F5 用語集

ドメインネームシステムセキュリティ拡張(DNSSEC)

DNSSEC は「Domain Name System Security Extensions」の略で、DNS サーバーによって提供される情報の信頼性を確保するために設計された強化されたプロトコルです。 公開鍵暗号とデジタル署名を活用して、従来の DNS プロトコルのセキュリティ上の脆弱性に対処します。 1983 年に開発された DNS は、ドメイン名 (ホスト名) を IP アドレスに変換するシステムですが、堅牢なセキュリティ メカニズムが欠如しているとして批判されてきました。 重大な脆弱性の 1 つは、DNS キャッシュ ポイズニング攻撃に対する脆弱性です。

DNS インフラストラクチャは、主に次の 2 種類のサーバーで構成されます。

  1. DNS コンテンツ サーバー (権威サーバー): これらは実際のドメイン情報を管理します。
  2. DNS キャッシュ サーバー (ネーム サーバー): これらはクライアントに代わってコンテンツ サーバーにクエリを実行し、指定された期間、応答を一時的にキャッシュに保存して、クエリを繰り返さずに将来の同様の要求に応えます。

悪意のあるデータや不正確なデータがキャッシュに保存されると(「ポイズニング キャッシュ」)、DNS キャッシュ サーバーがクライアントに誤った IP アドレスを提供し、不正なサイトにリダイレクトする可能性があります。 この意図的な悪用は DNS キャッシュ ポイズニングとして知られています。 これは、サーバー間の DNS 通信で、送信者の検証がないステートレス UDP プロトコルが使用されるために発生します。 攻撃者は、偽装した応答パケットのタイミングを正規のリクエストと巧みに一致させることで、キャッシュ ポイズニングを実行します。

DNSSEC は暗号検証を導入することでこれを軽減します。 権威 DNS コンテンツ サーバーは、秘密キーと公開アクセス可能なキーのペアの暗号化キーを生成します。 クエリに応答する際、サーバーは秘密キーを使用して DNS 応答に署名します。 DNS キャッシュ サーバーは、応答を受信すると、公開キーを使用してデジタル署名を検証します。 このプロセスにより、データの整合性と信頼性が保証され、DNS キャッシュ ポイズニング攻撃が効果的に防止されます。