2005-07-14 SECUAD 7/15 secuad Chapter3 アプリケーションセキュリティ Apprication server の目的 == サービスの提供 情報の提供を阻害される脅威 情報の保護が阻害される脅威 サービスそのものが阻害される脅威 == DoS RBL: Realtime Black List Mail as 信書 盗聴防止 改ざん防止 事後否認の防止 DNS spoofing DNS = UDP query = connectionless = 戻ってきたパケットが本物かわからない 一応、IDで確認するようになっているが、特定条件下で推測可能なため不十分 キャッシュ汚染 登場人物 悪意あるドメイン: a.com www.a.com ns.a.com まっとうなドメイン: z.com 方法 www.a.comに対するqueryがくる ns.a.comはwww.a.comのIPアドレスを返答する そのときついでに、z.comのzoneのauthorityもns.a.comが持っているというオプションをつけておく キャッシュクリアされるまで、z.comに対するqueryがns.a.comに握られてしまう DNSサーバのセキュリティ対策 基本方針は、zone情報をネットワーク内外で分散する 内側キャッシュサーバ コンテンツを持たない 外側の名前解決は、外側のキャッシュサーバに委任 内側コンテンツサーバ 内側・外側zoneの情報を持つ 内側キャッシュサーバからのqueryに対してのみ返答する 名前の再帰解決しない 外側キャッシュサーバ コンテンツを持たない 内側DNSからのqueryに対してのみ回答する 外側コンテンツサーバ インターネットに対して公開するzoneの情報を持つ 再帰解決を行わない 所感 勢いでこのまま続けるか、セキュアドに特化した問題集にシフトするか、悩みどころ..
