ゆとりインフラエンジニアのブログ的な何か

駆け出しインフラエンジニアのブログ

#ssmjp 2019/04 (DNSの話を聞く会)に参加してきた

はじめに

#ssmjp 2019/04 - connpass
DNSの話を聞く会ということで、行ってきました。ssmjp自体は4回目ぐらい。
申込者が多く、補欠に並んでいましたが繰り上がりが厳しそうなので、
当日にたまたまアウトプット枠が空いていたので、飛び込んでみました。

アウトプット枠ということで、twitterで#ssmjpのハッシュタグでの積極的なツイートおよび質疑応答(議論)の時間にコメントを出していたりしましたが、
ブログでも一応書いておけば、アウトプット枠でも許してやろうと言われるんじゃないかなと。

発表は以下4つになります。

@sischkgさん「BINDのメモリリークとRoot KSK Rollover」

BIND Memory leak Vulnerability and Root KSK Rollover - Speaker Deck
JANOGDNS温泉で発表しようと思ったけど、修正版のリリースが遅れ今回のssmjpでの発表になったそうです。
脆弱性の発見から、脆弱性の説明やその背景の説明、開発元とのやりとりなどが詳しく解説されていました。

脆弱性をさっくりいうと、
DNSSECというDNSの応答に電子署名を付与して、応答が改ざんされていないかを検証できるようにする機能があり
その機能で使っているRoot Zoneにおける公開鍵暗号の鍵交換プロセス内で、
検証するサーバ側が自身の持っている鍵のTagを通知する提案がされ、その実装をBINDで実装したらメモリリーク脆弱性が生まれてしまった。
それを、発表者のsischkgさんがご自身のファジング環境で発見した、というかんじでした。

DNS_Fullresolver_onsen.pdf - Speaker Deck
ファジング環境はDNS温泉番外編で解説されていましたが、今回も濃い発表でした。
ちなみに、お仕事はDNSでもセキュリティ関連ではないそうですよ。それもすごい。

@fj_twtさん「DNS BOM-BA-YE!! 〜DNSを止めろな!〜」

sischkgさんのコアな話から、わりと知っている人も多い最近のDNSの流れというか抱えている問題を上手くまとめられていました。

トピックとして挙げると

DNSを止めるな

総務省|安全・信頼性の向上|重大な事故の報告
電気通信事業法の重大な事故の報告についてのお話。

総務省|電気通信政策の推進|ドメイン名電気通信役務の信頼性等の確保
あと総務省関連だと、平成27年電気通信事業法改正の話も興味深いので知らない人はどうぞ。

https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf
DNS(≒BIND)を止めないための脆弱性に対するパッチリリースプロトコルの理解。
さすがは、一級BIND脆弱性予報士!

DNSでとめるな

海外サイトブロッキングの理由としての緊急避難と非難の話。

DNSで止めろ

児童ポルノブロッキングの話と丁寧な議論と容認の重要性の話。
IIJのセキュリティに関する取り組み | インターネットイニシアティブ(IIJ)
DNSでのマルウェアフィルタリングの話。

DNSをとめろ

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-81-2.pdf
OP53BやNIST SP800-81-2のChecklist item 39の話。

ってかんじでした。上手いまとめだなと思いました(小並感)

DNS Summer Dayのおしらせ

今年もDNS Summer Day 2019やるよって告知。
日本DNSオペレーターズグループ | DNS Summer Day 2019
私も、業務都合がつきそうなら問題なさそうなら今年も参加予定です。

@tss_ontapさん「黒塗りの DNS (萎縮編)」

黒塗りのDNS
そして、今回の本命、浸透言うなことtss先生。

色々言いたいことはあるけど、色々差し支えがあるようなきも、しないでもないので(どっち)
一言で言うと、認証なしにゾーン追加できるサービスとても危ないという趣旨で、
なぜかというと、乗っ取りができる可能性がある。
さらに、サービスによってはメールも盗聴できる可能性がある。というお話でした。

先生も発表中に少し触れられていましたが、
この問題に新規性はあるかといえば、そうではなく以前からあった問題かと思います。
しかし、様々な理由から蔑ろになったり、見て見ぬふりをされていたような気がします。
危険だと、認知が広がれば色々な人を説得できる。そいう機運になればなとは個人的に思っています。
(他人任せすぎるという批判は受けそうだけれど。。。)

