カミンスキー氏が発表したDNSアタック手法と対策例:DNSキャッシュポイズニングの影響と対策(前編)(4/4 ページ)
» 2008年09月18日 00時00分 公開
[藤川浩一,Infoblox株式会社]
攻撃成功率を低減するには?
既存環境で可能な対策は、次の2点に尽きます。
- 対策パッチを適用する
- 設定ミスを撲滅する
さまざまなニュースサイトやメーリングリスト、掲示板で話題になったように、この問題に対処するにはDNSサーバのパッチ適用が必須となります。また、BINDのパッチ適用の際にRPMなどのパッケージを利用すると強制的にnamed.confが変更されてしまうので、適用後は設定の確認も必須となります。
そこで、次の2つのDNSサーバ構成を比べつつ、対策方法を考えてみることにしましょう。まずは一般的な構成を見ておきましょう。
図5 一般的なDNSサーバ構成 これを、以下のような構成に変更します。
図6 対策後のDNSサーバ構成2つのDNSサーバ構成には、大きな違いがいくつかあります。対策後のDNSサーバ構成では、下記の対策を行っています。
- キャッシュサービスを利用するDNSサーバに、対応パッチを適用する対応パッチを適用する
- キャッシュDNSサーバの設定を確認、変更する設定を確認、変更する
- 外部DNSサーバの再帰問い合わせ機能を無効化あるいは制限する
- 2重化されたキャッシュDNSサーバを新規に導入する
- 内部キャッシュDNSサーバに届くDNSクエリを、2重化したキャッシュサーバに転送する
- メールサーバなど、DMZ内サーバのDNSクエリを2重化したキャッシュサーバに向ける
- キャッシュDNSサーバがインターネットに出るときのNATアドレスは、そのほかの通信とは別のIPアドレスを利用させる
- 外部向けのAuthoritative DNSサーバを増設し、ヒドゥンプライマリ構成に変更する
- 監視マネージャにより、サーバの死活監視、リソース監視を徹底する
これらの変更は、いずれも大きな意味を持ちます。一見するとこれらがどうして脆弱性対策となり得るのか、つながりにくい部分もあるかもしれません。これらの意味については、後編にて詳しく解説する予定です。それまでにぜひ、皆さまもその意味を想像してみてください。
Profile
Infoblox株式会社 Professional Service Engineer
藤川 浩一(ふじかわ こういち)
DNS/DHCP/RADIUSのアプライアンスメーカーであるInfoblox株式会社に勤務し、コアネットワークシステムコンサルタント業務と、カスタムプログラムの設計業務を担当。
世界はたくさんの愛で満ちあふれていると信じてやまない乙女座O型 :-)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。