MoinQ:

1. DNS/サービス

1.1. ブロッキングサービス

/フィルタリング

1.2. ゾーンサービスの分類

DNSゾーンサーバーは独立したサービスとして提供されているのだろうか。

  1. /ドメイン名登録業者などのおまけサービス (JPでは指定事業者)

  2. /ウェッブサーバーのおまけサービス (xserverなど)

  3. サーバーホスティングのおまけサービス (さくらなど) /レンタルサーバー, /クラウドサービスも含める。

  4. CDN業者の提供するサービス /cloudflare

  5. DNSゾーンサービス(専用DNS) (IIJ,amazon, Googleなど)
  6. その他、無料のサービス(dozens)

Example of free DNS service are Dynu.com, No-IP, EveryDNS, EasyDNS, Afraid, Zoneedit and ClouDNS.

これらを兼ねている業者も多いので、分類は難しい。

さしあたりは、DNSサービスの利用が有料であるところを調べることにする。 -- ToshinoriMaeno 2018-03-11 00:11:36

DNS/共用ゾーンサービス DNS/サービス業者 DNS/脅威/共用ゾーンサービス 

https://en.wikipedia.org/wiki/DNS_hosting_service

1.3. 危険性

以下の警告はさくらのDNSサービスで前野が見つけたことがきっかけだった。 いくつかのDNSサービスは停止(廃業)した。

サービス運用上の問題に起因するドメイン名ハイジャックの危険性について

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2012/06/22(Fri)

https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

レンタルサーバーサービス、クラウドサービス、DNSアウトソーシングサービスなどにおいて
事業者がDNSサービスを提供する際、複数の利用者のドメイン名(ゾーン)を
同一の権威DNSサーバーに共存させる形で運用する場合があります。

  このような形でDNSサービスを運用し、かつ、各サービスの利用者自身によるゾーンの新規作成を許可している場合、
DNSサービスにおける運用上の問題により、各サービスにおいて運用中のドメイン名が、
悪意を持つ第三者によってハイジャックされる危険性があります。

1.4. 運用上の問題だけではない

運用上の問題のようであるかのように書かれているが、それは間違いです。

BINDのようなよく使われているサーバーに存在する危険な振る舞いです。

これを回避するような運用が必要なのです。それを理解していない業者がほとんどでしょう。

-- ToshinoriMaeno 2018-03-11 22:51:56

「サービス運用上の問題に起因する...」というタイトルは問題の根元を誤解させる表現です。 脆弱性のもとはBINDなどのゾーンサーバーに隠れている。 それを発現させないような運用をしなければならないのに、怠っている。 というより、当時は気づいていなかった可能性がある。

だが、6年もたっても、同じ状況が続いているのは怠慢だというしかない。-- ToshinoriMaeno 2018-03-11 22:59:06

MoinQ: DNS/サービス (last edited 2023-07-27 13:28:39 by ToshinoriMaeno)