• 締切済み

DNSの運用について

はじめまして、某通信会社に勤めている者です。 DNSの運用についてちょっとお伺いしたいのですが、私の担当しているお客様でセキュリティーを高めるため夜間だけDNSの電源を切るといった運用をしたいという法人さんがおられます。私としてはそういった事例は聞いたことが無いのですが、ご存知の方おられますでしょうか?また解決策としては、ルーターでのパケットフィルタリング及びNATの方がベターだと思うのですが如何でしょうか。宜しくお願い致します。

みんなの回答

  • ita3
  • ベストアンサー率67% (25/37)
回答No.2

仮にもインターネットに接続してDNSを運用しているので あれば、DNSとmailに関しては、メンテナンス以外の理由 でサービスを落とすのはもってのほかの話です。 DNSサーバは、世界中で、連携して、初めて一つのデータ ベースになるのですから、都合のいいときだけ自分だけ 落とすと、他のサーバは、タイムアウト、リトライの 嵐となり、アクセスする側に多大の迷惑をかけることに なります。2ndary DNSがあるといっても、それを前提に 落とすというのは、あってはいけないことです。 自分のデータを守りたいのであれば、他の組織に、 DNSサーバを肩代わりしてもらう方がいいでしょう。 また、どうしてもデータのセキュリティを求めるので あれば、妥協せず、SideWinder, Eagleなどの堅牢な Firewallをまず導入するべきでしょう。 そうでないと、昼間破られてもわからないし、アメリカ などからのアクセスは、完全にシャットアウトすること になってしまいます。

hirobumi
質問者

お礼

社内でも意見の分かれるところだったので 判断に迷ったのですが、やはり公共のNW に繋ぐ以上は責任が伴うという事でしょうか。 大変参考になりました。 どうも有難う御座いました

  • y45u
  • ベストアンサー率27% (140/516)
回答No.1

セキュリティーを高める為にDNSサーバーを落としたいという気持ちはわからなくもないですが、立ち上げるたびに面倒な事になると思います。しかもそういう事を言う所であれば、休日・年末年始等もサーバー落としたいなんていうんでしょうね(笑)そんな事してたら、その会社の信用問題になると思いますが・・・少なくともインターネット上や多少なりとも知識がある人からの信用はなくなるでしょうね。あの会社は夜や週末にメール送るとサーバーが落ちてて、メールが送れない・・・ロクな管理してない会社だなぁって思われる事は必至ですね。

hirobumi
質問者

お礼

有難うございました。 事例等が無いか調べて回ったのですが、 やはりそういった事を行っている法人は 無い様ですね・・・。 貴重なご意見有難う御座いました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ファイアーウォールを入れたほうがいいでしょうか?

    ADSLルーターのWeb Castar 600MNを使っています。 【NAT機能】と【パケットフィルタリング機能】というものがついているらしいのですが。セキュリティ面ではどうなのでしょうか? ノートン等のファイアーウォールソフトもを入れたほうがいいんでしょうか?

  • 複数の固定ipで複数のサーバー運用をするためのルーター選び

    サーバーを現在4台所持しており、Windowsが2台(ドメインコントローラー)と、勉強用にと導入したFC4環境が2台あります。この4台でのサーバーの運用向けに、光回線上で(ドメイン取得も視野に入れて)複数の固定ipアドレスを取得することを考えています。セキュリティを確保するため、各サーバーにはグローバルアドレスを直接割り当てず、ルーターを介してグローバルアドレスを、10.200.1.Xというアドレスに変換します。(もちろんその過程でポートフィルタリングもするため、不必要なポートは塞がります。) 図で表すと、 XXX.XXX.XXX.A-<NAT>-10.200.1.1 XXX.XXX.XXX.B-<NAT>-10.200.1.2 XXX.XXX.XXX.C-<NAT>-10.200.1.3 XXX.XXX.XXX.D-<NAT>-10.200.1.4 といった具合です。 そこで質問なのですが、こういうネットワーク構成をする場合、家庭用のブロードバンドルータを用いるなら、それが4台必要な計算になりますが、Ciscoの2600シリーズならそれらを1台にまとめることが可能なのでしょうか?できないのなら、それができるCisco製ルーターのシリーズをお教えいただけると幸いです。(初心者ですが、IOSの勉強もしたいため。)

