「DNS Security Extensions」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> [[{{PAGENAME}}]] (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡...」) |
(相違点なし)
|
2013年5月5日 (日) 01:51時点における版
DNS Security Extensions (DNSSEC) は、Domain Name System の応答の正当性を保証し、偽装や改竄を検出するための拡張仕様です。
読み方
- DNS Security Extensions
- でぃーえぬえす せきゅりてぃ えくすてんしょんず
- DNSSEC
- でぃーえぬえす せっく
概要
Domain Name System は、インターネットのTCP/IPの通信において、名前解決 に利用されます。
DNS応答の偽装や改竄ができれば、ユーザを異なるサーバへ誘導することができます。この攻撃手法は、DNS偽装と呼ばれます。
DNS Security Extensions は、ドメイン登録情報に公開鍵暗号Niyoruデジタル署名をつけることで、正当な管理者による応答であること、また、応答が改竄されていないことを保証します。 日本レジストリサービス(JPRS)では、2011年の1月17日にDNSSECが導入されました。
DNSSEC は、リソースレコードの方を追加して、認証に必要な情報を格納しています。 クライアントがDNSSECに対応していない場合は、DNSSECのレコードは無視されます。
digでDNSSECを調べる方法
通常の dig コマンドの結果は、以下の通りです。
%dig jprs.jp ; <<>> DiG 9.4.2-P2 <<>> jprs.jp ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30398 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;jprs.jp. IN A ;; ANSWER SECTION: jprs.jp. 54806 IN A 202.11.16.167
digコマンドで DNSSEC のレコードを調べるには、 +dnssec のオプションを追加します。 署名部分が長いので、XXX YYY ZZZ に省略しています。
RRSIGレコードがデジタル署名をBase64で表したものです。 ページの関係上、RRSIGの行に改行を追加しています。
% dig +dnssec -t A jprs.jp ; <<>> DiG 9.4.2-P2 <<>> +dnssec -t A jprs.jp ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12613 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;jprs.jp. IN A ;; ANSWER SECTION: jprs.jp. 64896 IN A 202.11.16.167 jprs.jp. 64896 IN RRSIG A 8 2 86400 20110625114741 20110526114741 30789 jprs.jp. XXX YYY ZZZ x10= jprs.jp. 64896 IN RRSIG A 8 2 86400 20110625114741 20110526114741 32889 jprs.jp. XXX YYY ZZZ DCc= ;; Query time: 15 msec ;; SERVER: 210.224.163.4#53(210.224.163.4) ;; WHEN: Tue May 31 00:49:55 2011 ;; MSG SIZE rcvd: 386