第2回 DNSベストプラクティスとは「隠す」そして「重ねる」
澁谷 寿夫
Infoblox株式会社
Systems Engineer
2007/12/14
軽視されがちのDNSにもう一度明かりをともす新連載。第2回ではDNSの最新情報と、前回の最後で図だけ提示した「DNSのベストプラクティス」構成の意味を解説します(編集部)
いまだに設定ミスの多いDNS
今回も引き続きDNSについて説明していきたいと思います。まずは、おさらいをかねて、2007年11月に発表されたDNS関係のリリースを紹介したいと思います。
11月19日に開催されましたDNS DAYでも話題に上がっていたのですが、いまだに多くのDNSサーバに設定ミスが多いという問題があります。設定ミスの内容としては、いくつかありますが、その中でも深刻な問題としてはオープンリゾルバのサーバになってしまっているというものです。
前回説明した「再起的名前解決の制限」が、このオープンリゾルバと呼ばれる問題になります。では、実際にどれくらいのDNSサーバがこの問題を抱えているのでしょうか。
11月19日にInfobloxから発表されたDNS調査の報告が下記サイトに載っています。
| 【関連リンク】 Infobloxのプレスリリース DNS Survey Reveals Many Systems Still Vulnerable to Attacks Despite Some Marked Improvements http://www.infoblox.com/news/release.cfm?ID=111 THIRD ANNUAL DNS SURVEY Cricket Liu’s Executive Summary http://www.infoblox.com/library/pdf/2007-survey-executive-summary.pdf |
まず、この「THIRD ANNUAL DNS SURVEY Cricket Liu’s Executive Summary」の中から、前回説明した問題などをピックアップしてみたいと思います。
●オープンリゾルバ
いまだにDNSサーバの50%以上が外部からの再帰的名前解決(recursion)を許可しています。自分のところは大丈夫と思っていても、外部から利用されていることに気付いていない、またはそういう問題を理解していない管理者がかなりいるということになります。
●ゾーントランスファー
ゾーン転送に制限がかかっていない問題です。この問題があるサーバも、いまだに30%以上存在しています。
●不完全委譲(Lame Delegation)
これも設定が不完全なために起こる問題であり、20%以上のサーバがこの問題を抱えています。lameについては、以下のページが参考になります。
| 【関連記事】 DNS Tips:「ゾーンがlame」ってどういう意味? http://www.atmarkit.co.jp/fnetwork/dnstips/021.html |
ほかにも管理者に有益な情報がありますので、この機会に読んでみることをお勧めします。
これらの問題に共通することとして、見た目上きちんと動作しているため、問題を抱えていることに気付いていないのでは、という仮説が浮かび上がります。本当に管理しているDNSサーバは大丈夫なのか、もう一度チェックをしてみましょう。
DNSベストプラクティス構成のポイント
さて、ここからが今回の本題になります。前回の最後にDNSベストプラクティスということで、DNSの構成図を載せて終了しました。一見すると、DNSベストプラクティスと一般的な構成は、さほど違いがないように見えるかもしれませんが、実は大きな違いがあります。それが、以下の2つになります。
- ヒドゥンプライマリ
- フォワーダーの冗長化
初めて見るような構成だったかもしれませんが、この違いにはそれなりの理由があります。では、順番に解説していきましょう。
なぜプライマリを隠すのか
まずは、ヒドゥンプライマリから説明します。この言葉は、初めて聞くという読者の方が多いと思います。カタカナにすると微妙に理解しづらいのですが「プライマリ」と付いているので、プライマリ関係の何かだろう、というのは想像できると思います。
ヒドゥンプライマリは、英語では「Hidden Primary」と書きます。これで、もう少し想像できるのではないでしょうか。日本語では、「隠しプライマリ」という場合もあります。ここまで書けば、「プライマリを隠す」ことだと分かると思います。ですが、隠すということが、ピンとこないと思います。
そこで、第1回で使用した図を基に、一般的な環境と何が違うか見ていきます。
| 図1 一般的なDNSの構成 |
一般的な外向けDNSサーバは、図1のようになっていると思います。DMZの赤枠で囲んだ部分にプライマリとセカンダリが設置してあります。セカンダリはISPが提供してくれているという場合もあると思います。
プライマリは、ゾーンのオリジナルデータを管理するためのサーバです。example.comというドメインを持っているとすると、www.example.comやmail.example.comなどのレコードを管理します。この構成の場合では、プライマリも名前解決のサービスを提供します。
