2015/04/04 10:00 LT駆動開発 13 - 四月は君のLT https://ltdd.doorkeeper.jp/events/22319

1. DNSSECDNSSECはは
君の君の嘘嘘
を見抜くを見抜く
**君君=clacker=clacker
～～DNSSECDNSSECをを月月100100円円でで
運用してみよう！～運用してみよう！～
2015/04/04 Sat
13

2. お約束
この発表は個人的な物で
仕事や所属等は全然関係ありません。
誤記や間違い等あれば
ご指摘頂けると
助かります。
@takatayoshitake

3. 自己紹介
@takatayoshitake
広島を中心に勉強会に出没。
オープンソースカンファレンス広島の
お手伝いやいろんな勉強会で
Ustとかやってます。
広島サーバユーザ友の会(仮称)や
日本CloudStackユーザ会 広島支部等
も最近はじめました。一応・・・
OSC広島の公式キャラクター
「あきちゃん」
http://j.mp/osc14hiaki

4. 四月は君の嘘
まだ見たことの無い方は
騙されたと思って
ぜひ見てみよう！
http://www.kimiuso.jp/

5. 会場のみなさんに質問
A. ある
B. ない
DNSSECDNSSECをを
運用したことが…運用したことが…

6. 全員運用したことが
あったらここで終了
まだ運用したことが
無い方が居たら
次のページへ進む

7. DNSSECとは?
DNSSEC(Domain Name System Security
Extensions)とは、 DNSに対し、データ作成
元の認証やデータの完全性を確認できるよう
に仕様を拡張するものです。 DNSSECによっ
て、データの偽装を検知することができるよう
になり、 DNSキャッシュポイズニング(*)のよう
な攻撃を防ぐことができます。
https://www.nic.ad.jp/ja/basics/terms/dnssec.html

8. DNSSECの仕組み
電子署名の仕組みを応用しDNS応答を検証。
詳しくは下記参照
https://www.nic.ad.jp/ja/newsletter/No43/0800.html

9. DNSSECの利点と問題点
利点
●
DNSの毒入れ等による不正を検出する事が出来る。
●
※防御できるわけでは無い。
問題点
●
しくみが複雑で運用が大変。
●
設定ミス等により名前解決が出来なくなる危険がある
昨今のセキュリティインシデントにより必要性は理解されて
来ているが運用の危険性が高くまだまだ普及していないの
が現状

10. そんな運用の大変な
DNSSECですが
月100円で運用できる
サービスがあったので
試してみた

11. お名前.com
http://www.onamae.com/

12. DNS管理サービス - DNS追加オプション
DNS管理サービス
無料オプション
DNSレコード設定
セカンダリDNS
DSレコード
・・・
DNS追加オプション
1ドメイン月額100円（税抜）でご利用いただけます。
外部管理ドメインの追加
DNSSEC
・・・
http://www.onamae.com/option/dns/

13. DNSSECに対応している
ドメインの種類は？
汎用/都道府県型JPドメイン（日本語・ローマ字）
.co.jp
.com（日本語・ローマ字）
.net（日本語・ローマ字）
.nagoya（日本語・ローマ字）
.okinawa（日本語・ローマ字）
.tokyo（日本語・ローマ字）
.yokohama（日本語・ローマ字）
.tv（日本語・ローマ字）
.cc（日本語・ローマ字）
属性型.com/属性型.net/属性型.org
.pw（日本語・ローマ字）
.me
.club
.xyz（日本語・ローマ字）
.bar
.bid
.blackfriday
.ceo
.christmas
.click
.cooking
.fishing
.gift
.guitars
.horse
.ink
.link
.photo
.pics
.rest
.rodeo
.sexy
.tattoo
.trade
.vodka
.webcam
.wiki

17. エラーが発生しましたが、無事設定済みになってました。

23. $ dig xxxxxx.xx ds
;; Query time: 4 msec
;; SERVER: 210.188.224.10#53(210.188.224.10)
;; WHEN: Sat Apr 4 09:55:02 2015
;; MSG SIZE rcvd: 92
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> xxxxxx.xx ds
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44718
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;xxxxxx.xx. IN DS
;; ANSWER SECTION:
xxxxxx.xx. 3600 IN DS 44356 8 2
F977F8BA95177CB88A57818B47111B0F2E0E16A8D8F0179674175DEA 672C6C68
申込後約1時間で設定完了 早い！

24. dig xxxxxx.xx +dnssec
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> xxxxxx.xx +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37912
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;xxxxxx.xx. IN A
;; AUTHORITY SECTION:
xxxxxx.xx. 3600 IN SOA 01.dnsv.jp. hostmaster.dnsv.jp. 1428104896 3600 900 604800 3600
xxxxxx.xx. 3600 IN RRSIG SOA 8 2 3600 20150417161143 20150403224815 25165
xxxxxx.xx. OWJHpRxhcKYLVXpVjnmR4wC4hpOR9S5kiRbZUwvRXs/+cKUReAOrLz3n
SOkw2uJ3ggM+hVpnDqk41QOleQWgBzOO8df5ACkcUjs6pps0ZMR/49Tp
tGWBXkXQ7rAfJC9xiQXo6K9Kz4mREALP+BLs8Q/ETd2LS71zcvSvVlEJ 36Y=
bnvjsvn75ug7hftl0un71dd9c3ba3d60.xxxxxx.xx. 3600 IN RRSIG NSEC3 8 3 3600 20150418033909
20150403224815 25165 xxxxxx.xx. j3t6WJYjId7R3DO683cagd4mWGllZoztfmLbnifc85XiJXmMoZrCwHuu
7XYkvA6NhJOGusUzGm4iRk+U2lbJ9MuXjtFMvvvEJkmVvTQnS3D6WkuR
SiPN1Yx47LteVUNiUyjZmiGpNlqVGE3AFju++ekFe2YqXg78Kf3txjnu tSo=
bnvjsvn75ug7hftl0un71dd9c3ba3d60.xxxxxx.xx. 3600 IN NSEC3 1 0 5 AED08CAB94B77598
SH0DID7579TC7FM1V5ERMM4LQ64DOBJB NS SOA MX TXT RRSIG DNSKEY NSEC3PARAM
;; Query time: 57 msec
;; SERVER: xxx.xxx.xxx.xx#53(xxx.xxx.xxx.xx)
;; WHEN: Sat Apr 4 11:45:06 2015
;; MSG SIZE rcvd: 521

25. まとめ
●
DNSSEC自分で設定し
ようとすると大変だけど
月100円なら設定して
もいいよね。
●
DNSSECを始めよう!
ご清聴ありがとうございました。