システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築

DNSサーバ構築

Open Smart Design

DNSは、インターネットでも比較的古くから使われているプロトコルで、ホスト名とIPアドレスを調べる役割を担っています。インターネットを利用するためには、最も基本的でなくてはならないものです。古くからあるサービスですが、ここ数年で利用形態や方法が大きく変わっています。様々な攻撃が行われ、それに対応を迫られているためです。デージーネットでは、多くのインターネットサービスプロバイダとともに、こうした攻撃の防御にも関わってきました。そのような経験を元に、最新のDNSセキュリティ対策を提案しています。

DNSサーバへの攻撃の危険性

ファイアウォール、IPSなど様々なインターネットセキュリティを導入している企業でも、DNSのセキュリティに対する関心はあまり高くありません。しかし、セキュリティ上の問題が発生した場合には極めて深刻な影響が出ます。

例えば、自組織のIPアドレス情報を公開しているDNSサーバが攻撃を受け、情報が改竄された場合を考えてみましょう。自社のWebサービスを利用しようとした顧客が、すべて別のサーバに誘導されてしまう可能性があります。すると、顧客の重要な個人情報が漏えいしてしまうかもしれません。あるいは、意図的に間違った情報を流されることで、組織の信頼を失墜させるような事態が発生する可能性があります。また、自組織のメールサーバに届けられるメールが、すべて第三者に送られるようになる可能性があります。

しかし、注意深く細工をされると、システム管理者はこうしたことをまったく検知できないかもしれません。どんどん情報が漏洩していることにまったく気づかないということもあり得るのです。これは、他組織の情報が改竄された場合も同様です。その組織との間で交換されるメールの内容がすべて漏洩したり、自社の決済情報が漏れてしまう可能性があるのです。

DNSは、基本的なサービスです。そのため、攻撃を受けた場合の影響は測り知れないのです。

従来のDNSサーバ構成とその問題点

従来は、DNSサーバを配置する場合には、外部DNSサーバと内部DNSサーバを配置し、内部DNSサーバがDNSキャッシュサーバを兼ねるという構成が一般的でした。内部DNSサーバが不要な場合には、外部DNSサーバとキャッシュサーバを兼ねる構成も少なくありませんでした。いずれの場合でも、ホスト名とIPアドレスの情報を管理する権威DNSサーバと、DNS問い合わせを代行するDNSキャッシュサーバを、一つのサーバに配置していました。

しかし最近では、DNSキャッシュサーバと権威DNSサーバを同居させるのは危険であると考えられるようになりました。DNSサーバへの攻撃で、DNSキャッシュサーバに間違った答えを送り返す攻撃が見られるようになったためです。このとき、権威DNSサーバとDNSキャッシュサーバが同居していると、本来自分が管理しているはずの情報まで書き換えてしまう場合があるためです。

DNSサーバの旧構成図

また、DNSキャッシュサーバは、2台を配置して片方が止まっても大丈夫なようにするというのが一般的でした。

Windowsなどのクライアントでは、DNSキャッシュサーバを複数台設定できるため、この機能を利用すれば十分だと考えられていたのです。しかし、インターネットの利用頻度が上がるにつれて、この切り替えがシームレスに行われない場合があることが問題視されるようになりました。片方のサーバが停止した場合に、クライアントはリクエストに対する応答がないことを確認して、もう一つのサーバへリクエストを送ります。このタイムアウトは数秒のオーダーですが、通信量の多いネットワークでは数秒の処理の遅延が大きな負荷につながることがあるためです。

さらに、最近はDNSに関連するセキュリティの問題が急激に増えています。そのため、一つのDNSサーバソフトウェアだけでシステムを構成するのは危険だと考えられるようになってきました。

新たなDNSサーバ構成

こうした問題を考慮して、デージーネットでは次のようなDNSサーバのシステム構成を推奨しています。

 
  • 権威DNSサーバとキャッシュDNSサーバを分離する
  • キャッシュDNSサーバは複数台を配置し、ロードバランサ―で負荷分散を行う
  • DNSサーバソフトウェアは、複数のソフトウェアを配置する

