第2回 DNSベストプラクティスとは「隠す」そして「重ねる」
澁谷 寿夫
Infoblox株式会社
Systems Engineer
2007/12/14
軽視されがちのDNSにもう一度明かりをともす新連載。第2回ではDNSの最新情報と、前回の最後で図だけ提示した「DNSのベストプラクティス」構成の意味を解説します(編集部)
いまだに設定ミスの多いDNS
今回も引き続きDNSについて説明していきたいと思います。まずは、おさらいをかねて、2007年11月に発表されたDNS関係のリリースを紹介したいと思います。
11月19日に開催されましたDNS DAYでも話題に上がっていたのですが、いまだに多くのDNSサーバに設定ミスが多いという問題があります。設定ミスの内容としては、いくつかありますが、その中でも深刻な問題としてはオープンリゾルバのサーバになってしまっているというものです。
前回説明した「再起的名前解決の制限」が、このオープンリゾルバと呼ばれる問題になります。では、実際にどれくらいのDNSサーバがこの問題を抱えているのでしょうか。
11月19日にInfobloxから発表されたDNS調査の報告が下記サイトに載っています。
| 【関連リンク】 Infobloxのプレスリリース DNS Survey Reveals Many Systems Still Vulnerable to Attacks Despite Some Marked Improvements http://www.infoblox.com/news/release.cfm?ID=111 THIRD ANNUAL DNS SURVEY Cricket Liu’s Executive Summary http://www.infoblox.com/library/pdf/2007-survey-executive-summary.pdf |
まず、この「THIRD ANNUAL DNS SURVEY Cricket Liu’s Executive Summary」の中から、前回説明した問題などをピックアップしてみたいと思います。
●オープンリゾルバ
いまだにDNSサーバの50%以上が外部からの再帰的名前解決(recursion)を許可しています。自分のところは大丈夫と思っていても、外部から利用されていることに気付いていない、またはそういう問題を理解していない管理者がかなりいるということになります。
●ゾーントランスファー
ゾーン転送に制限がかかっていない問題です。この問題があるサーバも、いまだに30%以上存在しています。
●不完全委譲(Lame Delegation)
これも設定が不完全なために起こる問題であり、20%以上のサーバがこの問題を抱えています。lameについては、以下のページが参考になります。
| 【関連記事】 DNS Tips:「ゾーンがlame」ってどういう意味? http://www.atmarkit.co.jp/fnetwork/dnstips/021.html |
ほかにも管理者に有益な情報がありますので、この機会に読んでみることをお勧めします。
これらの問題に共通することとして、見た目上きちんと動作しているため、問題を抱えていることに気付いていないのでは、という仮説が浮かび上がります。本当に管理しているDNSサーバは大丈夫なのか、もう一度チェックをしてみましょう。
DNSベストプラクティス構成のポイント
さて、ここからが今回の本題になります。前回の最後にDNSベストプラクティスということで、DNSの構成図を載せて終了しました。一見すると、DNSベストプラクティスと一般的な構成は、さほど違いがないように見えるかもしれませんが、実は大きな違いがあります。それが、以下の2つになります。
- ヒドゥンプライマリ
- フォワーダーの冗長化
初めて見るような構成だったかもしれませんが、この違いにはそれなりの理由があります。では、順番に解説していきましょう。
なぜプライマリを隠すのか
まずは、ヒドゥンプライマリから説明します。この言葉は、初めて聞くという読者の方が多いと思います。カタカナにすると微妙に理解しづらいのですが「プライマリ」と付いているので、プライマリ関係の何かだろう、というのは想像できると思います。
ヒドゥンプライマリは、英語では「Hidden Primary」と書きます。これで、もう少し想像できるのではないでしょうか。日本語では、「隠しプライマリ」という場合もあります。ここまで書けば、「プライマリを隠す」ことだと分かると思います。ですが、隠すということが、ピンとこないと思います。
そこで、第1回で使用した図を基に、一般的な環境と何が違うか見ていきます。
 |
| 図1 一般的なDNSの構成 |
一般的な外向けDNSサーバは、図1のようになっていると思います。DMZの赤枠で囲んだ部分にプライマリとセカンダリが設置してあります。セカンダリはISPが提供してくれているという場合もあると思います。
プライマリは、ゾーンのオリジナルデータを管理するためのサーバです。example.comというドメインを持っているとすると、www.example.comやmail.example.comなどのレコードを管理します。この構成の場合では、プライマリも名前解決のサービスを提供します。
セカンダリは、一般にプライマリのデータをゾーン転送によって複製し、複製されたデータを基に名前解決のサービスを提供します。
 |
| 図2 ベストプラクティスで考えるDNS構成 |
ベストプラクティスの構成は、図2になります。図1との違いはDMZにあったプライマリが内部LANに移動した点のみです。構成図上ではほんの小さな違いですが、これにはしっかりとした理由があります。
その理由を説明する前に、プライマリとセカンダリの違いについて考えてみます。実際にDNSの設定をしたことがあれば、すでに違いはご存じだと思います。2つのサーバの違いは、プライマリがゾーンデータのマスタデータを持っているのに対して、セカンダリは複製を持っているという点になります。
ヒドゥンプライマリとは、このマスタデータを持ったプライマリを隠してしまおう、というものです。
1/3 |
 |
| Index | |
| DNSベストプラクティスとは「隠す」そして「重ねる」 | |
 |
Page1 いまだに設定ミスの多いDNS DNSベストプラクティス構成のポイント なぜプライマリを隠すのか |
| Page2 「プライマリを隠す」――いったい何から? 具体的な設定を行ってみよう フォワーダーを冗長化する意味 |
|
| Page3 塵も積もれば山となる――DNS冗長化のススメ DNS設定フローチャートで確認ポイントをチェック |
|
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
