DNSがよくわかる教科書 ch7 名前解決サービスを提供する -フルリゾルバーの設定-
フルリゾルバーの重要性
- さまざまなプログラムが名前解決に依存している
- Webサーバーへの接続
- メールの配送
- etc.
- それらの可用性のために必要
Column: ヒントファイルとプライミング
- ヒントファイル
- https://www.internic.net/domain/named.root で配布されている
- 初回の名前解決を始める前に読み込む
- ルートゾーンのNSリソースレコード
- ルートサーバーのA/AAAAリソースレコード
- プライミング
- ルートサーバーのIPアドレスが変更された場合、ヒントファイルの更新を忘れずに行うこと
- 半年くらいの猶予はある
フルリゾルバーの設置と運用
フルリゾルバーの設置
- グローバルIPアドレスを割り当てるのが一般的
- インターネット上の権威サーバー群に問い合わせを送るため
- ISPやデータセンターサービス事業者は、顧客用ネットワーク内に設置する
- スタブリゾルバー(利用者)からの通信時間を短縮するため
Column: DNSのフォワーダー
フルリゾルバーの可用性
- 復数動かすのが主流
- スタブリゾルバー側で複数設定できる
フルリゾルバーにおけるアクセス制限
フルリゾルバーと権威サーバーのサービス対象の違い
- 組織内のフルリゾルバーは組織内のネットワークにのみ公開されていればよい
- cf. 権威サーバーはインターネット上で公開されている必要がある
フルリゾルバーにおけるアクセス制限
- DNSリフレクター攻撃
オープンリゾルバーの危険性
- インターネット上の誰でも使えるフルリゾルバー
- RFC 5358にて議論されている
- 意図せずオープンになってしまっているのは深刻な危険性がある
- DNSサーバーとしてBINDがほぼ唯一の選択肢であったことなどが原因
Column: 欠陥を持つホームルーター
- ホームルーターの多くがDNSフォワーダー機能を兼ね備えている
- ルーターはLANとWANをまたがっている
- 外部ネットワークからの名前解決要求を受け付けてしまう脆弱性を持つものがある
- 意図せぬオープンリゾルバーと同じ危険性をはらむ
パブリックDNSサービス
- 意図的に公開されているDNSサービス
- Google Public DNS
- Quad9
- 1.1.1.1
- さまざまなセキュリティの対策が講じられている