第2回 DNSベストプラクティスとは「隠す」そして「重ねる」


澁谷 寿夫
Infoblox株式会社
Systems Engineer
2007/12/14

軽視されがちのDNSにもう一度明かりをともす新連載。第2回ではDNSの最新情報と、前回の最後で図だけ提示した「DNSのベストプラクティス」構成の意味を解説します(編集部)

 いまだに設定ミスの多いDNS

 今回も引き続きDNSについて説明していきたいと思います。まずは、おさらいをかねて、2007年11月に発表されたDNS関係のリリースを紹介したいと思います。

 11月19日に開催されましたDNS DAYでも話題に上がっていたのですが、いまだに多くのDNSサーバに設定ミスが多いという問題があります。設定ミスの内容としては、いくつかありますが、その中でも深刻な問題としてはオープンリゾルバのサーバになってしまっているというものです。

 前回説明した「再起的名前解決の制限」が、このオープンリゾルバと呼ばれる問題になります。では、実際にどれくらいのDNSサーバがこの問題を抱えているのでしょうか。

 11月19日にInfobloxから発表されたDNS調査の報告が下記サイトに載っています。

【関連リンク】
Infobloxのプレスリリース
DNS Survey Reveals Many Systems Still Vulnerable to Attacks Despite Some Marked Improvements

http://www.infoblox.com/news/release.cfm?ID=111

THIRD ANNUAL DNS SURVEY
Cricket Liu’s Executive Summary

http://www.infoblox.com/library/pdf/2007-survey-executive-summary.pdf

 まず、この「THIRD ANNUAL DNS SURVEY Cricket Liu’s Executive Summary」の中から、前回説明した問題などをピックアップしてみたいと思います。

●オープンリゾルバ

 いまだにDNSサーバの50%以上が外部からの再帰的名前解決(recursion)を許可しています。自分のところは大丈夫と思っていても、外部から利用されていることに気付いていない、またはそういう問題を理解していない管理者がかなりいるということになります。

●ゾーントランスファー

 ゾーン転送に制限がかかっていない問題です。この問題があるサーバも、いまだに30%以上存在しています。

●不完全委譲(Lame Delegation)

 これも設定が不完全なために起こる問題であり、20%以上のサーバがこの問題を抱えています。lameについては、以下のページが参考になります。

【関連記事】
DNS Tips:「ゾーンがlame」ってどういう意味?
http://www.atmarkit.co.jp/fnetwork/dnstips/021.html

 ほかにも管理者に有益な情報がありますので、この機会に読んでみることをお勧めします。

 これらの問題に共通することとして、見た目上きちんと動作しているため、問題を抱えていることに気付いていないのでは、という仮説が浮かび上がります。本当に管理しているDNSサーバは大丈夫なのか、もう一度チェックをしてみましょう。

 DNSベストプラクティス構成のポイント

 さて、ここからが今回の本題になります。前回の最後にDNSベストプラクティスということで、DNSの構成図を載せて終了しました。一見すると、DNSベストプラクティスと一般的な構成は、さほど違いがないように見えるかもしれませんが、実は大きな違いがあります。それが、以下の2つになります。

  • ヒドゥンプライマリ
  • フォワーダーの冗長化

 初めて見るような構成だったかもしれませんが、この違いにはそれなりの理由があります。では、順番に解説していきましょう。

 なぜプライマリを隠すのか

 まずは、ヒドゥンプライマリから説明します。この言葉は、初めて聞くという読者の方が多いと思います。カタカナにすると微妙に理解しづらいのですが「プライマリ」と付いているので、プライマリ関係の何かだろう、というのは想像できると思います。

 ヒドゥンプライマリは、英語では「Hidden Primary」と書きます。これで、もう少し想像できるのではないでしょうか。日本語では、「隠しプライマリ」という場合もあります。ここまで書けば、「プライマリを隠す」ことだと分かると思います。ですが、隠すということが、ピンとこないと思います。

 そこで、第1回で使用した図を基に、一般的な環境と何が違うか見ていきます。

図1 一般的なDNSの構成

 一般的な外向けDNSサーバは、図1のようになっていると思います。DMZの赤枠で囲んだ部分にプライマリとセカンダリが設置してあります。セカンダリはISPが提供してくれているという場合もあると思います。

 プライマリは、ゾーンのオリジナルデータを管理するためのサーバです。example.comというドメインを持っているとすると、www.example.comやmail.example.comなどのレコードを管理します。この構成の場合では、プライマリも名前解決のサービスを提供します。

 セカンダリは、一般にプライマリのデータをゾーン転送によって複製し、複製されたデータを基に名前解決のサービスを提供します。

図2 ベストプラクティスで考えるDNS構成

 ベストプラクティスの構成は、図2になります。図1との違いはDMZにあったプライマリが内部LANに移動した点のみです。構成図上ではほんの小さな違いですが、これにはしっかりとした理由があります。

 その理由を説明する前に、プライマリとセカンダリの違いについて考えてみます。実際にDNSの設定をしたことがあれば、すでに違いはご存じだと思います。2つのサーバの違いは、プライマリがゾーンデータのマスタデータを持っているのに対して、セカンダリは複製を持っているという点になります。

 ヒドゥンプライマリとは、このマスタデータを持ったプライマリを隠してしまおう、というものです。

1/3

Index
DNSベストプラクティスとは「隠す」そして「重ねる」
Page1
いまだに設定ミスの多いDNS
DNSベストプラクティス構成のポイント
なぜプライマリを隠すのか
  Page2
「プライマリを隠す」――いったい何から?
具体的な設定を行ってみよう
フォワーダーを冗長化する意味
  Page3
塵も積もれば山となる――DNS冗長化のススメ
DNS設定フローチャートで確認ポイントをチェック


もう一度見直したいDNS/DHCP 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間