Missing or misconfigured DNSSEC

DNSSECの欠落または誤構成

Risk: medium

説明

DNSSECは既存のDNSレコードに暗号化署名を追加し、リゾルバーがDNS応答の信頼性と整合性を検証できるようにします。DNSSECが欠落しているか、または誤って構成されている場合、次の問題が発生する可能性があります。

1. DNSデータの送信元認証の欠如
2. DNS応答のデータ整合性を確保できない
3. 中間者攻撃（man-in-the-middle）に対する脆弱性の増加
4. ネットワークトラフィックの悪意のあるリダイレクトの可能性

DNSSECの欠落または誤構成は、重大な結果をもたらす可能性があります。 攻撃者はDNSクエリを傍受して操作する機能を獲得し、正規のサービスを模倣した詐欺サイトにユーザーをリダイレクトする可能性があります。 これにより、認証情報の盗難、マルウェアの配布、またはサービスの中断など、さまざまな悪意のあるアクティビティにつながる可能性があります。 さらに、そのような攻撃が発生したり知られたりすると、ドメインのオンラインサービスへの信頼が失われ、組織の評判やユーザーの信頼が損なわれる可能性があります。

推奨事項

この問題に対処するには、次の手順を実行してください。

1. DNSSECの実装: ドメインのすべての権威DNSサーバーでDNSSECを有効にし、実装を徹底的にテストします。

2. DNSSECレコードの適切な構成:

3. DNSKEYレコードを生成して公開する
4. すべてのDNSレコードセットに対してRRSIGレコードを作成して署名する

5. 親ゾーンにDSレコードを公開する

6. キー管理:

7. 安全なキー管理プロセスを実装する
8. DNSSECキー（ZSKおよびKSK）を定期的にローテーションする

9. キーのロールオーバー後、親ゾーンのDSレコードを更新する

10. 検証と監視:

11. オンラインのDNSSEC検証ツールを使用して正しい実装を確認する

12. DNSSEC関連の問題や有効期限に対する監視を設定する

13. DNSインフラストラクチャ:

14. すべてのDNSサーバーがDNSSECをサポートしていることを確認する

15. 再帰リゾルバーがDNSSEC検証を実行するように構成する

16. レビューと更新:

17. DNSSEC構成のベストプラクティスを定期的に見直す
18. DNSソフトウェアとDNSSECツールを最新の状態に保つ

リンク

• Demonstrate DNSSEC in a Test Lab (Microsoft Learn)
• How DNSSEC Works (CloudFlare)
• DNSSEC explained
• feedbackDNS Security Extensions (DNSSEC) overview (Google Cloud)

標準

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_7_1
• GDPR:
  • ART_32
• CCPA:
  • CCPA_1798_150
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213