サーバー構築のデージーネットTOP > OSS情報 > OSS比較 > OSSのおすすめDNSサーバ構築比較8選
OSSのおすすめDNSサーバ構築比較8選
DNSは、インターネットの名前解決を行うためには、欠かせない機能です。インターネットの初期からある仕組みですが、キャッシュポイズニングやDOSなどの攻撃にさらされることが多くなり、近年も様々な改良が加えられています。DNSサーバは、インターネット全体で使われています。そのため、ほとんどの場合にはOSSのサーバソフトウェアが利用されます。ここでは、OSSのDNSサーバソフトウェアの選定ポイントを紹介し、いくつかのDNSサーバソフトウェアの比較してみます。
DNSサーバソフトウェアの選定ポイント
DNSサーバのソフトウェアを選定する場合には、機能、セキュリティ、性能、管理性、サポートなどを考える必要があります。このうち、最近では特にセキュリティについて重要度が高くなっています。
DNSサーバのセキュリティ
最近は、DNSに対する攻撃が非常に多くなっています。主なものは、DNSサーバソフトウェアの脆弱性によるものです。また、多くのキャッシュポイズニング攻撃が観測されています。そのため、脆弱性が少なく、キャッシュポイズニング攻撃に強いソフトウェアを選択する必要があります。
以前は、DNSサーバのソフトウェアが、権威DNSサーバとキャッシュDNSサーバの両方の役割を担うことが普通でした。しかし、現在では、このようなシステム構成自体が問題であると言われています。また、権威DNSサーバでは、キャッシュポイズニング攻撃の影響を受けないようにするため、キャッシュDNSサーバの機能を持たないものを利用することが推奨されています。
最近のDNSサーバは、様々な攻撃に対する対策機能を持っているものもあります。こうしたソフトウェアを利用すると、攻撃を自動的に検知し、自動的に遮断する機能を利用することができます。特に、キャッシュDNSサーバでは、こうした攻撃対策機能を持っているものを選ぶことをお勧めします。
DNSサーバの機能
DNSサーバに求める要件によって、必要とされる機能を持ったソフトウェアを選択する必要があります。
権威DNSサーバでは、Dynamic DNS、view、IPSEC、IPv6への対応などの機能に注意しておく必要があります。
- +Dynamic DNS
- ★
Dynamic DNSは、DNSのレコードを動的にアップデートする機能です。DHCPサーバなどと連携して、動的にIPアドレスとホスト名の紐付けを行う必要がある場合には、この機能のあるDNSサーバを選ぶ必要があります。
- +view
- ★
viewは、一つのDNSサーバで複数のDNSデータベースを持つ機能です。多くの場合には、問い合わせ元のネットワークを識別します。例えば、組織内からの問い合わせの場合には、組織内専用で使われるサーバのアドレスを返却し、組織外からの問い合わせの場合には公開されているインターネットサーバのアドレスを返却するというように使われます。
- +DNSSEC
- ★
DNSSECは、DNSサーバが公開するDNSのレコードに署名を付与する機能です。問い合わせ先は、上位のDNSサーバから入手した鍵を使って、正しい情報が返却されたことを検証することができます。DNSSECは、日本では導入が進んでいません。しかし、米国などでは既に自律的に普及が進む普及率を越えてきています。そのため、これから権威DNSサーバを構築する場合には、少なくともDNSSECの機能を持ち、管理がしやすいサーバソフトウェアを選択する必要があります。
- +IPSec
- ★
IPv6も、組織内などではあまり意識して使われていません。しかし、Windows、iOS、Androidが標準的にIPv6を利用する状態でリリースされるようになり、一般の家庭や携帯電話のネットワークでは、私たちが知らないうちにIPv6が広く普及しています。そのため、これから権威DNSサーバを構築する場合には、IPv6への対応は必ず必要です。
DNSサーバの性能
インターネットサービスなどを提供する組織では、DNSサーバの性能にも配慮する必要があります。権威DNSサーバが、一台で扱える問い合わせの数は、DNSサーバのソフトウェアによってかなり違いがあります。特に、登録するDNSレコードが多い場合には、高速にレコードを検索できなければなりません。そのような場合には、高速に動作するDNSサーバを選択する必要があります。
DNSサーバの冗長性
