2008年7月24日木曜日

より安全なDNS --- OpenDNSについて

このところシステム管理者の立場としてずっと頭を悩ませている問題に、DNSキャッシュポイズニング脆弱性というのがありますが、本日新展開がありました。攻撃手法が既に公開されてしまった様です。

DNSはインターネットの根幹なので、これが異常な動作をする事があっては大変です。このキャッシュポイズニング問題の難しいところは、現在リリースされているパッチはポイズニング被害に遭う確率を大幅に下げる(=ゼロにする訳では無い)のであって、本質的な解決にはならないという点、つまり、DNSSECに全世界のリゾルバDNSが移行しない限り、真の安全は得られないというものらしい。

任意のドメインAのサイトにアクセスしてくるユーザが参照しているリゾルバDNSが汚染されていれば、ユーザはドメインAのフィッシングサイトに誘導されてしまう事が可能で、そこで発生する被害に対するクレームは、何も知らないドメインAのオーナーに向けられてしまうでしょう。これは、リゾルバDNSを管理している全世界のシステム管理者がきちんと取り組むべき問題で、気が遠くなりそうです。

発見者のDan Kaminsky氏のサイトには、同サイトにアクセスしてくる人が参照しているリゾルバDNSが、この脆弱性を持っていないかどうかを簡単にチェックするツールが設置されています。
これでチェックすると、私の自宅の接続プロバイダのDNSはまだ対応していない事がわかりました。

…という事で安全なリゾルバDNSを探してみると、OpenDNSというのに出会いました。先ほどのDan Kaminsky氏のサイトにもリンクがあります。OpenDNS CEOのDavid Ulevitch氏のブログエントリ"Why I Started OpenDNS"を読むと、インターネットをクリーンで安全なものにしたい、という気持ちが伝わってきます。オープンなリゾルバを提供して、安全なインターネットを作るという発想は無かったなぁ。
うまく行きそうな方法に見えるので、しばらく利用してみる事にします。

0 件のコメント: