システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築 > PowerDNSによるDNSSEC対応の権威DNSサーバ構築

構築事例:PowerDNSによるDNSSEC対応の権威DNSサーバ構築

Open Smart Design

権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSとPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。

導入企業業種
IT企業(愛知県名古屋市)
ユーザー規模
50名
利用OS
CentOS 5
導入月
2015年2月
お客様が悩まれていた課題
BINDの管理が煩雑で、特定の管理者にしかできない
DNSSECの鍵や署名の管理などが非常に面倒である

デージーネットが提案した「PowerDNSによるDNSSEC対応の権威DNSサーバ構築」

解決ポイント

PowerDNSとPowerAdminを使う構成に移行

BINDで運用している権威DNSサーバの運用を改善したいということでご連絡を頂きました。特にDNSSECの鍵の管理やゾーン更新時の作業が煩雑だというとことでした。そのため、デージーネットから権威DNSサーバをPowerDNSに変更し、管理にはPowerAdminを利用する構成をご提案しました。

PowerDNSのゾーン管理画面例

PowerDNSのDNSSEC対応

BINDでは、鍵の作成からゾーンへの反映まで、DNSSEC対応を行うためには多くの作業が必要でした。しかし、PowerDNSでは、ゾーンに対してDNSSECを有効にするという1つの操作で、署名に使う鍵の作成から有効期限の設定まで、必要な設定を一度に行ってくれるため簡単に導入ができます。

BINDからの移行

PowerDNSには、BINDからの移行をスムーズに行うためのツールが付属しています。このツールを使うことで、非常にスムーズに移行を行うことができました。
ただ、PowerDNSの場合、DNSKEYレコードは、特別な扱いとなるレコードのようで、BINDのゾーンファイルからDNSKEYレコードを取り込むと警告が出ます。そのため、あらかじめBINDのゾーンファイルからDNSKEYレコードを削除して取り込みを行いました。

導入後の結果

BINDの場合、署名の有効期限を自身で管理する必要がありました。そのため、有効期限が切れると、DNSSECの検証でエラーとなってしまいます。したがって、定期的に署名をし直して、有効期限を更新をする仕組みが必要でした。しかし、PowerDNSを導入することで、こうした鍵の管理もPowerDNSで行うことができるようになりました。
また、DNSレコードを変更した場合の作業は、劇的に単純になりました。PowerDNSでは、DNSSECをほとんど意識せずに設定を行うことができるようになったのです。




利用OSS

PowerDNSとDNSSEC

PowerDNSとは、オランダのPowerDNS.COM BVが開発を行った、オープンソースソフトウェアのDNSサーバです。DNSSECの導入は、ヨーロッパ諸国では非常に進んでいます。例えば、DNSの名前解決の検索の中で、DNSSECの検証が行われている割合は、デンマークでは約57%、スウェーデンでは約79%、ノルウェーでも約74%と非常に高く普及しています。
PowerDNSは、こうしたDNSSEC普及の地であるヨーロッパ諸国で非常によく使われているDNSサーバなのです。PowerDNSの特徴は、次の通りです。

  • PowerAdminを使ってWEB GUIから管理できる
  • バックエンドにデータベースを使うことができ、柔軟性に富んでいる
  • ゾーンを追加/削除するのに再起動が不要である
  • DNSSECに対応し、管理が非常に簡単にできる
  • セキュリティの問題が非常に少ない

PowerDNSでは、セキュリティの問題が発見されることは非常に稀です。例えば、BINDは2008年〜2016年6月までで47件のセキュリティアドバイザリが報告されています。これに対して、PowerDNSのAuthoritive Server(権威サーバ)では、同じ期間に3件のセキュリティアドバイザリーしか報告されていません。それだけ、セキュリティの問題が少ないのです。

なお、PowerDNSにはRecursorと呼ばれるキャッシュDNSサーバも付属しています。しかしながら、デージーネットではキャッシュDNSサーバにはunboundを推奨しています。

デージーネットでは、ISPや一般企業へPowerDNSを導入しています。もちろん、自社のドメインを管理するためにPowerDNSを使っています。当然ですが、DNSSECにも対応しています。

関連リンク

DNSサーバ構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

PowerDNSによるDNSSEC対応の権威DNSサーバ構築の先頭へ