【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編)

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2006/08/26		  
対象OS
Windows 2000 Server
Windows Server 2003
DNS ampの踏み台として利用されないように、DNSのコンテンツ・サーバではキャッシュ・サーバの機能を無効化しておくとよい。
Windows OSのDNSサービスでキャッシュ・サーバを無効にするには、[再帰を無効にする]を設定する。
キャッシュ・サーバが必要なら、物理的に別のコンピュータ上に用意する。
 
解説

 TIPS「分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ(コンテンツ・サーバ)を設定する方法について解説する。

 DNSサーバが踏み台として利用されないようにするには、次のような対策が必要である。

  • コンテンツ・サーバとキャッシュ・サーバを分ける。

  • コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。

  • キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。

 Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ(リゾルバ)機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)」を参照していただきたい。

コンテンツ・サーバとキャッシュ・サーバ
インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

操作方法

 Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能(リゾルバ機能)を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。

DNSの再帰的問い合わせを無効にする

 [管理ツール]の[DNS]ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから[プロパティ]を選択する。するとサーバの設定ダイアログが表示されるので、[詳細]タブを選択し、一番上にある[再帰を無効にする](Windows 2000の場合)もしくは[再帰を無効にする(フォワーダも無効になります)](Windows Server 2003の場合)というチェック・ボックスをオンにする。

再帰クエリの禁止によるキャッシュ・サーバ機能の無効化
キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する(これはWindows Server 2003のDNSサービスの設定画面)。
  DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。
  このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。

フォワーダの無効化

 キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。

 フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。

フォワーダ設定の無効化
フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送(フォワード)しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが(条件付きフォワード機能という)、やはりすべての転送先設定を空にしておく。
  このタブを選択する。
  これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。

キャッシュの消去

 以上の設定後、キャッシュの内容を削除するか、DNSサービスを再起動する。これにより、すでにキャッシュされているDNSのレコード情報もクリアされ、名前解決要求がすべて無効になる。

キャッシュの消去
先の設定を変更しても、キャッシュに残っているレコードについてはクライアントへ返される。キャッシュをクリアするか、DNSサービスを再起動すれば、キャッシュの内容が空になる。
  DNSサーバ名を右クリックし、ポップアップ・メニューからこれを選択する。

 設定が完了したら、実際に外部からDNSサーバに対して適当なFQDN名に対する問い合わせを行い、結果が返ってこないことを確認しておこう。End of Article

関連記事(Windows Server Insider)
  Windows TIPS:分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?
  Windows TIPS:DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編)
  Windows TIPS:DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)
     
この記事と関連性の高い別のWindows TIPS
DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)
分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?
DNSサーバのキャッシュの内容を調査する
DNSサービスのルート・ヒントを変更する
nslookupの基本的な使い方(イントラネット編)
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