  • ルータでのftpに関するフィルタリング設定について

    YamahaRT54iというブロードバンドルータを利用しております。 このルータのパケットフィルタリング設定項目に、 インターネットからローカルネットワークへの、送信元ポートが20番のものについては、通過を許可するという設定があります。 これはつまりftpの設定で、ftpでパッシブモードではなくアクティブモードで通信する場合、ファイル転送用の通信路としてftpサーバーの20番ポートからクライアントであるこちら側へ経路が張られるから、これを許可しないと暗黙のdenyによってはじかれてしまいftp通信がうまくいかなくなることへの回避策なのですが、 これがオンにされることでどうしてftp通信がうまくいくのか理解できません。 というのもローカルネットワークはルータのNATによって隠蔽されているはずで、たとえローカルネットワークへのftpdata通信を許可したところで、送信先のローカルアドレスがわからないはずであり、したがって通信が成立するはずがないのですが、しかし実際にはうまくいきます。 例えばローカルネットワーク内でWebサーバーを運用した場合、ルータにてルータの80番ポートへのアクセスをWebサーバー機に転送するポートフォワーディングを設定しなければ通信がうまくいきません。しかしftpに関してそのような設定は一切行っておりません。にもかかわらず通信がうまくいくのはどうしてなのでしょうか? 説明が下手でわかりにくいでしょうが、よろしくお願いします。 長々と失礼しました。

  • ブロードバンドルーターのDNS設定について

    ブロードバンドルーターにプロバイダのDNSのIPアドレスの設定をして(200.xxx.xxx.xxx)、(WinXPpro)PC側で「次のDNSサーバーのアドレスを使う」欄にブロードバンドルーターのIPアドレス(192.168.0.1)を設定すると問題なくHPが見られます。 これはなぜなのでしょうか?IPアドレスを変換しているのはわかるのですが、なぜ変換できるのかがわかりません。普通だったら192.168.0.1にはDNSサーバーはないと判断されるような気がするのですが・・。 一応私なりの見解なのですが、DNSリゾルバがルータに対し、自分自身はDNSサービスであるとのフラグがあるパケットを送信して、それを受信したルータは自分自身に設定されたDNSサーバーアドレスにアクセスする。こういった認識でよろしいでしょうか?その辺のパケットのフォーマットを紹介しているHPなどがあれば幸いなのですが。ご存知の方、ご教授お願いします。

  • クライアントのDNS設定について教えて下さい(内部と外部)

    こんにちは、皆さん。 教えて下さい。 社内のネットワークにて、今まではワークグループで運用しておりました。 インターネットに接続する場合は、ルーターがあり、それを介して行っています。 (NATの使用) これからは社内でドメインサーバを立てて、セキュリティとかソフトウェアの管理等を行う事になりました。 社内のドメインサーバーにはDNSも動いてます。 ドメインサーバを稼働させて、各クライアント機の設定も完了したのですが、 クライアント機のDNSサーバの設定が分かりません。 (※固定でローカルIPを振っています。DHCPは動いてません) クライアント機のDNSサーバの指定をする場合、社内のドメコン(DNS)のアドレスを指定すると、インターネットに接続出来なくなります。 反対に、クライアント機のDNSサーバの指定をルータにすると社内のドメコンが使用できなくなります。 (ゲートウェイはルータのアドレスを指定してます。 WINSの指定はありません。(WINSがよく分かりません) DNSサッフィクスの指定もしてません。) また、優先DNSサーバ、代替えDNSサーバの両方に設定しても変わりません。 クライアント機のDNS指定で、ドメコンに登録できて、インターネットにも接続出来る(両方使える)様にする指定方法を教えて下さい。 【環境】 サーバ:Windows2003      ドメインコントローラ、DNS、AD、DHCPなし、業務アプリ稼働 クライアント:WindowsXP ProSP2         固定IP、ドメインに参加 ルータ:YAMAHA RT57      WAN側はプロバイダからDHCPでIPアドレス、DNS等を取得

  • 複数サーバ運用にあたってのIP取得数

    現在、フレッツ&インターリンクで1つの固定IPを取得し、サーバ構築をしています。 【環境】 ・固定IPを203.100.100.100とします。 ・fedora 5で全て構築しています。 【ドメイン】 ・sample.co.jp 【ローカル】 ・DNSを担うサーバを192.168.1.100 ・Webを担うサーバを192.168.1.101 ・Mailを担うサーバを192.168.1.102 とします。 DNSは"view"で"in"と"out"に分けています。 "sample.co.jp"を1つのサーバで運用(dns,web,mail)することはほぼ問題なくできています。 ところが、それぞれ分けようとすると壁にぶつかります。 例えば"ns.sample.co.jp","www.sample.co.jp","sub.sample.co.jp"といったサブドメインを作成し、"ns","www"は"*.100"に収め、"sub"を"*.101"に飛ぶように設定すると内部では識別するのですが、外部からでは"sub"が"*.100"にいってしまいます。 固定IP1つだけでは複数のサーバ運用はできないのでしょうか? ルータのNAT機能などでポートを振り分けるのではなく、それぞれのサーバはデフォルト80で運用したいと考えています。 どなたかご教授お願い致します。

  • DNSサーバを1つだけにすると?

