DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起

DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起

当初予定より早く攻撃ツールが登場したためDNSについての事態はかなり緊迫している。昔から djbdns をキャッシュサーバに利用しているので、FreeBSD 経由になっている環境については影響はないのだが、たとえば自分の自宅は Yamaha RT57i のキャッシュサーバ利用して外界に出ていたりしてもろに影響がある。

そのYAMAHAは RTシリーズのDNS機能におけるキャッシュポイズニングの脆弱性について というドキュメントを出しているが、24日現在「ファームウェア 順次リリース待ち」状態。

ただ、ファームウェアを更新後、ip filter 53 pass * 上位DNSサーバー udp 10000-19999 53 といったルールを書くとsrcポートが変化するようになる、ということは、フィルターのところで nat descriptor のような動作をさせようとしているようだ。

というか、現時点でもDNSの外部への問い合わせを masquarade 経由にできればある程度解決するような気もする。それでもWindowsマシン上にDNSキャッシュサーバを立てるのが現実的か。

それにしても、インターネット黎明期から今に至るまで基盤を支え続けた奇跡のプロトコルも、いいかげん進化を迫られているようだ。分かってはいたから現実に運用されないDNSSECが実装されていたわけだけど。

メール配信も含めて、安全・安心・有料 っていう展開はあるのかしら。(少なくとも安全はタダではない、適切な負担はあるべき、と思うようになった。むやみに高かったらそれは問題だけど。)

IPv6 界にそういう技術の蓄積があったら、アドレス枯渇だけではないもう一つの移行圧力として使われる可能性はなきにしもあらず。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。