ヘルスチェックしてる？ 怠ってはならないDNSのケア：もう一度見直したいDNS／DHCP（1）（3/3 ページ）

[澁谷寿夫，Infoblox株式会社]

ゾーンデータの無制限転送

　これは文字どおりゾーン転送にかかわる設定になります。セカンダリへのゾーン転送が成功している場合は、プライマリサーバ上ではゾーン転送が許可されていることになります。このとき、ゾーン転送を許可するサーバの制限を忘れてしまうことがあります。つまり、どこからのゾーン転送の要求にも応えてしまうということになります。

　それのどこに問題があるかピンとこないかもしれませんが、ゾーン転送されるということは、すべてのレコード情報を入手されてしまうということになります。本来おおやけには公開したくないレコードについてもさらしてしまいますので、アタックのための手掛かりをみすみす与えてしまうことになります（ゾーン転送されないからといって、アタックが減ることがないのが現実なのですが）。

　例えば、syslog.example.comという名前のレコードがあったとすると、syslog用のサーバであろうというのは容易に想像できると思います。

　プライマリについては、ちゃんと設定できている場合でも、セカンダリサーバ上でゾーン転送が無制限に許可されていると、完全とはいえません。プライマリ／セカンダリ共に、ゾーン転送を許可する場合は、以下のように制限をかける必要があります。

allow-transfer { IP-Address; };

　ほかにも設定ミスによるセキュリティ上の問題となることがあります。Web経由でこれらの診断を無料で行うサービスがありますので紹介しておきます。

関連リンク

Cricket Liu's DNS Advisor

http://www.infoblox.com/services/dns_advisor.cfm

　このサービスは、ゾーンの管理者が自身のゾーンの設定が正しいかをチェックすることができるようになっています。

DNSベストプラクティスを考えてみよう

　DNSベストプラクティスと大げさな名前にしてしまいましたが、いままでのDNSの構成とは少し違った構成となっています。

図3 DNSのベストプラクティスな構成図

　なぜ、この構成を勧めるのかを第2回で説明していきたいと思います。それまでの間、なぜこのような構成にしているのか？ この構成だと何に強いのか？ を想像してみてください。

筆者紹介

澁谷寿夫（しぶやひさお）

Infoblox株式会社　Systems Engineer

学生時代にLinuxと出会い、趣味と仕事で利用するようになる。

ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はコアネットワークサービスのアプライアンスメーカーであるInfobloxに勤務。

プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。