DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編）：Tech TIPS

連載目次

解説

　TIPS「分散サービス拒否（DDoS）攻撃を仕掛けるDNS ampとは？」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ（キャッシュ・サーバ）を設定する方法について解説する。DNSのコンテンツ・サーバの設定方法については、TIPS「DNS ampの踏み台サーバになるのを防ぐ（コンテンツ・サーバ編）」を参照していただきたい。

　DNSサーバを踏み台として利用されないようにするには、次のような対策が必要である。

• DNSのコンテンツ・サーバとキャッシュ・サーバを分ける。
• （インターネットに公開する）コンテンツ・サーバには、キャッシュ・サーバ機能は持たせない。
• キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。
• キャッシュ・サーバはイントラネット上に配置し、さらにネットワーク・アドレスなどによるアクセス制限を行って、インターネットからアクセスできないようにする。

　キャッシュ・サーバは、原則としてインターネットに公開しないように（インターネットからアクセスできないように）設置すればよいので、コンテンツ・サーバと違って特別な設定は必要ない。ソース・アドレスによる制限や不正な要求のブロックなど、通常のサーバのセキュリティ対策を行っておけばよいだろう。以下、簡単に説明する。

●コンテンツ・サーバとは別にキャッシュ・サーバを用意する

　Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ（リゾルバ）機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。また、Small Business Serverのように、ドメイン・コントローラやDNSサーバが1台だけですべて担当するような形態のシステムの場合でも、必ず別のDNSサーバ・システムを用意し、コンテンツ・サーバとキャッシュ・サーバを分けていただきたい（インターネットにコンテンツ・サーバを公開する場合）。そして、インターネットに公開される側のDNSサーバ（コンテンツ・サーバ）は、Active Directoryとは独立した、別のスタンドアロンのDNSサーバとして運用するのがよいだろう。DNSのActive Directory統合機能を利用すると、DNSのレコードなどがDNS要求などを通じて、外部へ漏えいする可能性があるからだ。

コンテンツ・サーバとキャッシュ・サーバ
インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

●キャッシュ・サーバに対するアクセス制限

　またキャッシュ・サーバ機能を利用する場合は、必ずファイアウォールなどを利用して、ソース・アドレスによるアクセス制限を行い、不正なクライアントからのアクセスや、ソース・アドレスを詐称したDNS要求パケットなどはすべて拒否するのが望ましい。イントラネットであっても、BOTに感染したコンピュータから不正なDNSパケットが送信される可能性もあるので、DNSサーバでは、ソース・アドレスによるパケット・フィルタなどを設定しておこう。

　ファイアウォールの設定については個々のシステムに依存するので詳しくは述べないが、例えばWindows Server 2003の標準ファイアウォール機能であれば、次のようなフィルタを設定することにより、不正なソース・アドレスを持つDNS要求パケットをブロックすることができる。

DNSサービスに対するファイアウォールの許可設定
DNSでは、一般的にはUDPの53番ポートあての通信が利用される。
　 （1）名前。プロトコルが分かるような、適当な名前を付けておく。
　 （2）ポート番号。DNSの問い合わせと応答では、通常は、UDPの53番ポートが利用される。
　 （2）スコープの定義。要求を受け付けるネットワーク・アドレスを限定する。

　これはWindows Server 2003のファイアウォールでDNSサーバのパケットの着信許可を設定しているところである。キャッシュ・サーバのDNSでは、UDPの53番ポートあての通信を許可すればよい。ソース・アドレス制限は、上の画面の［スコープの変更］で行う。これをクリックすると次のような画面が表示されるので、アクセスを許可したいネットワーク・アドレス（つまりイントラネットのアドレス）を列挙する。

スコープの指定
許可したクライアント以外からのアクセスは、すべて禁止すること。これにより、BOTに感染したイントラネット上のコンピュータからのアクセスをブロックすることができる。このような制限は、DNSだけでなく、ファイル共有サービスなどでも行うことが望ましい。
　 （1）これを選択して、アクセスを許可するネットワークのアドレスを指定する。
　 （2）アドレスの一覧。複数のネットワーク・アドレスを指定できる。

●インターネットとイントラネットの境界でのブロック

　また、インターネットとイントラネットの境界に設置したファイアウォールでは、イントラネット側から送信される、ソース・アドレスが詐称されたパケットは、インターネット側へ送信（中継）しないようにフィルタを設定しておく（例えば、ソース・アドレスがグローバルIPアドレスになっているようなイントラネット側からの通信は、インターネット側へ中継せず、ファイアウォールでブロックするということ）。

「Windows TIPS」