構築事例:bindによるDNSSEC対応の権威DNSサーバ
権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。
- お客様が悩まれていた課題
- キャッシュポイズニング攻撃で顧客が被害に合わないか心配
- 権威DNSサーバをDNSSEC対応にしたいがやり方が分からない
- +導入企業プロフィール
- ★
導入企業業種
情報・通信(愛知県名古屋市)
都道府県
ユーザー規模
50名
利用OS
CentOS 5
導入月
2012年1月
デージーネットが提案した「bindによるDNSSEC対応の権威DNSサーバ」
鍵の生成やレジストラへの登録もデージーネットが担当
権威DNSサーバをDNSSEC対応にしたいということで問い合わせを頂きました。BINDで構築する案でご提案しました。
検証を行い、必要な作業を洗い出し
構築にあたっては、まず必要な作業を洗い出ししました。デージーネットでも、これが初めてのDNSSEC対応の機会でした。そのため、デージーネット内で検証環境を作成し、技術的な裏付けをとりました。最新のBINDを使ったため、インターネット上にある各種情報とは、使い方が違っていました。事前に検証を行うことで、リスクを洗い出し、作業内容を明確にすることができました。
鍵の生成から担当
最初に、ZSK(Zone Signing Key)鍵とKSK(Key Signing Key)鍵を生成しました。 ZSKの公開鍵とKSKの公開鍵をゾーンファイルに登録し、ZSK鍵でゾーンファイルを署名しました。
レジストラの選定と交渉もデージーネットが対応
上位のDNSにDSレコードを登録してもらう必要があります。しかし、お客様が普段使っていたレジストラは、残念ながらDNSSECに対応するサービスを行っていませんでした。そのため、対応可能なレジストラの選定からスタートしました。この時はレジストラ側も不慣れだったため、レジストラと連絡を取り合いながらの対応となりました。
設定後の動作確認
最後にBINDにDNSSECを有効にする設定を行いました。設定後の動作確認の方法も、手探りだったのでレジストラと連絡を取り合いながら行いました。
導入後の結果
【Webセミナー】OSSのRoundcubeで実現できる!セキュアなWebメール運用・構築セミナー
| 日程: | 11月11日(火)Webセミナー「BigBlueButton」を使用します。 |
| 内容: | 今回は、プラグインで安心安全なWebメールシステムを作成できるRoundcubeを紹介します。 |
| ご興味のあるかたはぜひご参加ください。 | |
bindによるDNSSEC対応の権威DNSサーバの関連ページ
- BIND v.s. PowerDNS サーバの管理性
- BIND v.s. PowerDNS 特徴・機能・性能の比較
- DNSサーバのおすすめOSS比較9選!選定ポイントも解説
- BIND〜DNSサーバの特徴と弱点〜
DNSサーバ構築の事例一覧
デージーネットの構築サービスの流れ
デージーネットの構築サービス(Open Smart Design)では、OSSを安心して使っていただくために、独自の導入ステップを採用しています。詳しい情報は以下のリンクからご覧ください。
様々な事例を集めたモデルプラン(費用例付き)をお送りしています。
代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。
各種費用についてのお問い合わせ
コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。
