• 締切済み
  • 困ってます

DNSの運用について

はじめまして、某通信会社に勤めている者です。 DNSの運用についてちょっとお伺いしたいのですが、私の担当しているお客様でセキュリティーを高めるため夜間だけDNSの電源を切るといった運用をしたいという法人さんがおられます。私としてはそういった事例は聞いたことが無いのですが、ご存知の方おられますでしょうか?また解決策としては、ルーターでのパケットフィルタリング及びNATの方がベターだと思うのですが如何でしょうか。宜しくお願い致します。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数88
  • ありがとう数20

みんなの回答

  • 回答No.2
  • ita3
  • ベストアンサー率67% (25/37)

仮にもインターネットに接続してDNSを運用しているので あれば、DNSとmailに関しては、メンテナンス以外の理由 でサービスを落とすのはもってのほかの話です。 DNSサーバは、世界中で、連携して、初めて一つのデータ ベースになるのですから、都合のいいときだけ自分だけ 落とすと、他のサーバは、タイムアウト、リトライの 嵐となり、アクセスする側に多大の迷惑をかけることに なります。2ndary DNSがあるといっても、それを前提に 落とすというのは、あってはいけないことです。 自分のデータを守りたいのであれば、他の組織に、 DNSサーバを肩代わりしてもらう方がいいでしょう。 また、どうしてもデータのセキュリティを求めるので あれば、妥協せず、SideWinder, Eagleなどの堅牢な Firewallをまず導入するべきでしょう。 そうでないと、昼間破られてもわからないし、アメリカ などからのアクセスは、完全にシャットアウトすること になってしまいます。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

社内でも意見の分かれるところだったので 判断に迷ったのですが、やはり公共のNW に繋ぐ以上は責任が伴うという事でしょうか。 大変参考になりました。 どうも有難う御座いました

関連するQ&A

  • ファイアーウォールを入れたほうがいいでしょうか?

    ADSLルーターのWeb Castar 600MNを使っています。 【NAT機能】と【パケットフィルタリング機能】というものがついているらしいのですが。セキュリティ面ではどうなのでしょうか? ノートン等のファイアーウォールソフトもを入れたほうがいいんでしょうか?

  • ネットワーク運用における人的配置について

    もしご存知でしたらお伺いしたいのですが、 法人がNWを構築する際、夜間や土日休日における 障害対応にそなえた人的配置を考えなければならないと思うのですが、そういった事に関するガイドライン若しくは事例集等の資料が調べられるサイトがありましたらお教えいただけませんでしょうか? 宜しくお願い申し上げます。

  • 複数の固定ipで複数のサーバー運用をするためのルーター選び

    サーバーを現在4台所持しており、Windowsが2台(ドメインコントローラー)と、勉強用にと導入したFC4環境が2台あります。この4台でのサーバーの運用向けに、光回線上で(ドメイン取得も視野に入れて)複数の固定ipアドレスを取得することを考えています。セキュリティを確保するため、各サーバーにはグローバルアドレスを直接割り当てず、ルーターを介してグローバルアドレスを、10.200.1.Xというアドレスに変換します。(もちろんその過程でポートフィルタリングもするため、不必要なポートは塞がります。) 図で表すと、 XXX.XXX.XXX.A-<NAT>-10.200.1.1 XXX.XXX.XXX.B-<NAT>-10.200.1.2 XXX.XXX.XXX.C-<NAT>-10.200.1.3 XXX.XXX.XXX.D-<NAT>-10.200.1.4 といった具合です。 そこで質問なのですが、こういうネットワーク構成をする場合、家庭用のブロードバンドルータを用いるなら、それが4台必要な計算になりますが、Ciscoの2600シリーズならそれらを1台にまとめることが可能なのでしょうか?できないのなら、それができるCisco製ルーターのシリーズをお教えいただけると幸いです。(初心者ですが、IOSの勉強もしたいため。)

