オープンソース

BINDに替わるDNSサーバ〜PowerDNS〜

PowerDNSは、管理ウェブインタフェースが利用できる便利なオープンソースソフトウェアのDNSシステムです。ここでは、PowerDNSの特徴、脆弱性の数、パフォーマンスについてご紹介します。なお、デージーネットでは、PowerDNSのDNSサーバ構築やコンサルティング、PowerDNSの商用サポートを行っています。

目次

PowerDNSとは?

PowerDNSの統計情報一覧

PowerDNSは、Open-Xchage社が主体となって開発を行っているDNSサーバです1999年に開発プロジェクトが発足しました。開発当初はクローズドソースでしたが、2002年にオープンソースソフトウェアとしてリリースされ、2005年からは利用者が増加しました。現在は、オランダ、デンマーク、スウェーデン、ノルウェーなどDNSSECの導入が進んでいるヨーロッパ諸国を中心に多くの利用者がいます。

PowerDNSは、ゾーンファイルの他、LDAP、MySQL、PostgreSQL、Sqlite3など、様々なバックエンドを使用してゾーンやレコード情報を保存することができます。また、PoweradminやPowerDNS-Adminなどの管理用GUIを使って、ウェブインタフェースからデータを管理することができます。

BINDの代替DNSサーバとしておすすめ

BINDとは、ISC(Internet Systems Consortium)が現在開発・管理を行っているオープンソースのDNSサーバです。古くからDNSサーバのデファクトスタンダードとして、広く使われてきたDNSサーバです。しかし、近年は多くの脆弱性が報告されている点や、権威DNSサーバとキャッシュDNSサーバを同居しているシステム構成にセキュリティ上の問題がある点などから、他のDNSサーバへ移行する流れが主流となっています。PowerDNSは、こうしたBINDの最大の問題点を解決することができるソフトウェアとして、注目されています。

PowerDNSの特徴

PowerDNSには、次のような特徴があります。

  • 権威DNSサーバとキャッシュDNSサーバの両方をサポートしている
  • 権威DNSサーバとキャッシュDNSサーバが完全に別々のプロセスとして実現されている
  • キャッシュポイズニング攻撃に強い
  • 様々なバックエンドに対応している
  • BINDよりも高速に動作する
  • 脆弱性が少ない
  • PoweradminやPowerDNS-Adminを使って、ウェブインタフェースから管理できる
  • DNSSECに対応し、簡単に管理できる
  • Luaレコードの機能で、逆引きのDNSレコードの管理の問題を解決できる
  • 統計情報をWEBから見ることができる
  • 外部連携インタフェースを備えている
  • HTTP経由のREST APIでもゾーンやレコードを管理できる

PowerDNSのコンポーネント

PowerDNSは、権威DNSサーバとキャッシュDNSサーバとが、別々のプロセスとして動作します。権威DNSサーバのコンポーネントはAuthoritative Serverとよばれています。また、キャッシュDNSサーバのコンポーネントはRecursorと呼ばれています。

Authoritative Server

Authoritative Serverは、PowerDNSの権威DNSサーバのコンポーネントです。キャッシュサーバ機能は実装されていないため、キャッシュポイズニング攻撃を受けることはありません。

また、管理性と性能を向上するため、バックエンドとしてPostgreSQLやMySQLのようなデータベースを利用することができます。次のようなバックエンドに対応しています。

対応しているバックエンド

MySQL, PostgreSQL, SQLite3, Oracle, Sybase, Microsoft SQL Server, LDAP, BIND形式ゾーンファイル

Recursor

Recursorは、PowerDNSのキャッシュDNSサーバのコンポーネントです。しかし、デージーネットでは、コンポーネントの利用としてOS標準パッケージに採用されているUnboundを推奨しています。

PowerDNSの機能性・安全性

以下では、PowerDNSの機能や安全性について解説します。

脆弱性

PowerDNSは、脆弱性が少なく安全なDNSサーバです。BINDと比較してみると、一目瞭然で、非常に安全性が高いことが分かります。

PowerDNSとBINDの脆弱性比較

パフォーマンス

PowerDNSは、非常に高速に動作するDNSサーバです。BINDよりも高速に動作します。次の図は、デージーネットでベンチマークを行った結果です。

PowerDNSベンチマーク結果

測定の条件

  • queryperf(bindに付属しているツール)を使用
  • ゾーンを10個作成し、各ゾーンに1000レコードを作成、合計1万件のレコードを設定
  • 1万件のレコードについてクエリを10分間連続して実行
  • 同時接続数40
  • PowerDNSのバックエンドはMySQLを使用
  • DELL PowerEdge R220/081N4V
    CPU Intel(R) Xeon(R) CPU E3-1220 v3 @ 3.10GHz
    メモリ 16GB

DNSSECをフルサポート

PowerDNSは、DNSSECをフルサポートしています。pdnssecコマンドでは、DNSSECの管理を行うことができます。鍵の生成も簡単に行うことができます。

# pdnssec secure-zone example.com
Securing zone with default key size
Adding KSK with algorithm rsasha256
Adding ZSK with algorithm rsasha256
Zone example.com secured
Adding NSEC ordering information

稼働状況のグラフ化

collectdを利用すると、PowerDNSの稼働状況をグラフ化することができます。DNSのクエリ数、回答数などを次のようなGUIで確認できます。

PowerDNSの稼働状況

Web画面で統計情報を参照

PowerDNSでは、WEBインタフェースから統計情報を参照することができます。

PowerDNSの統計情報一覧

BINDからの移行ツール

PowerDNSには、BINDからの移行を行うためのツールが付属しています。例えば、zone2sqlコマンドを使うことで、BINDで利用していたゾーンファイルをMySQLに登録することができます。

