「DNS Security Extensions」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> [[{{PAGENAME}}]] (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡...」) |
|||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
[[{{PAGENAME}}]] (DNSSEC) は、[[Domain Name System]] の応答の正当性を保証し、偽装や改竄を検出するための拡張仕様です。 | [[{{PAGENAME}}]] (DNSSEC) は、[[Domain Name System]] の応答の正当性を保証し、偽装や改竄を検出するための拡張仕様です。 | ||
| 行22: | 行19: | ||
== digでDNSSECを調べる方法 == | == digでDNSSECを調べる方法 == | ||
| − | + | 通常の dig コマンドの結果は、以下の通りです。 | |
| − | 通常の | + | |
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
%dig jprs.jp | %dig jprs.jp | ||
| 行40: | 行36: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | + | digコマンドで DNSSEC のレコードを調べるには、 +dnssec のオプションを追加します。 | |
署名部分が長いので、XXX YYY ZZZ に省略しています。 | 署名部分が長いので、XXX YYY ZZZ に省略しています。 | ||
| 行73: | 行69: | ||
;; MSG SIZE rcvd: 386 | ;; MSG SIZE rcvd: 386 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | |||
| − | |||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[Domain Name System]] | * [[Domain Name System]] | ||
| + | <!-- | ||
| + | vim: filetype=mediawiki | ||
| + | --> | ||
2016年1月11日 (月) 21:21時点における最新版
DNS Security Extensions (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡張仕様です。
読み方
- DNS Security Extensions
- でぃーえぬえす せきゅりてぃ えくすてんしょんず
- DNSSEC
- でぃーえぬえす せっく
概要
Domain Name System は、インターネットのTCP/IPの通信において、名前解決 に利用されます。
DNS応答の偽装や改竄ができれば、ユーザを異なるサーバへ誘導することができます。この攻撃手法は、DNS偽装と呼ばれます。
DNS Security Extensions は、ドメイン登録情報に公開鍵暗号Niyoruデジタル署名をつけることで、正当な管理者による応答であること、また、応答が改竄されていないことを保証します。 日本レジストリサービス(JPRS)では、2011年の1月17日にDNSSECが導入されました。
DNSSEC は、リソースレコードの方を追加して、認証に必要な情報を格納しています。 クライアントがDNSSECに対応していない場合は、DNSSECのレコードは無視されます。
digでDNSSECを調べる方法
通常の dig コマンドの結果は、以下の通りです。
%dig jprs.jp ; <<>> DiG 9.4.2-P2 <<>> jprs.jp ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30398 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;jprs.jp. IN A ;; ANSWER SECTION: jprs.jp. 54806 IN A 202.11.16.167
digコマンドで DNSSEC のレコードを調べるには、 +dnssec のオプションを追加します。 署名部分が長いので、XXX YYY ZZZ に省略しています。
RRSIGレコードがデジタル署名をBase64で表したものです。 ページの関係上、RRSIGの行に改行を追加しています。
% dig +dnssec -t A jprs.jp ; <<>> DiG 9.4.2-P2 <<>> +dnssec -t A jprs.jp ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12613 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;jprs.jp. IN A ;; ANSWER SECTION: jprs.jp. 64896 IN A 202.11.16.167 jprs.jp. 64896 IN RRSIG A 8 2 86400 20110625114741 20110526114741 30789 jprs.jp. XXX YYY ZZZ x10= jprs.jp. 64896 IN RRSIG A 8 2 86400 20110625114741 20110526114741 32889 jprs.jp. XXX YYY ZZZ DCc= ;; Query time: 15 msec ;; SERVER: 210.224.163.4#53(210.224.163.4) ;; WHEN: Tue May 31 00:49:55 2011 ;; MSG SIZE rcvd: 386