  • 回答No.1
  • y45u
  • ベストアンサー率27% (140/516)

セキュリティーを高める為にDNSサーバーを落としたいという気持ちはわからなくもないですが、立ち上げるたびに面倒な事になると思います。しかもそういう事を言う所であれば、休日・年末年始等もサーバー落としたいなんていうんでしょうね(笑)そんな事してたら、その会社の信用問題になると思いますが・・・少なくともインターネット上や多少なりとも知識がある人からの信用はなくなるでしょうね。あの会社は夜や週末にメール送るとサーバーが落ちてて、メールが送れない・・・ロクな管理してない会社だなぁって思われる事は必至ですね。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

有難うございました。 事例等が無いか調べて回ったのですが、 やはりそういった事を行っている法人は 無い様ですね・・・。 貴重なご意見有難う御座いました。

関連するQ&A

  • ファイアウォールについて

    現在、ブロードバンドルータを介してインターネット接続しています。ソフトウェアファイアウォールはインストールしていません。 そこで質問なんですが、自宅サーバーなどを立てずに、上記のような環境でインターネット接続のみでの利用においてもファイアウォールは導入すべきなのでしょうか?もちろん、あればセキュリティ上にも有利だとはおもいますが。 ルータでのパケットフィルタリングでも十分な気がしますので・・。皆さんのご意見をお伺いさせてください。

  • DNSサーバーにアクセスする際のエフェメラルポート

    お世話になります。 YAMAHAのVPNルーターRTX1100で、不要なポートのフィルタリング設定を行っております。 WindowsXPを1台で、接続テストを行い、ログを取りました。 WindowsXPが使用するエフェメラルポートは、1025~5000、WindowsVista以降のOSが使用するエフェメラルポートエフェメラルポートは、49152~65535、とのこと。 エフェメラルポート http://ja.wikipedia.org/wiki/%E3%82%A8%E3%83%95%E3%82%A7%E3%83%A1%E3%83%A9%E3%83%AB%E3%83%9D%E3%83%BC%E3%83%88 ここから、5001~65535のポートを、TCP、UDP、IN、OUT、すべてにおいて閉鎖しましたところ、インターネットに接続できませんでした。 ログを調べましたところ、WindowsXPのプライベートアドレス、5万番台ポート→DNSサーバー53番ポートへのパケットが、破棄されていました。 外部WEBサーバー80番ポートへのパケットは、すべて、1025~5000番の範囲に収まっていました。 閉鎖するポート番号を、5001~49151に変更することで、インターネットにも接続出来るようになりました。 WindowsXPの場合でも、OSのエフェメラルポートは、1025~5000ですが、それは、TCPパケットに関するお話で、DNSサーバーにアクセスするUDPパケットに関しては、49152~65535である、ということは、ありますでしょうか。 どうぞよろしくお願い致します。

  • ルーターへの外部からの不正アクセス

    完全にセキュアな環境を構築したいのですが、その ために質問したいことがいくつかあります。 まず、ルーターへの外部からのアクセスをすべて 拒否するような設定というのは可能でしょうか? また、動的パケットフィルタリング機能がついている ルーターならば、こちらから外部にアクセスしない、 また、物理的に触られたりする心配がない、という 条件であるならば完全に安全と言えるでしょうか? そのほかに、ルーターを直列につなぎ、安全度が あまり高くない環境と、完全にセキュアな環境 の2段の環境を作ることは技術的に可能でしょうか? 最後に、動的パケットフィルタリングがついている、 という条件で通信のすべてをSSL通信で行い、その 暗号化強度が十分なものがあるとするならば、完全に 安全と言えるでしょうか? 上記について、どうかよろしくお願いいたします。

  • ファイアウォールとルーター、何が違うの?