セカンダリは、一般にプライマリのデータをゾーン転送によって複製し、複製されたデータを基に名前解決のサービスを提供します。
| 図2 ベストプラクティスで考えるDNS構成 |
ベストプラクティスの構成は、図2になります。図1との違いはDMZにあったプライマリが内部LANに移動した点のみです。構成図上ではほんの小さな違いですが、これにはしっかりとした理由があります。
その理由を説明する前に、プライマリとセカンダリの違いについて考えてみます。実際にDNSの設定をしたことがあれば、すでに違いはご存じだと思います。2つのサーバの違いは、プライマリがゾーンデータのマスタデータを持っているのに対して、セカンダリは複製を持っているという点になります。
ヒドゥンプライマリとは、このマスタデータを持ったプライマリを隠してしまおう、というものです。
1/3 |
| Index | |
| DNSベストプラクティスとは「隠す」そして「重ねる」 | |
| Page1 いまだに設定ミスの多いDNS DNSベストプラクティス構成のポイント なぜプライマリを隠すのか |
|
| Page2 「プライマリを隠す」――いったい何から? 具体的な設定を行ってみよう フォワーダーを冗長化する意味 |
|
| Page3 塵も積もれば山となる――DNS冗長化のススメ DNS設定フローチャートで確認ポイントをチェック |
|
もう一度見直したいDNS/DHCP バックナンバー
- 第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア
- 第2回 DNSベストプラクティスとは「隠す」そして「重ねる」
| もう一度見直したいDNS/DHCP 連載インデックス |
- DNSベストプラクティスとは「隠す」そして「重ねる」 (2007/12/14)
今回はDNSの最新情報とともに、DNS構成のベストプラクティス、そのキーポイントをお教えしましょう。この対策、思ったよりも簡単かも! - 「精神論」に頼らないメールセキュリティ対策とは (2007/12/12)
危険なURLを正確に判断する能力を前提とした「精神論」――失敗しないように頑張れ、というのは対策ではないのです - Ajaxのセキュリティ、特殊なものだと思ってました (2007/12/7)
AjaxでなければWeb2.0ではない、といわんばかりのAjaxブーム。対抗するには「セキュリティ2.0」が必要なのか、勉強会で確認! - DNS、管理者として見るか? 攻撃者として見るか? (2007/11/30)
安定運用してしまうと軽視されがちなDNSサーバ、実は一番「ほっとけない」! DNSの設定ミスでSSHパスワードまで抜かれる可能性も?
|
|
スポンサーからのお知らせ
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜ネットワーク編〜
| ◆ | New! フリーエンジニアのための社会保険入門 万が一の時、リスクにどう備えるべきか? |
| ◆ | New! ■ボトルネックバスターズ 2■ 連載 第2話 「彗星寺先生」現る!――答えはどっちだ!? |
| ◆ | 【事例】web共通基盤構築プロジェクトに ID管理を導入するメリットは? |
| ◆ | 障害の発生前に事前通知!!復旧時間を 早める切札で、サーバ管理がラクになる! |
| ◆ | 【マンガ連載3】DB勉強中の“いぶき”の 発案で、“番次郎”がDBアプリ開発へ! |
| ◆ | Ajaxによるアジャイル開発に挑戦! 本当に使える“マッシュアップポータル” |
| ◆ | 「待って! そのクリック本当に安全?」 閲覧サイトを“評価する”新技術が登場! |
| ◆ | 必見!深刻な電源容量不足問題を解決する 最新の省電力テクノロジーはこれだ! |
| ◆ | BPM実現にSOAを使う!! 人間系プロセスも含めた見える化・最適化 |
| ◆ | ITエンジニアとして“無限の可能性”を 手に入れる「きっかけ」とは? |
| ◆ | 最先端の基幹システムはどう作られたか? “サーバ仮想化技術”最前線を事例で紹介 |
| ◆ | NGN時代を生き残るネットワークエンジニア とは? 〜エンジニア・キャリア進化論〜 |
| ◆ | そのコード、まったく問題がないという 自信ありますか?不安はこのツールで解決 |
| ◆ | 日本の消費者像をユニークな視点で考察 「死に神」に売れる商品はもう終わり…… |
| ◆ | 映画の中のトム・クルーズと同じ体験が できるようになる―分析革命へようこそ |
| ◆ | 内部統制強化が急ピッチで進むいま、 監査人が語る!ID管理の実情とは |
| ◆ | 【罠】メールでユーザーを騙し、PCを操作 させ、マルウェアに感染させる方法 |
| ◆ | 世界初のプロジェクト事例に学ぶ、 マイクロソフト DBコンサルタントの仕事 |
| ◆ | OS?言語?技術知識だけじゃダメでしょ! 新人エンジニアの「考える力」を育てます |
| ◆ | ブラウザでアクセスするだけ! 無料&短時間で、SQL Serverを体験しよう |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「ITmedia」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。