DNS、管理者として見るか? 攻撃者として見るか?:セキュリティ対策の「ある視点」(5)(1/3 ページ)
安定運用してしまうと軽視されがちなDNSサーバ、実は一番「ほっとけない」! DNSの設定ミスでSSHパスワードまで抜かれる可能性も?
今回は、前回取り上げたSendmailに代表されるMTA(メール配送エージェント、メールサーバ)とサーバ内に同居させることの多い、DNSのセキュリティ設定について紹介させていただく。紹介するDNSは最もシェアが高いと思われるBIND(Berkeley Internet Name Domain)である。
DNSのバナー情報はいつ表示されるのか
まずは、本連載ではお決まりの(?)バナー情報から紹介しよう。
BINDの場合では、接続が確立したときやコマンドを実行したときにバナーが表示されるのではなく、発行したクエリーの応答の中にBINDのバージョンが表示される。以下は、「dig」コマンドを用いてバージョン取得を行った結果の例である。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ANSWER SECTIONの次の行に「"9.2.4"」とバージョンが表示されていることが分かる。digで問い合わせる方法は、以下の「xxx.xxx.xxx.xxx」の部分をBINDが稼働しているホストのアドレスに変更し、実行する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Windowsにdigコマンドは付属していないが、以下のようにnslookupコマンドを実行することで同等の結果を取得することができる。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
この実行結果は以下のようになる。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
どうしてもWindows環境でdigを使いたい場合は、単体で配布しているサイトがあるので、そこからダウンロードすれば手っ取り早く利用することができるだろう。
まずはDNSのバージョンを隠そう
それでは、このバージョン情報の隠ぺい方法を紹介しよう。
BINDの設定ファイル(/etc/named.confなど)内のoptions内に以下のように記述を追加する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
versionに続く「"」で囲まれた中に任意の文字(何も書かなくてもよい)を記述することで、digやnslookupでバージョン情報の取得を試みたときにバージョン情報ではなく記述した任意の文字列を表示させることが可能である。上記の設定を施したBINDに対してdigでバージョン情報を取得した場合は、以下のように表示される。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
version.bindの行が「tsuji」と変化していることが分かる。空白や「unknown」などの任意の文字列を設定するとよいだろう。設定を行ったら、BINDの再起動を行うことで設定が反映される。
Copyright © ITmedia, Inc. All Rights Reserved.