「DNS Security Extensions」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> [[{{PAGENAME}}]] (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡...」)
(相違点なし)

2013年5月5日 (日) 01:51時点における版

DNS Security Extensions (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡張仕様です。

読み方

DNS Security Extensions
でぃーえぬえす せきゅりてぃ えくすてんしょんず
DNSSEC
でぃーえぬえす せっく

概要

Domain Name System は、インターネットTCP/IPの通信において、名前解決 に利用されます。

DNS応答の偽装や改竄ができれば、ユーザを異なるサーバへ誘導することができます。この攻撃手法は、DNS偽装と呼ばれます。

DNS Security Extensions は、ドメイン登録情報に公開鍵暗号Niyoruデジタル署名をつけることで、正当な管理者による応答であること、また、応答が改竄されていないことを保証します。 日本レジストリサービス(JPRS)では、2011年の1月17日にDNSSECが導入されました。

DNSSEC は、リソースレコードの方を追加して、認証に必要な情報を格納しています。 クライアントがDNSSECに対応していない場合は、DNSSECのレコードは無視されます。

digでDNSSECを調べる方法

通常の dig コマンドの結果は、以下の通りです。

%dig  jprs.jp
 
; <<>> DiG 9.4.2-P2 <<>> jprs.jp
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30398
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;jprs.jp.                       IN      A
 
;; ANSWER SECTION:
jprs.jp.                54806   IN      A       202.11.16.167

digコマンドで DNSSEC のレコードを調べるには、 +dnssec のオプションを追加します。 署名部分が長いので、XXX YYY ZZZ に省略しています。

RRSIGレコードがデジタル署名をBase64で表したものです。 ページの関係上、RRSIGの行に改行を追加しています。

% dig +dnssec -t A jprs.jp
 
; <<>> DiG 9.4.2-P2 <<>> +dnssec -t A jprs.jp
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12613
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;jprs.jp.                       IN      A
 
;; ANSWER SECTION:
jprs.jp.                64896   IN      A       202.11.16.167
jprs.jp.                64896   IN      
	RRSIG   A 8 2 86400 20110625114741 20110526114741 
	30789 jprs.jp. XXX YYY ZZZ x10=
jprs.jp.                64896   IN      
	RRSIG   A 8 2 86400 20110625114741 20110526114741
	32889 jprs.jp. XXX YYY ZZZ DCc=
 
;; Query time: 15 msec
;; SERVER: 210.224.163.4#53(210.224.163.4)
;; WHEN: Tue May 31 00:49:55 2011
;; MSG SIZE  rcvd: 386


関連項目