メインコンテンツまでスキップ

8. Security Considerations (セキュリティに関する考慮事項)

このドキュメントは, RFC 1034およびRFC 1035で概説されているメカニズムの明確化であり, 新しいセキュリティに関する考慮事項を追加するものではありません。RFC 3833 [RFC3833] は, DNSのセキュリティに関する考慮事項に完全に専念しています。そのセクション4.3は, DNSSECによって対処されるセキュリティ脅威からゾーン転送のセキュリティ側面を区別しています。

認証, トラフィックフラッディング, およびメッセージの整合性に関する懸念は, "Authorization" (セクション5), "TCP" (セクション4.1), および "Zone Integrity" (セクション6) で言及されています。

主要なセキュリティ上の懸念

  1. 承認されていないゾーンの開示: ゾーンファイルには, 内部ホストの名前とIPアドレスを含む, ネットワークのインフラストラクチャに関する機密情報が含まれている場合があります。承認されていないゾーン転送は, 攻撃者の偵察活動を支援する可能性があります。AXFRサーバーは, ゾーン転送を信頼できるクライアントに制限するために認証メカニズム (セクション5) を実装しなければなりません。

  2. 中間者攻撃: 整合性保護がなければ, AXFRクライアントとサーバーの間に位置する攻撃者が, 転送中のゾーンデータを傍受および変更する可能性があります。実装は, そのような攻撃から保護するためにTSIG [RFC2845] またはSIG(0) [RFC2931] を使用すべきです (セクション6)。

  3. サービス拒否 (DoS): ゾーン転送は, 大量のネットワーク帯域幅とサーバーリソースを消費する可能性があります。攻撃者は, 多くの同時ゾーン転送要求を開始することによって, サーバーリソースを枯渇させようとする可能性があります。AXFRサーバーは, DoS攻撃を軽減するためにレート制限と接続制限を実装すべきです。

  4. データの整合性: 転送されたゾーンデータは, 承認されていない変更から保護されなければなりません。AXFRクライアントは, TSIG, SIG(0), またはDNSSEC検証を使用して, 受信したデータの整合性を検証すべきです (セクション6)。

  5. リプレイ攻撃: 攻撃者が正当なゾーン転送をキャプチャし, 後でそれを再生し, クライアントが古いゾーンデータに戻る可能性があります。TSIGとSIG(0) は, タイムスタンプとナンスの使用を通じてリプレイ攻撃から保護します。

推奨事項

  1. 認証を使用する: ゾーン転送はTSIGまたはSIG(0) を使用して認証されるべきです。認証されていないゾーン転送は, なりすましと中間者攻撃に対して脆弱です。

  2. アクセス制御を実装する: AXFRサーバーは, どのクライアントがゾーン転送を要求することが許可されているかを制限するためにアクセス制御ポリシーを実装しなければなりません。IPベースのACL, TSIG, およびSIG(0) はすべて実行可能な認証メカニズムです。

  3. 機密ゾーンを保護する: 機密情報を含むゾーンの場合, オペレーターは, アプリケーションレベルの認証に加えてネットワークレベルの暗号化 (たとえば, VPN, IPsec) の使用を検討すべきです。

  4. 転送を監視する: オペレーターは, 予期しない転送要求や失敗した認証試行など, ゾーン転送活動の異常を監視すべきです。

  5. リソース使用を制限する: AXFRサーバーは, 次のようなリソース消費を制限するメカニズムを実装すべきです:

    • 同時ゾーン転送の数を制限する。
    • クライアントごとのレート制限を実装する。
    • アイドル接続にタイムアウトを設定する。

  6. ソフトウェアを最新に保つ: オペレーターは, セキュリティ修正と改善の恩恵を受けるためにDNSソフトウェアを最新の状態に保つべきです。

DNSSECに関する考慮事項

DNSSEC署名ゾーンの場合, AXFRプロトコルはすべてのDNSSEC関連レコード (DNSKEY, RRSIG, NSEC, NSEC3, DS) を転送します。DNSSEC署名ゾーンを受信するAXFRクライアントは, 整合性を確保するために転送されたデータのDNSSEC署名を検証すべきです。

ただし, DNSSECは機密性を提供せず, AXFRプロトコル自体を保護しません。ゾーン転送要求を認証し, 承認されていない転送から保護するために, TSIGまたはSIG(0) を引き続き使用すべきです。

脅威分析

ゾーン転送に関連する脅威を含む, DNSセキュリティ脅威の包括的な分析については, オペレーターと実装者はRFC 3833 [RFC3833], "Threat Analysis of the Domain Name System (DNS)" を参照すべきです。

最終更新