JANOG 45 Meeting (1/22 - 1/24) はとても有意義でした。開催に尽力された方々には感謝の念でいっぱいです。札幌の夜も堪能させて頂きました。(酔って書いてる)
今回一番楽しみにしていたセッションは 2 日目の「つぶらな瞳で考える、DNSSECの普及に必要な何かは何か?」でした。登壇者の皆さん、とても良いセッションでした。ここに再び暖かいエールを贈らせて頂きたいと思います。
「DNSSEC はすべての攻撃は防げないが防御ゼロよりは良い」という心強い推進論を拝聴しました。しかし、
ドメインの署名率 は 3% (日本は 500?)
検証しているリゾルバ 24.6% (日本は 9%)
とのことでした。計算してみると、DNSSEC で守られているのは 0.03*0.246=0.7% (日本は 500/1,500,000*0.09=0.3%) ということになりますかね。とても残念な状況ですね。
一方、DNSSEC 対応の TLD 配下のドメインはすべからく第一フラグメント便乗攻撃に対して脆弱になっています。第一フラグメント便乗攻撃に対する防御のエントロピーは 16bit + α、つまりカミンスキー攻撃 (2014) で大騒ぎしてポートランダマイズする前と同じです。(ポートランダマイズは第一フラグメント便乗攻撃に非力)
2014年に JPNIC、JPRS、JPCERT/CC さんたちが以下のような注意喚起を行っています。
<<< JPCERT/CC Alert 2014-04-15 >>> DNS キャッシュポイズニング攻撃に関する注意喚起
なぜカミンスキー攻撃でこのようにインターノットの危機を憂いた方々が DNSSEC 推進にあたって第一フラグメント便乗攻撃を注意喚起して対策を促さないのでしょうか? 0.7% (日本 0.4%) を守るために、99.3% (日本99.7%) が DNSSEC によって脆弱になっている状況をなぜ無視できるのでしょうか?
それから、「DNSSEC の大きな応答による DNS アンプ攻撃は問題としなくて良いのか?」という私の質問に「DNSSEC 以外にも攻撃の踏み台はいくらでもある。」との回答を頂きましたが、、、
JPNIC、JPRS、JPCERT/CC さんたちは、2013 年に、
<<< JPCERT/CC Alert 2013-04-18 >>> DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
という注意喚起をしてくださっています。
おかげ様でオープンリゾルバはかなり減ってきています。一方で攻撃者はわざわざオープンリゾルバを探さなくても、増加中の DNSSEC 署名サイト、DNSSEC 署名 TLD を踏み台にすることができます。しかもこれらは安易にブロックするわけにはいきません。より悩ましい攻撃の踏み台となりつつあります。推進すればするほど脅威となります。これを無視するのはダブルスタンダード以上の問題ではないでしょうか。
結論:
DNSSEC はキャッシュポイズニングで悪意あるサイトに誘導されるのを防ぐのに有効なのは同意です。(DNSSEC は失敗プロジェクトという私の普段の主張 は今回棚上げしておきます)
そうであるならば、、、
これらを進めるのは DNSSEC 推進にとって不都合な真実だったりするのでしょうか? ぜひ問題点を解決しつつ 100% 近いドメインが署名し、100% 近いリゾルバが検証するよう頑張って頂きたいと思います。とても難しいと思うし、できなかったら却って危険なわけですけれど前向きがよいですよね。
参考: DNSSEC はなぜダメなのか
Copyright by T.Suzuki