構築事例:bindによるDNSSEC対応の権威DNSサーバ
権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。
- お客様が悩まれていた課題
- キャッシュポイズニング攻撃で顧客が被害に合わないか心配
- 権威DNSサーバをDNSSEC対応にしたいがやり方が分からない
- +導入企業プロフィール
- ★
導入企業業種
情報・通信(愛知県名古屋市)
ユーザー規模
50名
利用OS
CentOS 5
導入月
2012年1月
デージーネットが提案した「bindによるDNSSEC対応の権威DNSサーバ」
鍵の生成やレジストラへの登録もデージーネットが担当
権威DNSサーバをDNSSEC対応にしたいということで問い合わせを頂きました。BINDで構築する案でご提案しました。
検証を行い、必要な作業を洗い出し
構築にあたっては、まず必要な作業を洗い出ししました。デージーネットでも、これが初めてのDNSSEC対応の機会でした。そのため、デージーネット内で検証環境を作成し、技術的な裏付けをとりました。最新のBINDを使ったため、インターネット上にある各種情報とは、使い方が違っていました。事前に検証を行うことで、リスクを洗い出し、作業内容を明確にすることができました。
鍵の生成から担当
最初に、ZSK(Zone Signing Key)鍵とKSK(Key Signing Key)鍵を生成しました。 ZSKの公開鍵とKSKの公開鍵をゾーンファイルに登録し、ZSK鍵でゾーンファイルを署名しました。
レジストラの選定と交渉もデージーネットが対応
上位のDNSにDSレコードを登録してもらう必要があります。しかし、お客様が普段使っていたレジストラは、残念ながらDNSSECに対応するサービスを行っていませんでした。そのため、対応可能なレジストラの選定からスタートしました。この時はレジストラ側も不慣れだったため、レジストラと連絡を取り合いながらの対応となりました。
設定後の動作確認
最後にBINDにDNSSECを有効にする設定を行いました。設定後の動作確認の方法も、手探りだったのでレジストラと連絡を取り合いながら行いました。
導入後の結果
事前に検証を行っていたことで、実際の導入はスムーズに行えました。ただ、鍵の管理やDNSの情報を更新した後の手順などが、以前よりも煩雑になりました。そのため、運用マニュアルなどを作りました。最終的には、お客様で作業ができるようにしました。
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
bindによるDNSSEC対応の権威DNSサーバの関連ページ
- BIND v.s. PowerDNS サーバの管理性
- BIND v.s. PowerDNS 特徴・機能・性能の比較
- DNSサーバのおすすめOSS比較9選!選定ポイントも解説
- BIND〜DNSサーバの特徴と弱点〜