トラブルは突然襲ってきます。それがセキュリティの脆弱性を突いた攻撃であれ、ハードウェアの故障やソフトウェアの異常動作といったサーバの異常であれ、迅速に検出し、可能であれば予見できる仕組み作りは非常に重要です。
図1の対策後ネットワークでは、SNMPマネージャによる監視を行うことにより、本脆弱性による攻撃が発生したときでも、キャッシュDNSサーバに届くUDP53番ポートのパケット量と、処理した再起問い合わせクエリ量を定期的に計測することで、問題が発生したときの対処をより迅速に、的確に行うことを目指しています。
前編で説明した、攻撃手法を思い出してみてください。
攻撃者は大量のDNSクエリと、1回のDNSクエリに対して膨大な量の汚染応答パケットを送りつけるブルートフォース攻撃を行う必要があります。これは逆に、攻撃の足がかりは確実に検出できるということになります。
通常はある程度一定なDNSパケット量が、攻撃開始後は異常なほどのパケット量を受信していることが一目瞭然(りょうぜん)です。このような監視システムがすでにあればそれを使ってもよいでしょうし、ないという場合でも、これを機に監視対応を強化することは、将来の安心を得るための重要な一歩であることは間違いありません。
このような異常状態をいち早く検出し、DNSキャッシュを調査し必要に応じてキャッシュクリアを行うなど、しかるべき対策を行うことで、この脆弱性は危険なものにはならず、インターネットをより安心して利用できることにつながります。
今回発見されたDNSの脆弱性は、確かにインターネットの存在を脅かすほどの危険性をはらんでいたことは事実です。しかし、このような問題が発生した場合でも、過去のベタープラクティスの組み合わせによって十分回避できる可能性について執筆させて頂きましたが、いかがでしたでしょう。
本質的には今回の脆弱性問題はDNSSECの利用が必要で、その普及によってのみ解決できる問題であることは前回も述べたとおりですが、それにはどうしても時間がかかることは否めません。
そのため、いつの日か(それは決して遠い未来ではなく)DNSSECが普及する波が来るまでに現状を今一度見直し、可能な限り安全でメンテナンスしやすい環境と盤石な運用体制を整えておくことが非常に重要な課題となります。この記事が皆さまの環境をよりセキュアにする一助となり、それによりインターネットをさらに有益で利便性の高い環境に発展させる一助となれば、これ以上の幸せはありません。
Infoblox株式会社 Professional Service Engineer
藤川 浩一(ふじかわ こういち)
DNS/DHCP/RADIUSのアプライアンスメーカーであるInfoblox株式会社に勤務し、コアネットワークシステムコンサルタント業務と、カスタムプログラムの設計業務を担当。
世界はたくさんの愛で満ちあふれていると信じてやまない乙女座O型 :-)
Copyright © ITmedia, Inc. All Rights Reserved.