おわりに

発表中にも何度か言及がありましたが、tss先生はDNS温泉という勉強会?を不定期で開催されています。
次回の開催地は未定みたいですが、個人的には学べるしなにより楽しい勉強会です。(お酒が呑めるとより楽しめる)
また、DNS温泉で掘り深められなかったことなどを主に東京の会場を借りて補講だったり番外編だったりをしてしていますので、
今回のssmjpで興味をもった方は参加されてみてはいかがでしょうか。

JANOG41 in 広島に参加してきた(初めてスタッフもやってみた)

f:id:yuuturn0422:20180125084819j:plain:w250

はじめに

今更ですが、2018/1/24 - 26にJANOG41ミーティングに参加してきました。
もう一ヶ月以上も経つんですね。時は早い。
そして、JANOG41楽しかったです!!(雑な感想)

JANOGとは

このページを見ているひとはJANOGを知らないということは無いでしょうが、一応おさらい。

JANOGとはJApan Network Operators' Groupを意味し、インターネットに於ける技術的事項、および、それにまつわるオペレーションに関する事項を議論、検討、紹介することにより日本のインターネット技術者、および、利用者に貢献することを目的としたグループです。

https://www.janog.gr.jp/information/index.html

普段はMLでの活動が主ですが、年二回ミーティングという形でオフラインでの集まりがあり、前回のJANOG40で20周年という歴史あるコミュニティです。
ミーティングという名称がついているのは、受け身で発表を聞くのではなく、積極的に議論に参加してほしい的な意図があると何処かで聞きました。(間違っていたらごめんなさい)

JANOG41

さて、その41回目のJANOG41ですが、今回は広島で開催されました。
ホストはIIJさん。IIJさんの本気度がすごいと、たびたび思わせるようなホストぶりでした。
そして、現地参加者は過去最多の1,171名!すごい!
瀬戸内海地域に珍しく雪がちらつく寒い中の開催でしたが、本会議・懇親会など熱く盛り上がっていました。

JANOGスタッフ

初めてスタッフをやらせてもらいました。
現地参加はJANOG41で2回目(ストリーミングで見てましたがJANOG39が現地初参加)でしたが、
思い切って応募して、ありがたいことに採用していただきました。

今回、私がスタッフとして参加したのは、プログラムの選定や登壇者との調整をしたりするプログラム委員(PC)でした。
他にも、企画編成委員(ORG)という広報をしたり、配布物の作成だったり、当日のストリーミング担当をするスタッフもいます。

JANOGといえば、参加者にNWオペレーターが多いイメージ(?)ですが、私は趣味で自宅のルータとかスイッチで遊んでますが、
大規模なバックボーンの構築とか運用しているエンジニアではなく、日々サーバのお世話をしているようなエンジニアです。
なので、採用はされたけどお呼びじゃないよ的な感じかなーとドキドキしながら参加しましたが、
結論からいえば、特にそんなことはなく問題なくスタッフ業務を最後までやり遂げました。

というのも、応募されるプログラムはBGPネタもありますが、セキュリティや自動化の話題など多岐に渡ります。
なので色んな技術に興味を持って積極的に関われる人であればエンジニアでなくてもプログラム委員(PC)として活躍できるかと思います。
初スタッフであれば、もちろんフォローが入りますし、ちょっと興味あるなーって方はスタッフ応募をば。
また、プログラム委員(PC)もいいですが、企画編成委員(ORG)も楽しそうでしたよ!

スタッフ業務とか応募とか

説明するとながーくなりそうなので、
JANOG41であったBarBoF(非公式BoF)の「JANOGのスタッフをやってみよう!/JANOGでプログラムを発表してみよう!」の資料がとても参考になるので、スタッフやってみたい、もしくは発表してみたいという方は、ぜひ目を通してみてください。
スタッフをやる上での工数やメリットなど応募要項から更に踏み込んだ内容が詰め込まれてます。
あと、地方に住んでる人もリモート参加ぜんぜんありです。

そして、JANOG42は三重県津市でホストはZTVさん!
また、スタッフ応募も始まっています。締切は2018年3月14日(水)までですが、
期限日前に定員になって締め切りになることもあるので、興味ある方は早めの応募をオススメします。
スタッフ募集 :: JANOG42
ちなみに、私はJANOG42参加は厳しそう。