権威DNSサーバが停止してしまうと、メールやWEBなどのすべてのサービスが利用できなくなってしまいます。また、キャッシュDNSサーバが停止してしまうと、すべてのネットワーク機器が動作しなくなります。そのため、DNSサーバの冗長性は、かならず考慮しておく必要があります。
権威DNSサーバでは、登録した情報を共有する必要があります。そのため、情報の登録管理を行えるマスターサーバと、複製した情報を元に動作するスレーブサーバを用意することが一般的でした。しかし、最近では、技術が進歩して、マスターサーバを複数配置することもできるようになりました。また、マスターサーバに管理性の高いDNSサーバを採用し、スレーブサーバに高速なDNSサーバを採用する構成も利用されるようになってきました。
DNSサーバの管理性
たくさんのドメインを管理していたり、複数の管理者でDNSサーバを管理する場合には、DNSサーバの管理性によって、運用コストが大きく変わってきます。情報をファイルで管理するDNSサーバでは、専門的な知識を持った管理者でなければ管理ができません。一方、WEB GUIで管理できるDNSサーバでは、ドメインごとに管理者を分けたり、管理できる権限を制限する機能をもっていたりして、非常に効率良く管理を行うことができます。
また、今後、IPv6やDNSSECの機能を利用していく場合には、管理者の行うべき操作が非常に煩雑になる可能性があります。そのため、管理GUIを持ったDNSサーバを選択することをお勧めします。
DNSサーバのサポート
DNSサーバでは、多くの脆弱性が報告されています。そのため、セキュリティの問題が発生した時に、確実にアップデートが入手できるソフトウェアを選択するべきです。また、これまでに利用したことがないソフトウェアを選択する場合には、利用方法についての問い合わせ先が確保されていると安心です。
OSSのDNSサーバ比較
権威DNSサーバ
BIND
ISCが提供しているDNSサーバで、古くから使われているソフトウェアです。
長所
- 権威DNSサーバとキャッシュDNSサーバの両方の機能を利用することができます。
- Dynamic DNS、view、DNSSEC、IPv6の対応などのほぼすべての機能が揃っています。
- 多くのLinuxディストリビューションで標準的に採用されていて、入手が容易です。
- Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
- サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
- 歴史が古く、インターネット上に多くの情報が載っています。
短所
- 非常に脆弱性が多く、セキュリティアップデートが大変です。
- 設計が古いため、キャッシュDNSと権威DNSの機能が分離されておらず、セキュリティ的に脆弱です。
- ファイルやコマンドで管理を行う必要があります。
- DNSSECは利用できますが、管理はかなり煩雑です。
- ここで紹介するDNSサーバの中では、最も性能が劣ります。
PowerDNS
PowerDNSとは、オランダのPowerDNS.COM BVが開発を行った、オープンソースソフトウェアのDNSサーバです。以前は製品だったDNSサーバをオープンソース化したもので、長い実績のあるDNSサーバです。
長所
- セキュリティの問題が少なく、使いやすいDNSサーバです。
- GUIから管理でき、簡単に管理が行えます。
- GUIは、用途に応じて、Poweradmin、phpIPAMなど複数のソフトウェアから選択できます。
- ドメイン毎に管理者を変えることもできます。
- Dynamic DNS、DNSSEC、IPv6に対応しています。
- DNSSECの利用が最も簡単に行えるDNSサーバです。
- dnsdistと組み合わせると、viewと同様の機能が実現できます。
- dnsdistと組み合わせると、キャッシュDNSサーバと権威DNSサーバを同居することができます。
- デージーネットが商用サポートを提供していて、アップデートやQ&Aのサービスを受けられます。
- BINDに比べて、高速に動作します(NSDよりは若干劣ります)。
- BINDの設定ファイルをそのまま利用したり、変換して利用することが出来ます。
短所
- 長所を生かすにはRDBやWebサーバとの連携が必要で、システム構成がやや複雑です。
NSD
NSDとは、"Name Server Daemon"の略で、NLnet LabsとPIPE NCCが共同で開発を行い、保守を行っている権威DNSサーバのオープンソースソフトウェアです。ルートDNSなどでも採用されていて、実績のあるDNSサーバです。