    08年の10月にセキュアド試験を受けるものです。去年落ちただけに今回はどうしても受かりたく思っています。で、現在ネットワークの勉強をしていますが、いまいち分からないのが、ファイアウォールとルーター、何が違うの?ってことです。ルーターにはフィルタリング機能により、パケットを破棄する機能があります。一方ファイアウォールにも当然禁止されているパケットは破棄する機能があります。ややこしくてたまりません。。どっちも同じじゃん!!!付加価値的な機能を覚えるたびに、両方でよく似た機能が現れるので、今だに両者の違いが明確になりません。 (例:ルーターのNAT機能と、ファイアウォールのアドレス変換機能)あるいは、ファイアウォールはサービスごとのOK、NGが選別できるから、ルータがネットワーク層である一方でファイアウォールはトランスポート層レベルでのフィルタリングが可能とでもいうのでしょうか?いずれにせよこのふたつは、私には同じに見えてしかたありません。でも試験では当然別物として扱われます。 一体このふたつは何が違うのですか?それともあまり変わりはないのですか?

  • 有線ルーターの紹介(依頼)

     いつも御世話になります。  現在,あるプロバイダと契約し,そこから送られてきたNEC有線ルーターを使用しています。これは市販されているものではなく,いわゆるプロバイダ専用に量産した簡易版です。 また取説ではVISTAまでしか説明が無いので古い製品と思われます。  一方,ウイルスソフトウェアは,大手のものを使用しています。しかし,著名な無料動画プレーヤを導入した際に附属してくる”ウイルス(ネット上で削除方法あり)”を感知することはできませんでした。  そこで質問サイトを眺めていると,ある質問に対し次のような書き込みがありました。 回答:ルータを準備し、内部から外部への通信全てを許可しないように設定、破棄パケットのログを取る様にして、PCをインターネットに繋ぎ、暫時放置します。 破棄パケットに怪しいものがないか(通信先のアドレスがセキュリティソフト会社など以外か)をチェックすれば、全てのチェッカーで検索漏れしていたとしても、問題があれば見つかる可能性があります。  この点についてプロバイダに設定方法を問いあわせたところ,そこまでのサービスは行っていないこと,パケットフィルタリングが必用とのことでした。  パケットフィルタリングが可能で,回答 にあるような設定が可能な,最新の脅威に十分対応しているルーターをご紹介ください。  ついでに,パケットフィルタリングについてググってみましたが情報が多く,回答 にすぐ対応できる項目を見つけることはできませんでした。よろしければ,回答 の設定が可能なサイトをも併せてお教え戴ければ助かります。さらに,パケットフィルタリングに関する質問にも可能な限り回答くださるメーカーであればなお助かります。  よろしく回答くださいますようお願いいたします。

  • ルーター同士の接続について

    ルーターについて質問があります。 1.ルーターとルーター間の接続   ルーター同士をつなぐ場合、どちらかをブリッジモードにしないとダメなんでしょうか?  ちなみに、高度な設定は分からないレベルです・・・ 2.ルーターをブリッジモードにした場合   ブリッジモードにした場合、ルーター機能の一部として設定した   パケットフィルタリング機能等は無効になってしまいますか?   ※そもそもそのフィルタリング機能等のセキュリティ機能はWAN向けの設定で    LANポートに対しては意味ないのでしょうか? 教えていただけないでしょうか?

  • ダイナミックパケットフィルタリングの動作、SPIとの関係

    ステイトフルパケットインスペクション(SPI)は ダイナミックパケットフィルタリングを発展させたものだと聞きましたが、SPIにはダイナミックパケットフィルタリングが持つ、"要求に応答するポートだけを応答のために必要な期間のみ動的に開く”といった動作も踏襲しているのでしょうか? ルータなどを購入する際に、"SPI対応”や"ダイナミックパケットフィルタリング対応”などの記載がありますが、"SPI対応”とさえ書いてあればそれはダイナミックパケットフィルタリングの機能も持っていると解していいものなのか疑問に思っています。 あと、ダイナミックパケットフィルタリング機能の、動的にポートを開閉する仕組みについて興味があります。 いったい通信のどの段階で、どこを見てポートを空けたりするのか、新たに返送用の入り口を設定するとはどういうことなのか知りたいのですが、参考になりそうなURLなども教えていただけるととてもありがたいです。回答お願いします。