スタッフやってみて

少し大変だったけど、刺激になったし楽しかったです。
また、1000人規模のイベントを成功させたという達成感もあります。

大変だったというのは、サラリーマンなので本業のお仕事もあります。
それに加え、お昼休みとか業務が終わってからの時間にJANOGのスタッフ業務をするので、慣れていないのでちょっと大変。
もちろん、本業優先というのがJANOGスタッフの大前提です。助け合いながらスタッフ業務を回してJANOG41は準備が進みました。

大変だったとはいえど、普段関わることがない方々と、slackで広島で何食べようかと雑談したり、参考になる技術情報の交換がされてたり。
某酔っ払いの人が、ほんとに酔っ払いで二日酔い報告を定期postしているが日常になったり(フリがあったので入れてみた…)
スタッフミーティングの後、皆んで飲んで盛り上がったり、充実した3ヶ月でした。

最後に

JANOGミーティングには毎回テーマが設けられています。
そしてJANOG41にもテーマがもちろんありました。私は今回のテーマが好きで、なにかと意識しながらJANOG41を過ごしたので、
このgdgdブログの終わりは、このテーマで締めたいと思います。

JANOG41のテーマは、 “かきまぜる” です。
昨今、「技術」,「役割」,「職種」が細分化され、
インターネット運用に不可欠である「人」と「人」との繋がりを築くことが、難しくなりつつあるのではないでしょうか。
私達は、人が出会い、繋がり、お互いの事情や背景を語り 想いを ”かきまぜる” ことによって、
相互連携や協調がより滑らかになり、この難しいと思われる現状を変えることができると考えています。
(中略)
JANOG41での沢山の方の参加を通して、老いも若きも男も女も、
人々が出会い、繋がることによって、よりよいインターネット運用を目指して行きましょう!!

https://www.janog.gr.jp/meeting/janog41/
f:id:yuuturn0422:20180306000607j:plain

身近なリゾルバーのDNSSEC検証の有無

きっかけ


dnssec-failed.orgとは

dnssec-failed.org | DNSViz
DNSSECの状態を可視化できるDNSVizというサイトを見るとわかりやすい。
KSKのDNSKEYと、上位のゾーン(org)に登録されているDSレコードが等価でないので信頼の連鎖が途切れている状態。
つまり、DNSSEC検証が失敗するはずのドメイン名。

続きを読む

RIPE AtlasのProbeを設置してみた

f:id:yuuturn0422:20161130020928p:plain:w500

はじめに

最近、RIPE AtlasのProbeを入手したので、
RIPE Atlasとは何か、Probeの入手方法、またProbeを設置したら何ができるのかを書いていこうと思います。

RIPE Atlasとは

RIPE NCCによって実施されている、世界中のエンドユーザー側からインターネットへの到達性をモニタリングし、そのデータを集め視覚化したり、
また、Probeを設置している人には特定の計測を実施できる取り組みのことです。

個人でも参加できます!

続きを読む

DROWN(CVE-2016-0800)のセキュリティチェックツールをインストールしてた@CentOS6.7

きたる2016/3/1に予告されてたOpenSSLのセキュリティアドバイザリのなかで脆弱性が公開されましたね。
OpenSSL Security Advisory [1st March 2016]


そのなかで、大きく取り上げられているのがCVE-2016-0800、愛称が「DROWN」という脆弱性です。
脆弱性自体の詳細は他のまとめサイトなどを参照してみてください。
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog


サーバー管理者として気になるのは、自身の運用しているサーバーに脆弱性があるか/ないかですね。
SSLv2なんて随分の昔に無効化してるよって思っても意外に、残ってたりするんです。
なので外部チェックは大事です。

続きを読む

SSLCipherSuite設定メモ2

以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か

ってタイトルでapacheSSL設定とかを書きましたが、

下記SSLのチェックサイトで、

SSL Server Test (Powered by Qualys SSL Labs)

 

あるサーバーでのWEBサイトの結果が、

SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。

 

出てくるアドバイス的なものを見ると、

The server does not support Forward Secrecy with the reference browsers

続きを読む

Hurricane Electricの無料DNSホスティングサービスを試す

HurricaneElectricといえばIPv6の無料トンネリングサービスが有名らしいですが、

DNSホスティングサービスも無料提供してるみたいです。

Hurricane Electric Hosted DNS

 

個人的に利用してみたので、簡単に利用方法と感想をレポートしてみます。

続きを読む