長所
- ここで紹介しているDNSサーバの中では、最も高速に動作します。
- 設定ファイルは、とてもシンプルで、使いやすいものです。
- unboundと同じ開発元であるため、unboundとは設定方法が似ています。
短所
- コマンドラインから管理を行う必要があります。
- ダイナミックDNS、viewを利用することができません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。
KnotDNS
KnotDNSは、CZ NIC社が開発した権威DNSサーバのオープンソースソフトウェアです。マルチCPU環境に強く、CPUを増やすことで性能が向上します。
長所
- NSDとほぼ同等の性能を発揮する高速なDNSサーバです。
- CPUを増やすことでさらに性能が向上します。
- Dynamic DNSをサポートしています。
- 設定ファイルは、とてもシンプルで、使いやすいものです。
短所
- コマンドラインから管理を行う必要があります。
- viewを利用することができません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。
キャッシュDNSサーバ
bind
ISCが提供しているDNSサーバで、キャッシュDNSサーバとしても利用することができます。
長所
- 権威DNSサーバとキャッシュDNSサーバの両方の機能を利用することができます。
- 多くのディストリビューションで採用されていて、入手が容易です。
- Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
- サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
- 歴史が古く、インターネット上に多くの情報が載っています。
- DNSのクエリログを取得する機能があります。
- DNSSECによる情報の検査機能を備えています。
短所
- 非常に脆弱性が多く、セキュリティアップデートが大変です。
- 設計が古いため、キャッシュDNSと権威DNSの機能が分離されておらず、セキュリティ的に脆弱です。
- ファイルやコマンドで管理を行う必要があります。
- ここで紹介するキャッシュDNSサーバの中では、最も性能が劣ります。
unbound
NSDと同じコミュニティが開発しているキャッシュDNSサーバです。
長所
- BINDよりも高速に動作します。
- 開発元から、性能のチューニング方法等も公開されています。
- CPUを増やすことで、性能が向上します。
- 様々な攻撃の対策機能を備えています。
- セキュリティの問題が少なく、安心して利用することができます。
- 多くのディストリビューションで採用されていて、入手が容易です。
- Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
- サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
- DNSのクエリログを取得する機能があります。
- DNSSECによる情報の検査機能を備えています。
短所
- 攻撃対策を行う場合には、最新版をコンパイルして利用する必要があります。
- コンパイルして利用した場合には、アップデートが大変です。また、問い合わせなどもできません。
Recursor
PowerDNSと同じコミュニティが開発しているキャッシュDNSサーバです。
長所
- BINDよりも高速に動作します。
- いくつかの攻撃の対策機能を備えています。
- セキュリティの問題が少なく、安心して利用することができます。
- DNSSECによる情報の検査機能を備えています。
短所
- DNSのクエリログを取得する機能がありません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。
DJBDNS
qmailの作者が開発したDNSサーバです。開発が古く、DNSSECにも対応していません。近年のDNSパケット長の増加に対する対策が取られていないため、利用はお勧めしません。
長所
- BINDよりも高速に動作します。
- 非常にシンプルな設計で、設定も容易です。
短所
- 開発が古く、更新がされていません。
- DNSSECによる情報の検査機能を備えていません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。