$ zone2sql --gmysql --zone-name=example.com --zone=example.com.zone | \
mysql -u pdns -p pdns

1 domains were fully parsed, containing 10 records

また、BINDで使っていたDNSSECの情報も引き継ぐことができます。

# pdnssec import-zone-key ZONE <FILENAME> zsk ← ZSKのインポート
# pdnssec import-zone-key ZONE <FILENAME> ksk ← KSKのインポート
# pdnssec show-zone ZONE ← 新しいkeyIDの確認
(snip)
ID = 5 (ZSK), tag = 33753, algo = 8, bits = 1024 Active: 1 ( RSASHA256 )
# pdnssec activate-zone-key ZONE 5 ← 新しいKeyIDの確認

デージーネットのサービスとサポート

デージーネットでは、PowerDNSを活用したDNSサーバ構築サービスを行っています。PowerDNSを利用したDNSサーバをデージーネットで構築した場合には、導入後支援サービス(Open Smart Assistance)でのサポートを受けられます。デージーネット以外で構築したシステムの場合であっても、保守移管サービスを利用することでサポートを受けることが可能になります。


また、デージーネット社内のDNSサーバもPowerDNSを利用して構築しています。デージーネットでは、こうしたPowerDNSの構築やシステム保守サポート、コンサルティングの実績を活用して、PowerDNSの商用サポートを提供しています。商用サポートでは、バイナリパッケージの提供、インストレーションサポート、インシデントサポート等のサービスを行っています。


PowerDNS導入の検討資料を無料でダウンロード

PowerDNS検討資料

PowerDNS検討用資料ダウンロードへ

DNSの仕組みと重要性、オープンソースのPowerDNSとUnboundを組み合わせた構成についてまとめた資料です。PowerDNSについて情報を収集する際、サービスをご検討いただく際などにお役立てください。

デモのお申込み

もっと使い方が知りたい方へ
PowerDNSの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。PowerDNSのデモをご希望の方は、下記よりお申込みいただけます。

デモをご希望の方

デモの申し込みイメージ


一押しOSS情報「PowerDNS」

BINDに替わるDNSサーバ
〜PowerDNS〜
PowerDNSの特徴、脆弱性の数、パフォーマンスについてご紹介します。
PowerDNSの管理WEBインタフェースPoweradmin
Poweradminの画面例をご紹介します。
BIND v.s. PowerDNS
特徴・機能・性能の比較
PowerDNSと、現在広く利用されているBINDの比較第一弾をご紹介します。PowerDNSとBINDの特徴・機能・性能を比較しました。
BIND v.s. PowerDNS
サーバの管理性
PowerDNSと、現在広く利用されているBINDの比較第二弾をご紹介します。ここでは、PowerDNSとBINDの管理性を比較しました。
PowerDNSの構成例
PowerDNSを使用したDNSサーバの構成例をいくつか紹介します。
PowerDNSのよくある質問
PowerDNSの導入検討時にお客様からよくいただくご質問にお答えします。
PowerDNSバージョンアップ情報
このページでは、PowerDNSのバージョンアップ情報を紹介します。

PowerDNS調査報告書

PowerDNSとは、Open-Xchage社が主体となって開発を行っているDNSサーバです。コンポーネントとして権威DNSサーバとキャッシュDNSサーバが存在します。本書はPowerDNSについて調査した内容をまとめたものです。

PowerDNS+Poweradmin説明資料

BINDに代わって注目されているDNSサーバのPowerDNSと管理ソフトウェアの説明資料です。

NSD,KnotDNS,PowerDNSベンチマーク報告書

デージーネットOSS研究室が、BINDに代わって使われるようになった、NSD、KnotDNS、PowerDNSなどの権威DNSサーバの性能評価を行った報告資料です。

PowerDNS商用サポート

PowerDNSは、BINDに比べて管理が簡単かつ高速で、セキュリティに強いという特徴を持っています。しかし、比較的新しいソフトウェアであるため、使い方、障害時の対応に関する情報はまだ多くありません。 ここでは、デージーネットが行うPowerDNS商用サポートについて紹介します。

PowerDNSによるDNSサーバ事例

BINDに替わる権威DNSサーバとして注目されているPowerDNSを使用して、DNSサーバのセキュリティとスピードの向上を図りました。また、PowerDNSの管理ツールであるPowerAdminと合わせて利用することで、管理性も向上することができました。

PowerDNSによるDNSSEC対応の権威DNSサーバ事例

権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSとPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。

BIND〜DNSサーバの特徴と弱点〜

BINDとは、権威DNSサーバとキャッシュDNSサーバの両方の機能を持ったオープンソースソフトウェアです。DNSサーバのデファクトスタンダードとして古くから利用されてきました。BINDは、非常に汎用的に利用できる一方で、コードが複雑で脆弱性が潜みやすく、セキュリティ上の問題があるとされています。

DNSサーバのおすすめOSS比較9選!選定ポイントも解説

DNSサーバとは、インターネットの名前解決を行うサーバーのことを言います。ここでは、おすすめの各DNSサーバのOSSの特徴を比較し、DNSサーバソフトウェアを選定する際に重視すべきポイントをまとめました。

BINDに替わるDNSサーバ〜PowerDNS〜の先頭へ