10. セキュリティに関する考慮事項
10.1 全体的な評価
著者の見解
著者は、この RR が新たなセキュリティ問題を生じさせるものではないと考えている。ただし、一部の問題はより顕在化する。
10.2 ポートベースのフィルタリングへの影響
10.2.1 詳細なポート指定
ポートを詳細に指定できることにより、ルータによるパケットのフィルタリング方法は明らかに変わる。
影響:
-
外部サービスの遮断
- 内部クライアントによる特定の外部サービスへのアクセスを遮断することが不可能になる。
-
認可されていないサービス
- 内部ユーザが認可されていないサービスを運用することを阻止するのが、やや困難になる。
-
運用上の協力
- ルータ運用担当者と DNS 運用担当者の協力がより重要になる。
10.3 サービス拒否
DoS リスク
サイトが自サイトのホストをサーバとして参照されないようにする手段はない。これによりサービス拒否が発生する可能性がある。
攻撃シナリオ:
- 攻撃者が被害者のホストを指す SRV レコードを作成する。
- 多数のクライアントが接続を試みる。
- 被害者に不要なトラフィックが到達する。
10.4 DNS スプーフィングの拡張
10.4.1 偽のポート番号
SRV では、DNS スプーファはホスト名およびアドレスに加えて、偽のポート番号も提供できる。
10.4.2 リスク評価
新しい脆弱性ではない
この脆弱性は名前およびアドレスについてすでに存在するため、新しい脆弱性ではない。実用上の影響が小さい、わずかに拡張された脆弱性にすぎない。
分析:
- 根本的な問題は DNS の真正性である。
- ポート番号の追加による攻撃面の拡大はごく小さい。
- 本質的な解決策は DNSSEC である。
10.5 緩和戦略
推奨される防御策:
-
DNSSEC
- DNS レコードに暗号学的署名を付与する
- レコードの真正性を検証する
-
アプリケーション層のセキュリティ
- サービス接続に TLS/SSL を使用する
- サーバ証明書を検証する
-
ネットワーク分離
- 内部サービスを分離する
- 多層防御を実装する
-
監視
- DNS 問い合わせを記録する
- 接続試行を監視する
- 異常なパターンを検出する
ナビゲーション
- 前へ: 9. RFC 2052 からの変更点
- 次へ: 11. 参考文献