解決済み

DNSのやり取りを安全にするには?

  • 困ってます
  • 質問No.9590513
  • 閲覧数54
  • ありがとう数4
  • 気になる数0
  • 回答数2
  • コメント数0

お礼率 98% (351/357)

53番ポートの通信で、クエリにSQLインジェクションのようなものを混ぜてUTMをかいくぐるやり口があると某掲示板サイトで見かけたのですが、FortigateのようなUTMを家庭で導入していても同じようなことができてしまうのでしょうか?であれば、このような攻撃はどのように防げるでしょうか?

質問者が選んだベストアンサー

  • 回答No.2

ベストアンサー率 66% (378/569)

> こちら側のクエリ?に対する応答パケットをIPアドレスを(DNSサーバーのものに)詐称した上で送り付けられたら、

単純にIPアドレスだけの詐称ではだめで
クエリとその応答にはIDがあって これが一致してないといけないのと
ソースポート番号(53番の方ではなくて)も一致させて応答しないといけないのですが、
ソースポート番号に規則性のあるDNSキャッシュサーバーに対して
ID(16bit)を総当りするという手法はありえて
それが、DNSキャッシュポイズニングですね。
これは、プロバイダだけでなく家庭用のルータでも、
対策前のだとやられてしまう可能性はあるのではと思われます。


また、セキュリティーホールのある家庭用ルータに侵入されて
DNSサーバーの設定を書きかえられてしまうと
フィッシングサイトに誘導されてしまうので、これも怖いですね。
お礼コメント
xdfsa11a

お礼率 98% (351/357)

お礼コメント遅れてすみませんでした。フィッシングサイトも、表に上がっているのはちょっと本家とはずれた作りですが、裏にあるのは本当に同じといっていいほどの作りになってそうですね。

DNSキャッシュポイゾニングもどう防げばいいのか・・・ファームアップで対応できるといいのですが。
投稿日時 - 2019-03-01 14:55:01

その他の回答 (全1件)

  • 回答No.1

ベストアンサー率 66% (378/569)

たしかに、DNSサーバーが攻撃を受けてサーバーがダウンしたとか、
さらにはDNSサーバーのプログラムに脆弱性が見つかっているのに
そのまま放置していて、言われているような攻撃によって
サーバーに進入されroot権限を乗っ取られたという事例はあります。
(SQLインジェクションとはちょっと違いますが)

ただし、これはDNSサーバーを公開しているプロバイダやドメインリセラーや
レンタルサーバーへの攻撃であって、
一般家庭でDNSサーバーを公開していることはないので
外部から家庭側へのDNSの攻撃については、考える必要はないでしょう。
(自宅にサーバーを設置して公開DNSとして運用している場合以外は)

それに、独自ドメインで自宅サーバーを運用するにしても
今時はドメインリセラーが無料サービスしているDNSサーバーを使ったほうが、
たびたび発見されるDNSサーバーのセキュリティーホールの対策の作業から
開放されるし、運用も確実なので
あまりDNSサーバーを自宅で運用している人も少なくなっていると思います。





一方、この攻撃方向とは逆の方向で、内部には悪意がなくても
家庭内のPCがウィルス感染していたり
脆弱性のあるルータのバックドアを踏み台にされて
家庭内からよそのサーバーを攻撃してしまうことはありえて、
この場合、外部からの通信を遮断するだけのFireWallだと
内部からの攻撃を通してしまうことになりますが、
内部からの通信も監視するようなUTMであれば、
それをブロックしてくれるという可能性は多少はあるでしょうけど
未知の攻撃方式だとスルーしてしまう可能性もあるわけで
こういうものに万能を求めるのは無理でしょう。

そういう意味でも、PCだけでなくルーターやNASやネットワークTV端末
等々のPC以外のネットワーク機器の 脆弱性に関する情報(ニュース)を
気にしたほうがよいように思います。
昔、PCのセキュリティー対策はしっかりやっていたつもりだったのに
操作パネルに脆弱性のあるWindowsOSが搭載されたコピー機(複合機)が
社内に設置されていて、それをバックドアにされて、
社内LANに侵入されたなんていう怖い事例も、海外でありまたし。
補足コメント
xdfsa11a

お礼率 98% (351/357)

DNSサーバーへの攻撃に関しては、サーバーは運用していないのでだいじょぶそうですね。コピー機にバックドアなんてこともあるんですね、BDレコーダーに仕掛けられてたなんて話も読んだことがありますが、やっぱりSCANとかの有料サービスに登録して情報収集をちゃんとしておいた方がいいかもしれませんね。

UTMはFortigateやSnortを使ってみていたことはあったのですが、素人ながらやってはみたもののきっちりとはできませんでした。アラートがならなかったり、誤検知がありすぎてネットどころではなくなったり。難しいものですね。
投稿日時 - 2019-02-24 23:46:23
お礼コメント
xdfsa11a

お礼率 98% (351/357)

詳細な回答ありがとうございます。実はソフトウェアルータを使っていたことがあるのですが、FWログを眺めていると、PCをルータにつなぎ始めた段階で53番ポートで激しく通信がされているのを見て、こちら側のクエリ?に対する応答パケットをIPアドレスを(DNSサーバーのものに)詐称した上で送り付けられたら、例えばgoogle.co.jpのアドレスに飛ぶつもりがマルウェアなどの悪意あるページに飛ばされるのでは・・・と思ったことがあります。このようなことは可能なのでしょうか?あり得る話ではないかな・・・とは思うのですが、素人ながら技術的に可能かどうかもやもやし続けていた疑問です。

それと、一度ウィルスに感染したら同じLAN内のPCはみなやられていると思っているのですが、BIOSにまで感染したらどうにもならないという記事を読んだことがあります。この手法も、技術的・手間的にどれぐらいのハードルがあるのかはっきりせず、もやもやしている疑問です。開発するのに一人で半月ぐらい掛かればできる所業なのか、それとも数千万円の巨費を投じて複数人で長い期間取り組まないと実現できないことなのか、よくわかっていないのです。
投稿日時 - 2019-02-24 23:38:46
AIエージェント「あい」

こんにちは。AIエージェントの「あい」です。
あなたの悩みに、OKWAVE 3,500万件のQ&Aを分析して最適な回答をご提案します。

関連するQ&A
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する

特集

ピックアップ

ページ先頭へ