DNSサーバの新構成図

ネットワークの規模が小さい場合には、DNSキャッシュサーバと内部権威DNSサーバを一つのサーバ上に配置する場合があります。しかし、この場合でもDNSキャッシュサーバと権威DNSサーバの機能を別々のソフトウェアで処理するように構成します。

DNSサーバのセキュリティを拡張 ∼DNSSECの導入∼

こうしたシステム構成上の問題点を解決しても、まだ完全ではありません。古いDNSプロトコルだけではセキュリティを担保することができないためです。そのため、DNSにはセキュリティの拡張が行われていて、現在のインターネットでは利用が一般化してきています。それがDNSSECです。

DNSSECでは、権威DNSサーバが扱うDNSデータには、サーバの署名が添付されます。DNSキャッシュサーバで署名を検証することで、正しいデータかどうかを検証できるようになっています。DNSSECは、ヨーロッパを中心に普及しています。米国でも普及率は24.9%に達しています。これは、自律的な普及率と言われる10.9%を大きく超え、本格的な普及期に入ってきています。

デージーネットでは、DNSSECの管理を簡単に行うことができるDNSサーバソフトウェアとしてPowerDNSを推奨し、商用サポートを提供しています。

DNSサーバへの攻撃を分析できる仕組みの導入

DNSに対する攻撃が多くなっていることから、DNSのログを取得し分析を行う仕組みを準備しておくことを推奨しています。デージーネットでは、DNSログの記録プロセスをDNSサーバから分離し、DNSサーバの負荷をできるだけ抑えた状態でログを取得する方法を提案しています。DNSのログは膨大な量になります。そのため、ビックデータの解析ソフトウェアであるElasticsearchを使って分析できる仕組みを提案しています。

DNSサーバの管理

ネットワークの規模がある程度大きくなると、いくつものドメインを少数のシステム管理者だけで管理することは現実的ではなくなります。そのため、ドメイン毎に管理者を置き、別々に管理できる仕組みが必要になっています。また、管理者が多くなると、テキストファイルでの管理には限界があります。そのため、WEB-UIなどを使って簡単に管理できる仕組みが必要です。

デージーネットでは、WebからDNSデータを管理するための仕組みとしてPoweradminを推奨し、PowerDNSとともにサポートを提供しています。

DNSサーバソフトウェア

DNSサーバソフトウェアとしてはBINDが非常に有名です。しかし、デージーネットでは次のようなDNSサーバソフトウェアを推奨しています。

  • 権威DNSサーバ:PowerDNS
  • DNSキャッシュサーバ:unbound

DNSサーバソフトウェアのアップデート

DNSサーバソフトウェア(特にBIND)は、アップデートが非常に多く行われます。そして、致命的な問題も多く、タイムリーにバージョンアップをしていく必要があります。デージーネットでは、構築したサーバに対してデージーネットが自発的にアップデートを行うアップデート適用サービスを提供しています。

BINDとPowerDNSの脆弱性比較(2008年~2016年6月)

PowerDNSとBINDの脆弱性比較

DNSサーバ関連情報

注目のDNSサーバ PowerDNS

PowerDNSは、管理ウェブインタフェースが利用できる便利なOSSのDNSサーバです。このページでは、PowerDNSの特徴、脆弱性の数、パフォーマンスについてご紹介します。


DNSサーバ構築 BIND v.s. PowerDNS

このページでは、PowerDNSと、現在広く利用されているBINDの比較第一弾をご紹介します。PowerDNSとBINDの特徴・機能を比較しました。また、デージーネットが行ったPowerDNSとBINDの性能比較ベンチマークの情報も記載しています。


PowerDNSサポート

デージーネットでは、PowerDNSの構築やシステム保守サポート、コンサルティングの実績を活用して、PowerDNSの商用サポートを行います。PowerDNSをより便利に、効率的に安心して利用するサポートを致します。


DNSサーバ構築事例

unboundによるDNSキャッシュサーバ事例

加入ユーザ向けのDNSキャッシュサーバをunboundを使って構築し、DNSセキュリティの向上を計りました。

PowerDNSによるDNSサーバ事例

BINDに替わる権威DNSサーバとして注目されているPowerDNSを使用して、DNSサーバのセキュリティとスピードの向上を図りました。また、PowerDNSの管理ツールであるPowerAdminと合わせて利用することで、管理性も向上することができました。

