2007年11月13日火曜日

もういちど見直したい DNS/DHCP

もういちど見直したい DNS/DHCP

2ページ目の設定やってないとこ多いと思う。

引用 (しすぎ?)
再帰的名前解決の制限

 フォワーダー(キャッシュサーバ)を構築する際に、許可をする再帰的名前解決の設定上の問題となります。LAN内部にフォワーダーを構築する場合は、この再帰的名前解決が有効になっているはずです。実際の設定は、/etc/named.confに以下の設定が書かれていると思います。
recursion yes;

 LAN 内部のサーバであれば、これだけの設定でもさほど問題が発生することはありません。なぜならLANに接続できるのは許可されているクライアントと考えることができるからです。許可されていないクライアントが接続できる場合は、別のセキュリティ上の問題を解決する必要があります。

 ここで問題とするのは、外部のプライマリをフォワーダーと兼用している場合になります。上記の設定がされていれば、名前解決については問題なく動作していることと思います。ですが、これだけでは再帰的名前解決を許可するクライアントの制限がされていないため、外部のクライアントからの要求も処理してしまいます。

 その場合、DDoSの踏み台になる可能性があります。直接サーバに何かをするというわけではありませんが、DNSサーバを踏み台として特定のサーバへのDDoSの加担をすることとなってしまいます。つまり、知らないうちに加害者になってしまうのです。

 再帰的名前解決を許可するサーバでは、上記設定と同時に以下の設定により、クライアントの制限をする必要があります。
allow-recursion { IP-Address; };

 この問題については、2006年にJPCERT/CCより勧告が出ておりますので、目にした人も多いと思います。


その1
その2
その3
その4
その5

0 件のコメント:

コメントを投稿