放送と通信と日常と
by tkt33
S M T W T F S
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30
DNSサーバのセキュリティチェック
 3月の終わりにJPCERTから、DNSの再帰検索の仕組みを用いたDDoS攻撃が複数発生している、という警告が発表された。その後の状況はどうなってるのかよくわからないけど、いくつか調べてみると対策をとってないサーバも結構あるみたいだ。




 意外と簡単にサービスイン出来るDNSサーバなんだけど、構築する上でいくつか気をつけるべきポイントがある。とりあえずこれだけは、ってのが上記の「信頼されるホスト外からの再帰検索の禁止」と「bindのバージョンを答えない」だ。

 bindの場合はnamed.confで簡単に設定できるので、DNS管理者は対策を。

---
信頼されるホスト以外からの再帰的な問い合わせを禁止する
 外向きと内向きのDNSを併用している場合は、viewステートメントを使用して管理していることも多い。設定自体はrecursionというオプションを使うことで出来るので、内向きにはyesを、外向きにはnoを設定する。

view "internal" {
 match-clients{
  ...
  192.168.100.0/24;
 };
 recursion yes;
 ...
};

view "external" {
 ...
 recursion no;
 ...
};


 こんな感じ。optionsステートメントで設定する場合も同様だ。allow-recursion のオプションで許可するホストの設定をすることも出来る。bindのバージョンに対するリクエストの設定もoptionsで行う。

options {
 allow-recursion{
 hoge-list;
 192.168.100.0/24;
 };
 ...
 version "unknown";
 ...
};


 となる。踏み台になるのを避ける上でも、再帰検索の設定は必ずしておいて欲しいところだ。
[PR]
by tkt33 | 2006-07-09 21:36
<< 面白いプロモ達 ミサイル騒ぎに見る日本とアメリ... >>
忍者ツールズ RSS feed meter for http://takat.exblog.jp