DNSキャッシュサーバの水責め攻撃対策事例

近年、日本国内のISPでDNSキャッシュサーバの障害が報告されています。DNS水責め攻撃とよばれる攻撃が行われたためです。そのため、各ISPでは対策に追われています。本事例は、デージーネットがDNSキャッシュサーバにDNSサーバへの水責め攻撃の対策を行ったものです。

マルチDNS環境の構築事例

BINDに脆弱性が多く発見され、DNSサーバのバージョンアップなどの対策が頻繁に必要になっています。マルチDNS環境は、複数のDNSサーバソフトウェアを使ってDNSサーバを構成することで、特定のソフトウェアの脆弱性によって外部から攻撃を受けてDNSサービスが停止することがないようにするのが目的です。本事例は、このようなマルチDNS環境を構築したものです。

児童ポルノブロッキング対応DNSキャッシュサーバ事例

児童ポルノブロッキングは、ICSAから公開されている児童ポルノ掲載アドレスリストを使って、有害サイトを閲覧できなくする仕組みです。本事例は、DNSキャッシュサーバが問い合わせを受けたときに、児童ポルノ掲載サイトへの問い合わせを別サイトに誘導する仕組みを構築しました。

PowerDNSによるDNSSEC対応の権威DNSサーバ構築事例

権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。

bindによるDNSSEC対応の権威DNSサーバ構築事例

権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。

ご検討用の資料として”unboundやPowerDNSを使用したDNSサーバのモデルプラン”をご用意しています

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

unboundやPowerDNSを使用したDNSサーバのモデルプラン

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。

unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

システム構築一覧

資料申し込みフォーム

入力項目は全て必須です。

<> <> <> <> <> <> <>
請求資料 <>
例:example@designet.co.jp(半角英数字でご記入ください)

個人情報の取り扱いについて

以下の文章は株式会社デージーネットが、このたびの資料申し込みに伴い取得するお客様の個人情報のお取扱いについてご説明するものです。
当社へお問い合わせくださる場合には、必ず本書面をお読み頂き、ご同意のうえ、お問い合わせいただきますようお願い致します。

1.個人情報の利用目的

当社は、資料申し込みフォームに記載された個人情報について、以下の目的のためにのみ利用します。

  1. お客様との連絡
  2. メールマガジンの配信

2.個人情報の第三者への提供

お客様の個人情報を、外部に提供することはありません。

3.情報提供の任意性

個人情報のご提供は、任意です。ただし、ご提供頂けなかった場合、必要な諸手続きを行うことできないことがございます。あらかじめご了承ください。

4.お客様の個人情報の保護対策

  1. 当社は保有する個人情報に厳重な安全対策を施します。
  2. 個人情報管理責任者を任命し、お客様の個人情報に対する保護の監督に努めます。
  3. 当社の従業員に対して個人情報保護に関する教育を定期的に行います。

5.個人情報の委託

お客様の個人情報を、データ処理などのために外部委託することはありません。

6.当社の個人情報管理責任者(「個人情報保護管理者」)

所属及び氏名:ソリューション開発部 丸吉 祐也
連絡先:052-709-7121

7.お問い合わせ、訂正・利用停止等

当社が保有するお客様の個人情報の開示、その内容の訂正もしくは削除については、下記お問い合わせ窓口までご連絡ください。

【お問い合わせ・相談窓口】
担当 管理部まで

苦情処理について

認定個人情報保護団体の対象事業者における、個人情報の取扱いに関する苦情処理の申出先は以下のとおりです。

一般財団法人日本情報経済社会推進協会 個人情報保護苦情相談室

<住所>
〒106-0032 東京都港区六本木1-9-9 六本木ファーストビル12F

<電話番号>
03-5860-7565
0120-700-779

<お申出電話の録音について>
お電話での苦情等のお申出の際に、申出内容を正確に把握し対応をさせて頂くため、通話を録音させて頂くことがございます。録音させて頂いた内容については、苦情等の解決のために利用いたします。

プライバシーマーク

DNSサーバ構築の先頭へ