     家から接続していますが、モデムで設定するDNSサーバが2つあります。  この2つのDNSサーバはモデムが自動で設定していますが、プライマリよりセカンダリの方がレスポンスが早く、今は手動でセカンダリに登録されていたDNSサーバをプライマリに設定し、プライマリにはモデム直下のルータを指定しました。 (2つのDNSサーバ名を入れないとはじかれる為)  この使用法でセキュリティや接続条件などで問題ありますでしょうか? よろしくお願いします。

  • ネットワークに強い方どうかお願いします。

    ある本で、「NATの内側と外側は通信が出来ない。その解決策として、NAT対応のアプリケーションが、ダミーのパケットをグローバルIPアドレス側に送り、それによってNATにそのダミーパケットのヘッダを元に変換テーブルを作成させる。これによって、NATの外から、NATの内側のサーバーに接続可能になる。(マスタリングTCP/IP入門編第4版を参考)」というような事が書かれていたのですが、これについて分からないことがあります。 ダミーパケットを送って、それによって無理やり変換テーブルを作成させるとの事でしたが、つまりNATを所有する側の意向でしか、NAT内と外の通信が不可能ということなのでしょうか?つまり、ある特定の許されたホストしか、NATを用意してあるネットワーク内のサーバーには接続出来ないということなのでしょうか? そんな事は無いとは思うのですが、文章からだとそのようなしか理解できませんでした。分かる方は、ぜひご解答宜しくおねがい致します。

  • ダイナミックパケットフィルタリングの動作、SPIとの関係

    ステイトフルパケットインスペクション(SPI)は ダイナミックパケットフィルタリングを発展させたものだと聞きましたが、SPIにはダイナミックパケットフィルタリングが持つ、"要求に応答するポートだけを応答のために必要な期間のみ動的に開く”といった動作も踏襲しているのでしょうか? ルータなどを購入する際に、"SPI対応”や"ダイナミックパケットフィルタリング対応”などの記載がありますが、"SPI対応”とさえ書いてあればそれはダイナミックパケットフィルタリングの機能も持っていると解していいものなのか疑問に思っています。 あと、ダイナミックパケットフィルタリング機能の、動的にポートを開閉する仕組みについて興味があります。 いったい通信のどの段階で、どこを見てポートを空けたりするのか、新たに返送用の入り口を設定するとはどういうことなのか知りたいのですが、参考になりそうなURLなども教えていただけるととてもありがたいです。回答お願いします。

  • 有線ルーターの紹介(依頼)

     いつも御世話になります。  現在,あるプロバイダと契約し,そこから送られてきたNEC有線ルーターを使用しています。これは市販されているものではなく,いわゆるプロバイダ専用に量産した簡易版です。 また取説ではVISTAまでしか説明が無いので古い製品と思われます。  一方,ウイルスソフトウェアは,大手のものを使用しています。しかし,著名な無料動画プレーヤを導入した際に附属してくる”ウイルス(ネット上で削除方法あり)”を感知することはできませんでした。  そこで質問サイトを眺めていると,ある質問に対し次のような書き込みがありました。 回答:ルータを準備し、内部から外部への通信全てを許可しないように設定、破棄パケットのログを取る様にして、PCをインターネットに繋ぎ、暫時放置します。 破棄パケットに怪しいものがないか(通信先のアドレスがセキュリティソフト会社など以外か)をチェックすれば、全てのチェッカーで検索漏れしていたとしても、問題があれば見つかる可能性があります。  この点についてプロバイダに設定方法を問いあわせたところ,そこまでのサービスは行っていないこと,パケットフィルタリングが必用とのことでした。  パケットフィルタリングが可能で,回答 にあるような設定が可能な,最新の脅威に十分対応しているルーターをご紹介ください。  ついでに,パケットフィルタリングについてググってみましたが情報が多く,回答 にすぐ対応できる項目を見つけることはできませんでした。よろしければ,回答 の設定が可能なサイトをも併せてお教え戴ければ助かります。さらに,パケットフィルタリングに関する質問にも可能な限り回答くださるメーカーであればなお助かります。  よろしく回答くださいますようお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する