第1回 ヘルスチェックしてる？ 怠ってはならないDNSのケア

澁谷　寿夫
Infoblox株式会社
Systems Engineer
2007/11/9

---

　ゾーンデータの無制限転送

　これは文字どおりゾーン転送にかかわる設定になります。セカンダリへのゾーン転送が成功している場合は、プライマリサーバ上ではゾーン転送が許可されていることになります。このとき、ゾーン転送を許可するサーバの制限を忘れてしまうことがあります。つまり、どこからのゾーン転送の要求にも応えてしまうということになります。

　それのどこに問題があるかピンとこないかもしれませんが、ゾーン転送されるということは、すべてのレコード情報を入手されてしまうということになります。本来おおやけには公開したくないレコードについてもさらしてしまいますので、アタックのための手掛かりをみすみす与えてしまうことになります（ゾーン転送されないからといって、アタックが減ることがないのが現実なのですが）。

　例えば、syslog.example.comという名前のレコードがあったとすると、syslog用のサーバであろうというのは容易に想像できると思います。

　プライマリについては、ちゃんと設定できている場合でも、セカンダリサーバ上でゾーン転送が無制限に許可されていると、完全とはいえません。プライマリ／セカンダリ共に、ゾーン転送を許可する場合は、以下のように制限をかける必要があります。

allow-transfer { IP-Address; };

　ほかにも設定ミスによるセキュリティ上の問題となることがあります。Web経由でこれらの診断を無料で行うサービスがありますので紹介しておきます。

【関連リンク】 Cricket Liu's DNS Advisor http://www.infoblox.com/services/dns_advisor.cfm

　このサービスは、ゾーンの管理者が自身のゾーンの設定が正しいかをチェックすることができるようになっています。

　DNSベストプラクティスを考えてみよう

　DNSベストプラクティスと大げさな名前にしてしまいましたが、いままでのDNSの構成とは少し違った構成となっています。

図3 DNSのベストプラクティスな構成図

　なぜ、この構成を勧めるのかを第2回で説明していきたいと思います。それまでの間、なぜこのような構成にしているのか？ この構成だと何に強いのか？ を想像してみてください。

3/3

Index
ヘルスチェックしてる？ 怠ってはならないDNSのケア
	Page1 止められないコアネットワークサービスに注目せよ 一般的なDNS構成をもう一度チェックする あなたのDNSサーバ、メンテナンスされていますか？
	Page2 忘れてはならないDNSセキュリティアップデート 開発の終了したBIND 8、移行計画はできてますか？ DNSの設定ミスによる危険性 再帰的名前解決の制限
	Page3 ゾーンデータの無制限転送 DNSベストプラクティスを考えてみよう

Profile

澁谷　寿夫（しぶや　ひさお） Infoblox株式会社 Systems Engineer 学生時代にLinuxと出会い、趣味と仕事で利用するようになる。 ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はコアネットワークサービスのアプライアンスメーカーであるInfobloxに勤務。 プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。

もう一度見直したいDNS／DHCP 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）