第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア
澁谷 寿夫
Infoblox株式会社
Systems Engineer
2007/11/9
IPネットワークのコアとなるDNSやDHCP。これらのサービスは一度安定稼働してしまうとなかなかメンテナンスまで目が行き届かないというのが現状ではないだろうか。本連載ではDNS、DHCPに今だからこそもう一度フォーカスを当て、企業活動のためには絶対に止められないサービスとしてどのような改善が行えるのかを紹介していく(編集部)
止められないコアネットワークサービスに注目せよ
読者の皆さんは、“コアネットワークサービス”という言葉を聞いたことがあるでしょうか。ネットワーク関係の何かだということは容易に想像できると思いますが、実際には何のことを指すのかは分からないのではないでしょうか。検索サイトで調べてみるとそれなりの数のサイトを見つけることができます。
この連載では、そのコアネットワークサービスについて紹介していきたいと思います。といっても、これらはまったく新しいサービスというわけではありません。まずは、コアネットワークサービスについて説明したいと思います。
コアネットワークサービスとは、図1のように、ネットワークインフラとアプリケーションの間にあるサービスのことを指します。
 |
| 図1 コアネットワークサービス |
これらコアネットワークサービスは、ネットワークを利用するうえで無意識に利用している場合が多いと思います。実社会で例えるならば、水道、ガス、電気といったものに例えることができるでしょう。これらのサービスの供給が止まってしまうと、生活に支障が出るのと同様、ネットワークの社会ではコアネットワークサービスが止まってしまうとビジネスに大きな影響を及ぼす場合があります。
DHCPサーバが止まってしまうと、IP電話が使えなかったり、PCがネットワークに接続できないといった問題が発生します。また、外部DNSサーバが止まってしまうと、大事な商談のメールが届かないといったことが起こる可能性があります。
コアネットワークサービスの定義は、サイトによって違うこともありますが、この連載では図中のサービスのうち、特に重要なDNSとDHCPサービスについて紹介します。
一般的なDNS構成をもう一度チェックする
まず始めに、コアネットワークサービスの中のDNSについて見ていきたいと思います。
一般的なDNSの構成を図2に示します。実際には、この構成ほど多くのDNSサーバを置かず、DMZに1台のDNSサーバを置いてすべてまかなっている場合もあると思います。逆に、支店などの拠点にも独自にDNSサーバを設置し、この構成よりも台数の多い環境もあるかもしれませんが、ここではこの構成を基に説明をしていきます。
 |
| 図2 一般的なDNSの構成 |
こう紹介すると、この構成が問題を持っているという印象を持つかもしれませんが、そういうわけではありません。そして事実、多くの読者のDNSサーバも問題なく動作していると思います。
まず、この構成のそれぞれのDNSサーバの機能を説明します。
●プライマリ(DMZ)
プライマリサーバはご存じのとおり、ゾーンのデータを管理するサーバです。また、外部からの管理するゾーンの名前解決の問い合わせに対応します。
●セカンダリ(DMZ)
セカンダリサーバは、プライマリが管理するゾーンを基に名前解決を提供するサーバです。ゾーンデータはゾーン転送により複製されます。プライマリ同様、外部からの管理するゾーンの名前解決の問い合わせに対応します。
●内部LAN向けプライマリ/セカンダリ
内部LANのためのプライマリ/セカンダリサーバです。内部向けゾーンの名前解決の問い合わせに対応します。
●フォワーダー(キャッシュサーバ)
あまりフォワーダーという名前では聞いたことがないと思いますが、再帰的な名前解決を行うためのサーバです。一般には名前解決のキャッシュを持つため、キャッシュサーバと呼ばれることが多いです。
DNSサーバは、Windows Serverに標準で搭載されているものを利用している場合や、SolarisやLinux上でBINDを利用している場合があると思います。この連載では設定についてはBINDを利用している場合を想定していますが、基本的にはどの環境にも当てはまるよう説明します。
あなたのDNSサーバ、メンテナンスされていますか?
この題名を見て、“うちは大丈夫”と胸を張っていえる管理者はどの程度いるでしょうか?
Webサーバやメールサーバについては、アクセス数やエラーログなどを定期的にチェックしているでしょう。では、最後にDNSサーバにログインして管理をしたのはいつでしょうか?
そういう筆者も自宅でサーバを運用していますが、そんなに頻繁にサーバにログインしているとはいえません。もちろん、Webやメール、Subversionがうまく動作しないという問題があった場合は、アメリカ出張中であろうと知り合いから連絡があります(実際に空港で問題を直したこともあります)。ボランティアベースのサーバであれば、多少大目に見てもらえる場合もあります(決して褒められることではありませんが……)が、企業の場合、DNSが止まるということは業務にかなりの支障が出ることが容易に想像できると思います。
実際の企業では、DNSサーバの管理者が正式に決まっておらず、以前に設定されたものがそのまま動いているという場合もまれにあるようです。また、中には特に問題も発生していないため、DNSサーバを構築してからほとんど触っていない場合もあるでしょう。DNSは、名前解決が正常に行えているようであればあまり気にされないという、ちょっとさみしいサーバのようです。
そこで、セキュリティ上の視点からだけではなく、ちょっと違った視点からDNSを見つめ直してみよう、というのがこの連載の目的の1つとなります。
仕事柄、実際にDNSを運用されている方のお話を聞く機会があるのですが、DNSサーバの管理にはあまり重点が置かれていない場合があるようです。理由としては普通に動いているからということが一番のようです。そこで、まずはDNSのメンテナンスについて考えてみたいと思います。
1/3 |
 |
| Index | |
| ヘルスチェックしてる? 怠ってはならないDNSのケア | |
 |
Page1 止められないコアネットワークサービスに注目せよ 一般的なDNS構成をもう一度チェックする あなたのDNSサーバ、メンテナンスされていますか? |
| Page2 忘れてはならないDNSセキュリティアップデート 開発の終了したBIND 8、移行計画はできてますか? DNSの設定ミスによる危険性 再帰的名前解決の制限 |
|
| Page3 ゾーンデータの無制限転送 DNSベストプラクティスを考えてみよう |
|
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
