 69 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSSECの仕組み (イメージ) qualitia.co.jp. IN MX 20 msmx02.qualitia.co.jp. qualitia.co.jp. IN MX 10 msmx01.qualitia.co.jp. レコードセットを qualitia.co.jpが署名 qualitia.co.jpのハンコをjpが署名 jpのハンコをrootが署名

Slide 70

Slide 70 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デジタル署名 Hash ・元のデータを固定長のデータに変換する・基本的に戻せない誕生日占い自分の誕生日、誕生月、誕生年の数字を足してください。その数字を一桁ずつ分けた上で、全てを足しててください。この計算を、数字が一桁になるまで続けましょう 1972年7月1日 ⇨ 1972 + 7 + 1 = 1980 ⇨ 1 + 9 + 8 + 0 = 18 ⇨ 1 + 8 = 9 1：アイデアマン 2：平和主義 3：お祭り好き 4：保守的 5：パイオニア 6：ロマンチスト 7：インテリ 8：大物 9：エンターテイナー md5, sha1, sha256

Slide 71

Slide 71 text

Slide 72

Slide 72 text

Slide 73

Slide 73 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デジタル署名署名・データからHashを生成・Hashを秘密鍵で暗号化・これを署名として公開・公開鍵ももちろん公開検証・データからHash(①)を生成・署名を公開鍵で複合(②) ・①と②が一致するかどうか確認 Hashと公開鍵暗号の秘密鍵を使いますぼくドラえもんです ⇨ abcde abcde ⇨ くぁwせdrftgyふじこlp ぼくドラえもんです (署名:くぁwせdrftgyふじこlp) ぼくドラえもんです ⇨ abcde くぁwせdrftgyふじこlp ⇨ abcde abcde == abcde Hashと公開鍵暗号の公開鍵を使います

Slide 74

Slide 74 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. レコードセットの署名 •dig +dnssec interlingua.co.jp mx interlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp. interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 20200802230038 55501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/ pNdysOWDNRQxO/4zom+Wvb87YwYl+g== interlingua.co.jp. 6 IN DNSKEY 256 3 13 ( 6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g== ) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501 interlingua.co.jp. 6 IN DNSKEY 257 3 13 ( rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s 3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA== ) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661 •dig +multi interlingua.co.jp dnskey 署名公開鍵署名した人

Slide 75

Slide 75 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. レコードセットの署名 interlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp. interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 20200802230038 55501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/ pNdysOWDNRQxO/4zom+Wvb87YwYl+g== interlingua.co.jp. 6 IN DNSKEY 256 3 13 ( 6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g== ) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501 署名公開鍵権威DNSサーバーはMXレコードセットのHashをZSK(Zone Signing Key)の秘密鍵で暗号化し、 RRSIG MXとして公開フルリゾルバーはRRSIGをZSKの公開鍵で復号し、MXレコードセットのHashと合っているかどうかを確認 MXレコードセットはZSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる

Slide 76

Slide 76 text

Slide 77

Slide 77 text

Slide 78

Slide 78 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 公開鍵の署名 •dig +dnssec +multi interlingua.co.jp dnskey interlingua.co.jp. 300 IN DNSKEY 256 3 13 ( 6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g== ) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501 interlingua.co.jp. 300 IN DNSKEY 257 3 13 ( rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s 3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA== ) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661 interlingua.co.jp. 300 IN RRSIG DNSKEY 13 3 300 ( 20200817003032 20200802230032 63661 interlingua.co.jp. 6GYbqK+/csGs3SW70LdxvHwAHM+AAGem6G4vK4OvrJWu 4lQesbZTVO9fXHIfkSZnx0QqppKSEt9SBhUdVF91lg== ) 署名 KSKの公開鍵 ZSKの公開鍵権威DNSサーバーはDNSKEYレコードセットのHashをKSK(Key Signing Key)の秘密鍵で暗号化し、 RRSIG DNSKEYとして公開公開鍵はKSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる

Slide 79

Slide 79 text

Slide 80

Slide 80 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 鍵のHash(DS)を親Zoneに預ける interlingua.co.jp. 300 IN DNSKEY 257 3 13 ( rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s 3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA== ) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661 KSKの公開鍵のHash。 DSと呼びます KSKの公開鍵 KSK(Key Signing Key)の公開鍵のHashを親のZoneに登録しておく •dig interlingua.co.jp ds interlingua.co.jp. 4520 IN DS 63661 13 2 975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DC このレコードはjp.のzoneに存在 interlingua.co.jpのKSKの公開鍵が改ざんされていないことをjpが保証する

