DNSSEC

DNSSEC パッケージ

• dnssec-anchors
  • IANA が発行している鍵が含まれている非常に重要なパッケージ。鍵は /usr/share/dnssec-trust-anchors/ に保存されます。
• ldns
  • DNS(SEC) ライブラリ (libldns)
  • drill ツール (DNSSEC に対応した dig のようなもの)
    • 基本的な DNSSEC の確認に使えます。例:
      • 以下のコマンドは作成します (0 が返ってきます):
        • drill -TD nic.cz (#valid DNSSEC key)
        • drill -TD google.com (#not signed domain)
      • 以下のコマンドは失敗します (不正な DNS レコード):
        • drill -TD rhybar.cz
        • drill -TD badsign-a.test.dnssec-tools.org
      • ルートゾーンのトラストアンカーを使うには -k /usr/share/dnssec-trust-anchors/root-anchor.key オプションを追加してください。
• dnssec-tools (パッケージは実験的なものであり安定していません)
  • https://www.dnssec-tools.org/
  • 様々なプログラムに DNSSEC のサポートを追加する libval ライブラリ。
    • https://www.dnssec-tools.org/wiki/index.php/DNSSEC_Applications
  • 複数のツールが含まれています: https://www.dnssec-tools.org/wiki/index.php/DNSSEC-Tools_Components
    • https://www.dnssec-tools.org/wiki/index.php/Applications
  • DNSSEC に非対応のプログラムで DNSSEC を有効にする libval-shim LD_PRELOAD ライブラリ: http://www.dnssec-tools.org/docs/tool-description/libval_shim.html
  • PERL API
• sshfp^AUR
  • known_hosts ファイルの公開鍵やホストの sshd デーモンをスキャンして SSH 公開鍵から DNS SSHFP タイプのレコードを生成します。
• opendnssec^AUR
  • DNS サーバー (bind や nsd など) によって発行された DNS ゾーンに署名します。
  • 自動で署名を更新して鍵をロールオーバーします。

特定のソフトウェアで DNSSEC を有効にする方法

DNSSEC の完全なサポートを得るには、個別にアプリケーションから DNSSEC 検証を使用する必要があります。以下の方法があります:

• パッチ
  • https://www.dnssec-tools.org/wiki/index.php/DNSSEC_Applications
  • https://www.dnssec-tools.org/wiki/index.php/DNSSEC_Application_Development
• プラグイン・拡張・ラッパー
• ユニバーサル LD_PRELOAD ラッパー
  • 次のコールを上書きします: gethostbyname(3), gethostbyaddr(3), getnameinfo(3), getaddrinfo(3), res_query(3)
  • dnssec-tools の libval-shim: http://www.dnssec-tools.org/docs/tool-description/libval_shim.html
• DNS プロキシ

OpenSSH (SSH の設計における脆弱性を修正)

• dnssec-tools + パッチ: https://www.dnssec-tools.org/wiki/index.php/Ssh
  • http://www.dnssec-tools.org/readme/README.ssh

Firefox (セキュアなブラウジング - HTTPS の強化)

• DNSSEC Validator プラグイン: https://addons.mozilla.org/en-US/firefox/addon/64247/
• DNSSEC Drill プラグイン: http://nlnetlabs.nl/projects/drill/drill_extension.html
  • プラグインを使うには ldns と dnssec-anchors パッケージが必要です。
• dnssec-tools + firefox パッチ: https://www.dnssec-tools.org/wiki/index.php/Firefox

Chromium (セキュアなブラウジング - HTTPS の強化)

• #50874
  • パッチはまだ存在しません。
  • DNSSEC Drill extension (EXPERIMENTAL!)
    • プラグインを使うには ldns と dnssec-anchors パッケージが必要です。

BIND (DNS ゾーンの署名)

• BIND に関して詳しくは BIND を参照してください。
• http://www.dnssec.net/practical-documents
  • http://www.cymru.com/Documents/secure-bind-template.html (configuration template!)
  • http://www.bind9.net/manuals
  • http://www.bind9.net/BIND-FAQ
• http://blog.techscrawl.com/2009/01/13/enabling-dnssec-on-bind/
• もしくは OpenDNSSEC などを使う方法もあります (完全自動で鍵をロールオーバー)。

Postfix (スパムや偽装に対抗)

• dnssec-tools + パッチ

jabberd (スパムや偽装に対抗)

• dnssec-tools + パッチ

Thunderbird (セキュアなログイン)

• dnssec-tools + パッチ

lftp (セキュアなダウンロード・ログイン)

• dnssec-tools + パッチ

wget (セキュアなダウンロード)

• dnssec-tools + パッチ

proftpd

• dnssec-tools + パッチ

Sendmail (スパムや偽装に対抗)

• dnssec-tools + パッチ

LibSPF

• dnssec-tools + パッチ

ncftp (セキュアなダウンロード・ログイン)

• dnssec-tools + パッチ

libpurple (pidgin + finch -> セキュアなメッセージング)

• パッチはまだ存在しません。

• #12413

DNSSEC ハードウェア

dnssec-tester (Python と GTK+ ベースのアプリ) を使うことでルーターやモデム、アクセスポイントが DNSSEC に対応しているかどうか確認できます。収集したデータをサーバーにアップロードして、他のユーザーやメーカーにデバイスの互換性情報を提供してファームウェアの修正に役立てることも可能です (dnssec-tester を実行する前に /etc/resolv.conf に他のネームサーバーが記載されていないか確認してください)。dnssec-tester のウェブサイトからテストの結果を確認できます。

参照

• AppArmor
• Wikipedia:ja:DNS Security Extensions
• http://www.dnssec.net/
  • http://www.dnssec.net/practical-documents
  • http://www.dnssec.net/rfc
• https://www.iana.org/dnssec/
• https://www.dnssec-tools.org/
• http://linux.die.net/man/1/sshfp
• https://bugs.archlinux.org/task/20325 - [DNSSEC] Add DNS validation support to ArchLinux
• DNSSEC Visualizer