Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不要な DNS リソースレコードは消そう / Delete unused DNS records

Avatar for wa6sn wa6sn
June 06, 2024
Technology
4
4k

不要な DNS リソースレコードは消そう / Delete unused DNS records

https://yuru-sre.connpass.com/event/317749/ の LT 資料です

Avatar for wa6sn

wa6sn

June 06, 2024
Tweet

More Decks by wa6sn

See All by wa6sn
マルチアカウント環境での、そこまでがんばらない RI/SP 運用設計
Avatar for wa6sn wa6sn
2
1.1k
クロスアカウントな RDS Snapshot Export による カジュアルなデータ集約の仕組み
Avatar for wa6sn wa6sn
2
290
dev 補講: プロダクトセキュリティ / Product security overview
Avatar for wa6sn wa6sn
1
3.2k
開発者向け MySQL 入門 / MySQL 101 for Developers
Avatar for wa6sn wa6sn
47
13k

Other Decks in Technology

See All in Technology
[Journal club] Thinking in Space: How Multimodal Large Language Models See, Remember, and Recall Spaces
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
0
120
なぜ新機能リリース翌日に モニタリング可能なのか? 〜リードタイム短縮とリソース問題を「自走」で改善した話〜 / data_summit_findy_Session_2
Avatar for Sansan R&D sansan_randd
1
140
AIエージェントを導入する [ 社内ナレッジ活用編 ] / Implement AI agents
Avatar for Akira Maeda glidenote
1
270
Snowflakeとdbtで加速する 「TVCMデータで価値を生む組織」への進化論 / Evolving TVCM Data Value in TELECY with Snowflake and dbt
Avatar for CARTA Engineering carta_engineering
1
180
AIがコードを書いてくれるなら、新米エンジニアは何をする? / komekaigi2025
Avatar for Yukiya Nakagawa nkzn
25
17k
20251102 WordCamp Kansai 2025
Avatar for Chiaki Okamoto chiilog
1
600
触れるけど壊れないWordPressの作り方
Avatar for Masahiko Kawai masakawai
0
690
Sansan BIが実践する AI on BI とセマンティックレイヤー / data_summit_findy
Avatar for Sansan R&D sansan_randd
0
110
Copilotの精度を上げる!カスタムプロンプト入門.pdf
Avatar for Izumu KUSUNOKI ismk
9
2.2k
ソフトウェアテストのAI活用_ver1.50
Avatar for fumisuke fumisuke
0
200
LLM APIを2年間本番運用して苦労した話
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
11
10k
今のコンピュータ、AI にも Web にも 向いていないので 作り直そう!!
Avatar for piacerex piacerex
0
700

Featured

See All Featured
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
8.9k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
116
20k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.3k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
253
22k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
8
340
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.6k

Transcript

  1. 不要な DNS リソースレコードは消そう!(一敗) 2024/06/06 @ゆる SRE勉強会 #6 LT 1

  2. $ whoami @wa6sn CCoE っぽいこと、データ基盤、セキュリティ、データベースなど 今年の目標 人と話す https://speakerdeck.com/wa6sn を 4

    つぐらいに増やす 2

  3. 今日 サービス運用の過程で、様々な資産の棚卸しを行うと思いますが、 それが甘かった (ゆるかった?) ことで発生したことを話します さまざまな配慮により、一部ぼかしています 不要なリソースレコードはセキュリティリスクにつながるので消そう DNS のそれに限らず、不要なリソースはマメに消そう 懇親会は、せっかくオフラインなので、こういう話を聞きたいです

    3

  4. 発端 コーポレートチーム「こんなメールが届いたんですが ……」 4

  5. 本当? 本当でした ドメインの乗っ取りって本当にあるんだなあ ※ 今回は善意の報告であり、実害を被ったわけではありません 5

  6. DNS takeover DNS リソースレコードについて、紐づけ先が利用終了したあともレコードを残したまま になってしまっていることを利用し、第三者がそのドメインの乗っ取りを図る攻撃手法 特に目新しいものではなく、古くからある攻撃 Subdomain takeover や NS

    takeover は、そのより細かい分類にあたる https://jprs.jp/tech/material/iw2020-lunch-L3-01.pdf が詳しいです "jprs iw2020 lunch" で検索すると出ます 6

  7. 例 1. 「イベント用ページを作りました!   Netlify でホスティングして CNAME で event2023. に向けますね。

    」 # wa6sn.com は wa6sn 社が所有するドメイン event2023.wa6sn.com. 300 IN CNAME temp-event.netlify.com. 2. 「イベントが終わったので、 Netlify のサイトは消しておきます!」 一方、リソースレコードを消し忘れる 3. 忘れたころに誰かが Netlify で temp-event.netlify.com を取得する。 event2023.wa6sn.com. にアクセスした人が、意図しないページに飛ぶ 7

  8. 例の解説 「建物を取り壊すなら、案内板(レコード)も外さないといけない」 任意のサブドメインを指定して取得できる Netlify や Vercel のような サービスでは、 temp-event.netlify.com. は誰でも取得できるので、

    DNS リソースレコードも同時に消さないと、第三者が takeover できてしまう その他、 S3 バケットの Web hosting 機能が悪用された例も https://blog.flatt.tech/entry/s3_security CNAME レコードの例だけでなく、 AWS の Elastic IP のような 「共有プールから払い出されるような IP」を A レコードで指定している場合も、 第三者による takeover が起こりうる 8

  9. 補足 : NS takeover ネームサーバにおいても同様の仕組みでドメイン名を takeover できる 「委任先」が無くなっているのを確認して、なりかわるイメージ サービス提供者側が takeover

    を防ぐような仕組みを用意していることがある https://github.com/indianajson/can-i-take-over-dns のような、 Vulnerable な DNS Provider かどうかをリストするようなリポジトリもある AWS の Route53 はネームサーバとしては Not Vulnerable(安全) https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/protection-from- dangling-dns.html 9

  10. 対応 DNS takeover という攻撃の概念を社内で共有した 会社にある全 AWS アカウントの Route53 に設定されているリソースレコードを 列挙・共有しつつ、レコードタイプ別にリスク判断と棚卸し

    「 CNAME で向き先が Vercel や Netlifiy のように任意のサブドメインを取得できるもの」は リスク高、 「向き先が CloudFront」ならドメインの左端部分はランダム化されているのでリス ク低、みたいな それはそうと、使っていないものは消してほしいな、といった呼びかけ 10

  11. わりとポロポロ 11

  12. 潜在的なリスクが 12

  13. 見つかるのであった 13

  14. 感想 クラウドサービスが前提になった昨今、様々なリソースを「作る」ハードルは 下がったけど、 「捨てる」ことまで気が回っていないことも多い(気がする) 思った以上に「不要なもの」は堆積する 意識しないと不要なものは掃除されないがち 掃除するリスクが高いと判断されて残ったまま、背景が分からなくなりがち 発覚したものは 5〜 10

    年物のリソースばかり 今回は善意の報告がきっかけで運が良かったけど、 いつもそうとは限らないので気を引き締めていきたい 14