  • クライアントのDNS設定について教えて下さい(内部と外部)

    こんにちは、皆さん。 教えて下さい。 社内のネットワークにて、今まではワークグループで運用しておりました。 インターネットに接続する場合は、ルーターがあり、それを介して行っています。 (NATの使用) これからは社内でドメインサーバを立てて、セキュリティとかソフトウェアの管理等を行う事になりました。 社内のドメインサーバーにはDNSも動いてます。 ドメインサーバを稼働させて、各クライアント機の設定も完了したのですが、 クライアント機のDNSサーバの設定が分かりません。 (※固定でローカルIPを振っています。DHCPは動いてません) クライアント機のDNSサーバの指定をする場合、社内のドメコン(DNS)のアドレスを指定すると、インターネットに接続出来なくなります。 反対に、クライアント機のDNSサーバの指定をルータにすると社内のドメコンが使用できなくなります。 (ゲートウェイはルータのアドレスを指定してます。 WINSの指定はありません。(WINSがよく分かりません) DNSサッフィクスの指定もしてません。) また、優先DNSサーバ、代替えDNSサーバの両方に設定しても変わりません。 クライアント機のDNS指定で、ドメコンに登録できて、インターネットにも接続出来る(両方使える)様にする指定方法を教えて下さい。 【環境】 サーバ:Windows2003      ドメインコントローラ、DNS、AD、DHCPなし、業務アプリ稼働 クライアント:WindowsXP ProSP2         固定IP、ドメインに参加 ルータ:YAMAHA RT57      WAN側はプロバイダからDHCPでIPアドレス、DNS等を取得

  • 家庭用ブロードバンドルータと企業用ルータの違い

    こんばんは。表題に記載したとおり、家庭用ブロードバンドルータとFW機能のついた企業用ルータ(Netscreenなど)のセキュリティ面における性能の違いを教えて頂きたく質問させて頂きました。 家庭用のブロードバンドルータでも、ステートフルパケットインスペクション機能・パケットフィルタリング機能のついた物があると思います。それらと比較した時に、セキュリティ上Netscreenの方が有利となる理由はなんでしょうか。 (ルータにそういう機能がついているのならば、FWを導入する必要はないと思うのですが、私の思い違いでしょうか。) どなたが、ご教示頂けると嬉しいです。

  • 外部からポート110、143にアクセスできない

    表題の通りなのですが、ポート疎通テストでアクセスできません。 ---環境 OS:Fedora8 受信メールサーバ:dovecot 固定IP(複数固定IPサービス利用) DNSとメールサーバのマシンは別 ルーター Web Caster 6400m 独自ドメイン ------- マシンのファイアウォールは110、143共に許可をしてあります。 (ファイアウォールの設定の「その他ポート」に登録してあります) ルーターのポート開放に関して、一応メーカーに問い合わせたところ、パケットフィルタリングで拒否していなければ通るはず、との回答を貰いましたので、静的IPマスカレードのNATエントリはDNSの設定しかしてありません。 dovecotの設定もして、一応エラーがないか確認しましたが、特にエラーは出ていないようです。 この状態でポート疎通テストを行なったのですが、アクセス出来ませんという結果になってしまっています。 一体何処で遮断されているのか分からないのですが、まだチェックが足りないところがあるのでしょうか? 仮にルーターでポートを開ける設定が必要な場合、IPはDNSのものを割り当てるのか、メールサーバのものを割り当てるのか、両方割り当てが必要なのか、など、ご教授いただければ幸いです。 ちなみにDNSのゾーンではMXレコードとAレコードでの設定はしているつもり・・・です。

専門家に質問してみよう