この記事では、DNS サーバー キャッシュスヌーピング攻撃に対する DNS サーバーの脆弱性が発生する問題の解決策を示します。
元の KB 番号: 2678371
現象
"DNS キャッシュ スヌーピング" とは何ですか。また、それを防ぐ方法 では、DNS キャッシュスヌーピングは次のように記述されます。
DNS キャッシュ スヌーピングは、DNS サーバーに特定の DNS レコードがキャッシュされているかどうかを確認 (スヌープ) するために DNS サーバーに対してクエリを実行し、DNS サーバーの所有者 (またはそのユーザー) が最近特定のサイトにアクセスしたかどうかを推測する場合です。
これにより、使用するベンダー、銀行、サービス プロバイダーなど、DNS サーバーの所有者に関する情報が表示される場合があります。 特に、これが一定期間にわたって複数回確認 (スヌーピング) される場合。
この方法を使用して、統計情報を収集することもできます。たとえば、DNS サーバーの所有者が通常、ネット バンクにアクセスするタイミングなどです。キャッシュされた DNS レコードの残りの TTL 値は、このために非常に正確なデータを提供できます。DNS キャッシュスヌーピングは、DNS サーバーがサード パーティに対して再帰的に解決するように構成されていない場合でも、キャッシュからサード パーティにもレコードを提供する限り可能です。
セキュリティ監査では、さまざまな DNS サーバー実装がキャッシュ スヌーピング攻撃に対して脆弱であり、リモート攻撃者が特定のネーム サーバーによって [最近] 解決されたドメインとホストを特定できる可能性があります。
このようなキャッシュ スヌーピング脆弱性レポートが読み取ると、次のようになります。
DNS サーバー キャッシュ スヌーピングリモート情報漏えい
構文:
リモート DNS サーバーは、キャッシュ スヌーピング攻撃に対して脆弱です。
説明:
リモート DNS サーバーは、再帰ビットが設定されていないサード パーティドメインのクエリに応答します。 これにより、リモートの攻撃者は、このネーム サーバーを介して最近解決されたドメインと、最近アクセスされたホストを特定できる可能性があります。 たとえば、攻撃者が会社が特定の金融機関のオンライン サービスを利用しているかどうかに関心がある場合、この攻撃を使用して、その金融機関の会社の使用状況に関する統計モデルを構築できます。 もちろん、この攻撃を使用して、B2B パートナー、Web サーフィン パターン、外部メール サーバーなどを見つけることもできます。 注: これが外部ネットワークにアクセスできない内部 DNS サーバーの場合、攻撃は内部ネットワークに限定されます。 これには、従業員、コンサルタント、ゲスト ネットワーク上の潜在的なユーザー、またはサポートされている場合は WiFi 接続が含まれる場合があります。
リスク要因:
Medium
CVSS ベース スコア:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
関連項目:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
解決方法:
修正プログラムについては、DNS ソフトウェアのベンダーにお問い合わせください。
原因
このエラーは通常、再帰を行う DNS サーバーで報告されます。
解決方法
これは構成の選択であるため、コード修正はありません。
3 種類のオプションがあります。
信頼されていないクライアントが到達できない企業ネットワーク上に DNS サーバーが残っている場合は、再帰を有効のままにします。
再帰を行う DNS サーバーへのパブリック アクセスを許可しない
再帰を無効にする
詳細
既定では、Microsoft DNS サーバーは再帰を許可するように構成されています。
Microsoft DNS サーバーでは名前の再帰をグローバルに無効にできますが、クライアントごとまたはインターフェイスごとに無効にすることはできません。
Microsoft DNS サーバーの大部分は、ドメイン コントローラー サーバーの役割と共にインストールされています。 このようなサーバーは通常、ゾーンをホストし、デバイスの DNS 名を解決する |アプライアンス、メンバー クライアント、メンバー サーバー、および Active Directory フォレスト内のドメイン コントローラーが、企業ネットワークの大部分の名前を解決することもできます。 通常、Microsoft DNS サーバーは企業ネットワーク上のファイアウォールの内側に展開されるため、信頼されていないクライアントからはアクセスできません。 この設定のサーバーの管理者は、DNS 再帰の無効化または制限が必要かどうかを検討する必要があります。
再帰をグローバルに無効にすることは、DNS サーバーがローカルに保持されていないゾーンの DNS 名を解決できないことを意味しているため、構成の変更を軽視する必要はありません。 これには、慎重な DNS 計画が必要です。 たとえば、通常、クライアントはそのようなサーバーで直接指し示すことはできません。
再帰を無効にする (または無効にする) 決定は、展開内で DNS サーバーが行う役割に基づいて行う必要があります。 サーバーがクライアントの名前を再帰する場合、再帰を無効にすることはできません。 サーバーがローカル ゾーンからのみデータを返すものであり、クライアントの再帰や転送を意図しない場合は、再帰が無効になる可能性があります。