システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築

DNSサーバ構築

Open Smart Design

DNSは、インターネットでも比較的古くから使われているプロトコルで、ホスト名とIPアドレスを調べる役割を担っています。インターネットを利用するためには、最も基本的でなくてはならないものです。古くからあるサービスですが、ここ数年で利用形態や方法が大きく変わっています。様々な攻撃が行われ、それに対応を迫られているためです。デージーネットでは、多くのインターネットサービスプロバイダとともに、こうした攻撃の防御にも関わってきました。そのような経験を元に、最新のDNSセキュリティ対策を提案しています。

DNS攻撃の危険性

ファイアウォール、IPSなど様々なインターネットセキュリティを導入している企業でも、DNSのセキュリティに対する関心はあまり高くありません。しかし、セキュリティ上の問題が発生した場合には極めて深刻な影響が出ます。

例えば、自組織のIPアドレス情報を公開しているDNSサーバが攻撃を受け、情報が改竄された場合を考えてみましょう。自社のWebサービスを利用しようとした顧客が、すべて別のサーバに誘導されてしまう可能性があります。すると、顧客の重要な個人情報が漏えいしてしまうかもしれません。あるいは、意図的に間違った情報を流されることで、組織の信頼を失墜させるような事態が発生する可能性があります。また、自組織のメールサーバに届けられるメールが、すべて第三者に送られるようになる可能性があります。

しかし、注意深く細工をされると、システム管理者はこうしたことをまったく検知できないかもしれません。どんどん情報が漏洩していることにまったく気づかないということもあり得るのです。これは、他組織の情報が改竄された場合も同様です。その組織との間で交換されるメールの内容がすべて漏洩したり、自社の決済情報が漏れてしまう可能性があるのです。

DNSは、基本的なサービスです。そのため、攻撃を受けた場合の影響は測り知れないのです。

従来のシステム構成とその問題点

従来は、DNSサーバを配置する場合には、外部DNSサーバと内部DNSサーバを配置し、内部DNSサーバがDNSキャッシュサーバを兼ねるという構成が一般的でした。内部DNSサーバが不要な場合には、外部DNSサーバとキャッシュサーバを兼ねる構成も少なくありませんでした。いずれの場合でも、ホスト名とIPアドレスの情報を管理する権威DNSサーバと、DNS問い合わせを代行するDNSキャッシュサーバを、一つのサーバに配置していました。

しかし最近では、DNSキャッシュサーバと権威DNSサーバを同居させるのは危険であると考えられるようになりました。DNSサーバへの攻撃で、DNSキャッシュサーバに間違った答えを送り返す攻撃が見られるようになったためです。このとき、権威DNSサーバとDNSキャッシュサーバが同居していると、本来自分が管理しているはずの情報まで書き換えてしまう場合があるためです。

DNSサーバの旧構成図

また、DNSキャッシュサーバは、2台を配置して片方が止まっても大丈夫なようにするというのが一般的でした。

Windowsなどのクライアントでは、DNSキャッシュサーバを複数台設定できるため、この機能を利用すれば十分だと考えられていたのです。しかし、インターネットの利用頻度が上がるにつれて、この切り替えがシームレスに行われない場合があることが問題視されるようになりました。片方のサーバが停止した場合に、クライアントはリクエストに対する応答がないことを確認して、もう一つのサーバへリクエストを送ります。このタイムアウトは数秒のオーダーですが、通信量の多いネットワークでは数秒の処理の遅延が大きな負荷につながることがあるためです。

さらに、最近はDNSに関連するセキュリティの問題が急激に増えています。そのため、一つのDNSサーバソフトウェアだけでシステムを構成するのは危険だと考えられるようになってきました。

新たなシステム構成

こうした問題を考慮して、デージーネットでは次のようなシステム構成を推奨しています。

 
  • 権威DNSサーバとキャッシュDNSサーバを分離する
  • キャッシュDNSサーバは複数台を配置し、ロードバランサ―で負荷分散を行う
  • DNSサーバソフトウェアは、複数のソフトウェアを配置する

DNSサーバの新構成図

ネットワークの規模が小さい場合には、DNSキャッシュサーバと内部権威DNSサーバを一つのサーバ上に配置する場合があります。しかし、この場合でもDNSキャッシュサーバと権威DNSサーバの機能を別々のソフトウェアで処理するように構成します。

DNSSECの導入

こうしたシステム構成上の問題点を解決しても、まだ完全ではありません。古いDNSプロトコルだけではセキュリティを担保することができないためです。そのため、DNSにはセキュリティの拡張が行われていて、現在のインターネットでは利用が一般化してきています。それがDNSSECです。

