blog.toxn

あしあと

SECCON 2014 長野大会に参加してきた

今更感あるけど、書いてる途中ではてブロが停止して消えたのd(ry

SECCON 2014 長野大会 DNS Security Challenge

チーム「/dev/null」で参加してきました。総合3位でした。惜しい。

クイズで積極的に押していったのがスコアにつながって良かったと思います。

お題が「DNSセキュリティチャレンジ」。

部内向けにBINDでMaster-Slaveサーバを建てたことがあるだけで、 セキュリティといっても簡単にACL書いておいたくらいのもので、 ちゃんと勉強したことは無かったんですよね。

JPRSの森下泰宏さんと、「浸透言うな」で有名な中京大の鈴木常彦さんの レクチャーも受けられて、非常に勉強になりました。

DNSはその存在自体が脆弱性

覚えたー

当日資料も↑にリンクがあるので色々書きませんが、 私もまさに権威DNSサーバーとキャッシュDNSサーバーを混同してました。(正直まだうまく理解できてません)

なので、以前部内に建てたDNSサーバーは、 「hoge.local.」みたいな部内の人しか使わない権威ゾーンを管理してるんですけど、 同時に「example.ne.jp.」みたいな全社で使うゾーンの権威サーバーをForwarderとして指定してました。

ちなみに「recursion no;」も入れていたので、すごい誤解されると思います。あとで保守する人ごめんなさい。

権威DNSサーバーとキャッシュDNSサーバーは分けろ!ということでしたので、 (「hoge.local.」権威サーバーを建て、キャッシュサーバーを建てて) クライアント側に部内用と全社用のキャッシュDNSサーバを見に行くように設定しておけば良いってことでしょうか。

幸いにしてクライアントの構築手順書はそういう記述にしておいたので、とりあえず社内LANシステムが見れない!とかいう声も上がらずになんとかうまく回っていたんですが。

今度はUnboundでDNSサーバーたててみようと思います。 その前に「実践DNS」の改訂版が出ることを期待しております。