著者:ym
DoTとDoHのDNSサービス
IIJが開始したことでいろいろ見ていますが、TLSやHTTPS上でセキュアにDNS解決する為の技術の様です。
DoTやDoH は対応したブラウザなどが必要な様です。Firefox が対応している様なので試してみました。
FirefoxでDNS Over HTTPSを有効にする方法
https://blog.halpas.com/archives/12336
about:config から network.trr で絞ったところ mode が 0 だったので 3 に変更して実行してみました。
2 は DoT 優先もモードらしいので 3 で DoT のみへ変更してみました。
・・・・・・ なんだかもともと TRR が true のところがちらほらあったので、DoT 化できたか不明ですが、これでセキュアな DoT 通信になったわけですね?
というか 0 へ戻しても、ちらほら TRR が true のところが有るので、Firefox だと実際は使われているのかな。
著者:ym
いよいよ今週 11 日に KSK ロールオーバー
前回以下のページで応答がないと書きましたが、再度実施した所無事に 4090 と数字が表示サれてきました。
# dig +short rs.dns-oarc.net TXT rst.x4090.rs.dns-oarc.net. rst.x4058.x4090.rs.dns-oarc.net. rst.x4064.x4058.x4090.rs.dns-oarc.net. "202.152.*.* sent EDNS buffer size 4096" "202.152.*.* DNS reply size limit is at least 4090" "Tested at 2018-10-08 04:18:30 UTC"
実行して見るとこの様な感じ。サービス提供で使用している DNS フルリゾルバに対して実行してみましたが問題はなさそうです。
著者:ym
root zone の KSK rollover
前回、昨年?のKSKロールオーバー騒ぎで事前テストしてあって、問題はなかったはずなのですが、いよいよ1ヶ月に迫るので再テストと思って実行してみると、応答無し。
KSK ロールオーバーのテストで、rs.dns-oarc.net. を使ったテスト方法が乗っているのですが、いろんなサーバで実行したりフルリゾルバDNSを指定してしてやっても応答が帰って来ないのです。
dig +short rs.dns-oarc.net TXT
+short を取り外して実行すると SERVFAIL です。しかしブラウザで同じ DNS (フルリゾルバ) を使用した、例のテストURLは 1-4 は PASS (5はFAIL) を返しています。
dig rs.dns-oarc.net TXT
もう 9?% の範囲は問題ない的な記事を見かけたから rs.dns-oarc.net のテストサーバも終わったのだろうか。
porttest は GREAT では無いが GOOD 。
環境によっては GREAT 。
dig +bufsize=1024 rs.dns-oarc.net TXT dig tcf.rs.dns-oarc.net TXT
どうなってるんだろ。
著者:ym
cloudflare DNS の SERVFAIL
スタッフの takahashi 氏が名前が引けないというので、調査をしたところ cloudflare DNS に問い合わせると SERVFAIL となることを発見しました。
# dig @1.1.1.1 kb.vmware.com. ; <<>> DiG 9.9.13 <<>> @1.1.1.1 kb.vmware.com. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 25051 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1452 ;; QUESTION SECTION: ;kb.vmware.com. IN A ;; ANSWER SECTION: kb.vmware.com. 60 IN CNAME kb.cdnswitch.vmware.com. kb.cdnswitch.vmware.com. 60 IN CNAME khmrp.x.incapdns.net. khmrp.x.incapdns.net. 30 IN A 45.60.15.183 ;; Query time: 83 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) ;; WHEN: Tue Aug 28 20:29:46 JST 2018 ;; MSG SIZE rcvd: 119
試しに Google Public DNS へ問い合わせて見ましたが、こちらは問題無し。もちろん他のフルリゾルバサーバへ問い合わせしても問題無しです。もちろん 512 超えていても ENDS0 で回答してくれればよいに。
# dig @8.8.8.8 kb.vmware.com. ; <<>> DiG 9.9.13 <<>> @8.8.8.8 kb.vmware.com. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47609 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;kb.vmware.com. IN A ;; ANSWER SECTION: kb.vmware.com. 55 IN CNAME kb.cdnswitch.vmware.com. kb.cdnswitch.vmware.com. 55 IN CNAME khmrp.x.incapdns.net. khmrp.x.incapdns.net. 29 IN A 45.60.15.183 ;; Query time: 52 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Tue Aug 28 20:29:52 JST 2018 ;; MSG SIZE rcvd: 119
著者:ym