DNSSECでは、権威DNSサーバが扱うDNSデータには、サーバの署名が添付されます。DNSキャッシュサーバで署名を検証することで、正しいデータかどうかを検証できるようになっています。DNSSECは、ヨーロッパを中心に普及しています。米国でも普及率は24.9%に達しています。これは、自律的な普及率と言われる10.9%を大きく超え、本格的な普及期に入ってきています。

デージーネットでは、DNSSECの管理を簡単に行うことができるDNSサーバソフトウェアとしてPowerDNSを推奨し、商用サポートを提供しています。

攻撃を分析できる仕組みの導入

DNSに対する攻撃が多くなっていることから、DNSのログを取得し分析を行う仕組みを準備しておくことを推奨しています。デージーネットでは、DNSログの記録プロセスをDNSサーバから分離し、DNSサーバの負荷をできるだけ抑えた状態でログを取得する方法を提案しています。DNSのログは膨大な量になります。そのため、ビックデータの解析ソフトウェアであるElasticsearchを使って分析できる仕組みを提案しています。

ドメイン管理者の分離

ネットワークの規模がある程度大きくなると、いくつものドメインを少数のシステム管理者だけで管理することは現実的ではなくなります。そのため、ドメイン毎に管理者を置き、別々に管理できる仕組みが必要になっています。また、管理者が多くなると、テキストファイルでの管理には限界があります。そのため、WEB-UIなどを使って簡単に管理できる仕組みが必要です。

デージーネットでは、WebからDNSデータを管理するための仕組みとしてPoweradminを推奨し、PowerDNSとともにサポートを提供しています。

ソフトウェアのアップデート

DNSのソフトウェア(特にBIND)は、アップデートが非常に多く行われます。そして、致命的な問題も多く、タイムリーにバージョンアップをしていく必要があります。デージーネットでは、構築したサーバに対してデージーネットが自発的にアップデートを行うアップデート適用サービスを提供しています。

DNSサーバのソフトウェア

DNSサーバのソフトウェアとしてはBINDが非常に有名です。しかし、デージーネットでは次のようなDNSソフトウェアを推奨しています。

  • 権威DNSサーバ:PowerDNS
  • DNSキャッシュサーバ: unbound

関連情報


DNSサーバ構築事例

unboundによるDNSキャッシュサーバ事例

加入ユーザ向けのDNSキャッシュサーバをunboundを使って構築し、DNSセキュリティの向上を計りました。

PowerDNSによるDNSサーバ事例

BINDに替わる権威DNSサーバとして注目されているPowerDNSを使用して、DNSサーバのセキュリティとスピードの向上を図りました。また、PowerDNSの管理ツールであるPowerAdminと合わせて利用することで、管理性も向上することができました。

DNSキャッシュサーバの水責め攻撃対策事例

2014年の6月から7月にかけて、日本国内のISPで相次いでDNSキャッシュサーバの障害が発生しました。DNS水責め攻撃とよばれる攻撃が行われたためです。攻撃はその後も続き、ISPでは対策に追われました。本事例は、デージーネットがDNSキャッシュサーバにDNS水責め攻撃の対策を行ったものです。

マルチDNS環境の構築事例

BINDに脆弱性が多く発見され、DNSサーバのバージョンアップなどの対策が頻繁に必要になっています。マルチDNS環境は、複数のDNSサーバソフトウェアを使ってDNSサーバを構成することで、特定のソフトウェアの脆弱性によって外部から攻撃を受けてDNSサービスが停止することがないようにするのが目的です。本事例は、このようなマルチDNS環境を構築したものです。

児童ポルノブロッキング対応DNSキャッシュサーバ事例

児童ポルノブロッキングは、ICSAから公開されている児童ポルノ掲載アドレスリストを使って、有害サイトを閲覧できなくする仕組みです。本事例は、DNSキャッシュサーバが問い合わせを受けたときに、児童ポルノ掲載サイトへの問い合わせを別サイトに誘導する仕組みを構築しました。

PowerDNSによるDNSSEC対応の権威DNSサーバ構築事例

権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。

bindによるDNSSEC対応の権威DNSサーバ構築事例

権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。

ご検討用の資料として”unboundやPowerDNSを使用したDNSサーバのモデルプラン”をご用意しています

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

unboundやPowerDNSを使用したDNSサーバのモデルプラン

システム構築一覧

このページの先頭へ