システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築 > bindによるDNSSEC対応の権威DNSサーバ構築

構築事例:bindによるDNSSEC対応の権威DNSサーバ構築

Open Smart Design

権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。

導入企業業種
IT企業(愛知県名古屋市)
ユーザー規模
50名
利用OS
CentOS 5
導入月
2012年1月
お客様が悩まれていた課題
キャッシュポイズニング攻撃で顧客が被害に合わないか心配
権威DNSサーバをDNSSEC対応にしたいがやり方が分からない

デージーネットが提案した「bindによるDNSSEC対応の権威DNSサーバ構築」

解決ポイント

鍵の生成やレジストラへの登録もデージーネットが担当

権威DNSサーバをDNSSEC対応にしたいということで問い合わせを頂きました。BINDで構築する案でご提案しました。

検証を行い、必要な作業を洗い出し

構築にあたっては、まず必要な作業を洗い出ししました。デージーネットでも、これが初めてのDNSSEC対応の機会でした。そのため、デージーネット内で検証環境を作成し、技術的な裏付けをとりました。最新のBINDを使ったため、インターネット上にある各種情報とは、使い方が違っていました。事前に検証を行うことで、リスクを洗い出し、作業内容を明確にすることができました。

鍵の生成から担当

最初に、ZSK(Zone Signing Key)鍵とKSK(Key Signing Key)鍵を生成しました。 ZSKの公開鍵とKSKの公開鍵をゾーンファイルに登録し、ZSK鍵でゾーンファイルを署名しました。

レジストラの選定と交渉もデージーネットが対応

上位のDNSにDSレコードを登録してもらう必要があります。しかし、お客様が普段使っていたレジストラは、残念ながらDNSSECに対応するサービスを行っていませんでした。そのため、対応可能なレジストラの選定からスタートしました。この時はレジストラ側も不慣れだったため、レジストラと連絡を取り合いながらの対応となりました。

設定後の動作確認

最後にBINDにDNSSECを有効にする設定を行いました。設定後の動作確認の方法も、手探りだったのでレジストラと連絡を取り合いながら行いました。

導入後の結果

事前に検証を行っていたことで、実際の導入はスムーズに行えました。ただ、鍵の管理やDNSの情報を更新した後の手順などが、以前よりも煩雑になりました。そのため、運用マニュアルなどを作りました。最終的には、お客様で作業ができるようにしました。



DNSサーバ構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

bindによるDNSSEC対応の権威DNSサーバ構築の先頭へ