Slide 81

Slide 81 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 親ZoneでDSを署名 •dig +dnssec interlingua.co.jp ds interlingua.co.jp. 4087 IN DS 63661 13 2 975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DC interlingua.co.jp. 4087 IN RRSIG DS 8 3 7200 20200831174502 20200801174502 32163 jp. N8AnyWRKCGnaZmsLPhvkOoUuhKKzwNcPvATKCr4dzTCcmaWFpNDKNEU7 gddNckfgg2VxtRpvV2ZT5MPcwhWpqWM1O7p+TxX3fz3pYm/7RjoCjvK6 p5n4IdSmkHCT+9ThHD3popKUWXI/KtXkgXUCkFatkTFxt9uTJOmsXxN/ OVs= jp. 86394 IN DNSKEY 256 3 8 ( AwEAAa9eY9Ns9TIFqb+iYkU9C7n80Y0M1L2NZcEbvmCJ frJqQC09tA+7TJbJ7y3k5q+wtYznOpGY1v2qbeTaEbaR vr7ZFa/OQUZbl7yE7qNDNVl7+s5/zXFq09hRWoFFaWgY 5rC75FmeVambDibge+G0yIGNsD1PsYQ/7oG3mujg+0jn ) ; ZSK; alg = RSASHA256 ; key id = 32163 •dig +multi jp dnskey 署名公開鍵署名した人

Slide 82

Slide 82 text

Slide 83

Slide 83 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSSECのトラストチェイン interlingua.co.jp. IN MX 10 mail.interlingua.co.jp. DNSKEY (ZSK) DNSKEY (KSK) DNSKEY (ZSK) DNSKEY (KSK) DS 署名署名 Hashを預ける署名署名 DNSKEY (ZSK) DNSKEY (KSK) DS 署名署名 interlingua.co.jpのzone ルートのzone jpのzone

Slide 84

Slide 84 text

Slide 85

Slide 85 text

Slide 86

Slide 86 text

Slide 87

Slide 87 text

Slide 88

Slide 88 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ドメイン移管 JPRS クオリティアお名前.com ①example.jpをお名前.comからクオリティアに移して ③example.jpをクオリティアに移していい? ②example.jpをクオリティアに移して ④example.jpをクオリティアに移していい? example.jpはお名前.comが管理

Slide 89

Slide 89 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ドメイン移管 JPRS クオリティアお名前.com ①example.jpをお名前.comからクオリティアに移して ③example.jpをクオリティアに移していい? ②example.jpをクオリティアに移して ⑤ええで ⑦example.jpはクオリティアが管理 ④example.jpをクオリティアに移していい? ⑥ええらしいわ

Slide 90

Slide 90 text

Slide 91

Slide 91 text

Slide 92

Slide 92 text

Slide 93

Slide 93 text

Slide 94

Slide 94 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 権威DNSサービス (今できること) • ドメイン登録・管理代行 (手動) • DNSサーバのホスティング • ns1.qt-dns.com, ns2.qt-dns.com • 日本、シンガポールにそれぞれ2系統、計4系統で冗長化 • 規模に応じてスケールアウト/イン可能 • DNSSECの自動設定 • ECDSAP256SHA256のアルゴリズムで署名 • ZSK, KSKの自動Rollover • 2週間のZSK自動Rollover • 3ヶ月のKSK自動Rollover • レジストリへのDSレコード自動登録 • MX, SPF, DKIM, DMARC, TXTの親切な登録

Slide 95

Slide 95 text

Slide 96

Slide 96 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. おまけ WindowsのDNSキャッシュをクリアしたい ⇨ ipconfig /flushdns 社内でDNSSEC対応のリゾルバーを試してみたい ⇨ 172.16.96.53, 172.16.96.54 にunboundがインストールされています。自分でunboundをインストールしてみたい ⇨ https://qiita.com/hirachan/items/bb1cf3a7cd2e93ead56d フルリゾルバーを変更したい Windows ⇨ 設定 ➔ ネットワークとインターネット ➔ アダプターのオプションを変更する ➔ 変更するアダプターをダブルクリック ➔ プロパティ ➔ インターネットプロトコルバージョン4(TCP/IPv4) ➔ 次のDNSサーバーのアドレスを使う Linux ⇨ /etc/resolv.conf