certbot と nsupdate
常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。
無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。
- SSL証明書-Let’s EncryptでSSL証明書の新規取得と自動更新(dns-01編) – NORK’s -HOW TO…- Wiki 略して「のうはうWiki」
- DNSSECとDNS update(RFC2136,nsupdate)とdelegation – Abacus Technologies Blog – kana.me 要
nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。
著者:ym
DNSアップデート
前の家から一緒に引っ越してきた13年もののエアコンがとうとう壊れ、温風しか出さなくなってしまったので新しいエアコンを購入することになりました。しかも子供部屋にも必要ということで2台。一つ5万円くらいかとおもったら、なんやかんやで倍位以上。やむを得ず5年ローンを組みました。
私はエアコン無しでも生活できるのですけどね。とんだ週末、まいりました。
今日はBINDのバージョンアップです。
しばらく、脆弱性への影響が無いものばかりだったのでほったらかしていましたが、あまりにも空きすぎたのでアップグレードを行ってみました。
そろそろ、新しいメジャーバージョンへ追いつきたいところですが。
DNS サーバとしては 4 台可動していて、権威サーバが2台、キャッシュが2台というシンプルな構成で可動しているので、まずは片側をアップグレードして様子をみます。約 1 週間間を置いて、冗長相手側をアップグレードする予定です。
DNS サーバを運用している方は、こちらの日本のJPドメイン名を管理する JPRS のページに情報が掲載されるのでチェックしておくと良いです。
著者:ym
EDNS
JPNIC Blog — 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
以前延期になった EDNS 機能。通信に UDP ではなく TCP を使う機能です。
世界的な実施予定日は 2019年2月1日ですが、厄介なことに徐々に症状がひどくなっていく形の様です。
JPNIC の記事にかかれているこのサーバ dnsflagday でドメイン名を入力することで DNS サーバが対応済みか結果がわかります。
DNSサーバを構築運用している皆さんも、ご注意ください。
それと以下アップデート。
Windows Update
Microsoft、2018年7月のセキュリティ更新プログラムを公開 ~OSの最大深刻度は“重要” – 窓の杜
私の HDD な PC ではアップデートに45分くらいかかりました。
ClamAV Update 0.100.1
ClamAV® blog- ClamAV 0.100.1 has been released!
レンタルサーバの仕組みとして ClamAV を使用している為、これもアップデートに入ります。
著者:ym
RIPE Atlas probe
RIPE Atlas probeが到着してから2ヶ月程、動かし続けています。
RIPE Atlas – RIPE NCC
RIPE はヨーロッパの IP アドレスを管理する団体なのですが、その団体がこの装置プローブ (probe) を世界中に無償配布して世界中のインターネットの状況をリアルタイム観測しようとするプロジェクトになります。GoogleMapの様な地図があってグリグリ動かして見る事ができます。
このサイトをGoogle翻訳すると、ビジョンや利点等、詳しく書かれています。
いま時点では、静岡県内に 4 個ありますね。で何?といった装置ですが一応ネットワーク携わっているのでね。今更設置してみました。先日メールが送られて来ましたが、なにか動きもありそうです。
著者:ym
DoT してみる
先日の DoH は、DNS over HTTP でしたが、DoT は over Twitter 。
DNS over Twitter も始めてます。
@1111Resolver に対して、メンション付きでコマンドツイートすると IP アドレス返してくれる様です。
で、? なサービスですが、簡単で広告で良い。
DNS over Twitter
ドメイン名をメンションするとIPアドレスを返すTwitterアカウント「@1111Resolver」、Cloudflareが開始 – INTERNET Watch
著者:ym
異なるメーカー&複数ルータ機種でDNS不正書き換え被害
ルータの DNS 設定が書き換えられる件、結構な被害へ広がっている様ですね。
異なるメーカー Logitec、Buffalo、NTT東西、異なる複数の機種でも症状が有るらしい。
しかもゼロデイ状態。まだ原因が突き止められていない様子。
DNS 設定が書き換えられ、偽装された Facebook サーバや、Google サーバへ接続してしまう症状。
ISP側で今回の不正サイトへのトラヒックを制御して防ぐとかしないとやばいような気もする。
結構怖い。