DNSSECに対応のキャッシュサーバーのアドレス

前へ 次へ
このQ&Aのポイント
  • DNSSECに対応したキャッシュサーバーのアドレスを教えてください。
  • 現在使っているルーターのDNS参照先をGoogleの8.8.8.8、8.8.4.4からComodoの156.154.71.22、156.154.70.22に変更しましたが、このアドレスはDNSSECに対応していないようです。
  • InfoSphereのアドレス以外で、DNSSECを運用しているキャッシュサーバーのアドレスを教えてください。複数の参照先を確保したいです。
回答を見る
  • ベストアンサー

DNSSECに対応のキャッシュサーバーのアドレス

現在使っているルーターのDNS参照先をGoogleの8.8.8.8、8.8.4.4に設定していたのですが、DNSキャッシュポイゾニングという攻撃手法を知り、Comodo社が提供している156.154.71.22、156.154.70.22に設定してみました。が、下記の質問スレッド(Comodoの英語フォーラムです)によるとこのDNSアドレスはDNSSECに対応していないようです。 ・http://forums.comodo.com/secure-dns-help-cis/does-comodo-dns-support-dnssec-t73824.0.html そこで、よりセキュアと言われているDNSSECのキャッシュサーバーのアドレスを設定したいのですが、DNSSECを運用しているキャッシュサーバーのアドレスを教えていただきたいです。自分なりに探してはいるのですが、今のところInfoSphere(http://www.sphere.ne.jp/dnssec/)のアドレスしか見つかっていません。出来れば複数の参照先を確保したいと思っています、よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

 確かにDNSSECはキャッシュポイズニングを防ぐための究極的な対策ですが、DNSSEC運用しているキャッシュサーバがキャッシュポイズニング攻撃されないわけではありません。DNSSECによる保護が有効になるためには、キャッシュサーバだけでなく、権威サーバ(ドメインを運用する側)での対応が必要ですが、権威サーバ側のDNSSEC普及があまり進んでいないため、ほとんどのサイトの名前解決はDNSSECの保護が有効になっていないのが現状です。  DNSSEC運用しているキャッシュサーバを利用することが無意味とまではいいませんが、現時点では、キャッシュポイズニングに強い構成・設定のキャッシュサーバを使うことがより重要です。 > 今のところInfoSphere(http://www.sphere.ne.jp/dnssec/)のアドレスしか見つかっていません。  InfoSphereのDNSキャッシュサーバのように、インターネット上のどこからでも利用可能なサーバは、DNSSEC運用していたとしても、キャッシュポイズニング攻撃やDoS攻撃に脆弱です(通常はそのプロバイダの加入者からのみ利用可能であるべきです)。そのようなキャッシュサーバの利用はお勧めしません。また、素性の分からない組織が運用しているDNSキャッシュサーバの利用もやめたほうがいいでしょう。そのサーバからの応答が正しいかわかりませんし、いつ勝手にサーバを止められるかわかりません。  * * *  ご利用のプロバイダに対してDNSSEC対応のキャッシュサーバを用意するように依頼するのが一番ですが、それが難しいならば、ご自分でDNSSEC対応のDNSキャッシュサーバを運用することも可能です。おすすめのDNSSEC対応キャッシュサーバソフトは、Unbound(参照URL)です。UnboundのWindows版は、インストールするだけで、127.0.0.1 (localhost)のみから参照可能なDNSSEC有効キャッシュサーバとして起動します。お使いのPCにインストールして、PCが参照するDNSサーバのアドレスを 127.0.0.1 に手動で変更することでそのPCから利用可能になります。  このように自分でDNSキャッシュサーバを運用するのは、最もポイズニング攻撃されにくい構成です。攻撃者にとって、多数の利用者がいるプロバイダのキャッシュサーバは狙うメリットがありますが、利用者が一人しかいないDNSサーバを攻撃するのはコスト的にメリットが無いためです。

参考URL:
http://www.unbound.net/download.html
xdfsa11a
質問者

お礼

回答ありがとうございます。IPアドレスの範囲指定でユーザ数を絞っているDNSSECサーバーに問い合わせした方が、あるいは自分でサーバーを立ててしまった方がより安全なのですね。 日本語のPDF資料を読んでみた感じ、Unboundはすぐ立てられそうですし魅力的なのですが、まだ自PC・ネットワークのセキュリティについて十分とは言えません。ので、プロバイダにメールで依頼してみつつ、現状使っているDNSSECサーバーをそのまま使い続けようと思います。

xdfsa11a
質問者

補足

現在契約しているプロバイダ宛にメールを送ってみたところ、DNSSECは導入有効性の検討中で、サービスを開始する際には会員限定で提供されるとのことでした。 まだ自前のDNSSECサーバーを立てるところまでは至っていませんが、回答とても参考になりました。ここで質問を切りたいと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • キャッシュサーバとはどこにあるのでしょうか?

    現在、@nethomeというCATVでインターネットをしています。 環境:家庭内LAN→ルータ→インターネット OS:WindowXP 自分のレベルはインターネットって何だろう?の初心者レベルです。 DNSにはキャッシュサーバとコンテンツサーバがある、インターネットとはまずはプロバイアにつながるものだ。という概念を最近勉強したのですが、このキャッシュサーバとはどこにあるのでしょうか? tracertコマンドでルータに設定されたDNSサーバのアドレスを打ち込んでみてみました。 1 192.168.11.1 (ルータのプライベートIP↑) 2 xxx-xxx-xxx-1.rev.home.ne.jp (ルータに設定されているデフォルトゲートウェイ↑) ~~~~~(省略)~~~~~~~~~~~~~~~~ 7 xxx-xxx-xxx-xxx (ルータに設定されているDNSサーバ↑) 1で自宅のLANの外に出て、 2で自分の契約してるプロバイダのルータを出て、 3~5のルータでも指定されたIPアドレスをどこに送ったらいいか分からないから、それぞれのデフォルトゲートウェイに送り、 6で指定されたIPアドレスの行き先が分かり、 そのIPアドレスの所属するネットワークのゲートウェイに送り 7で到達 なんですかね? (どの段階で自分の契約するプロバイダ内から外に出たのかも、謎ですが、、) この7のDNSサーバが俗にいうキャッシュサーバというものなのでしょうか? 本で見た時は、家のパソコン→キャッシュサーバ 見たいに書かれていたから、もっと近くにあるものなのかと思っていました。 出来たら、DNSサーバで名前解決してる様子なんかも、 (キャッシュサーバ→ルートサーバ→.....見たいな感じで) 見てみたいなと思ったのですが、何かこれもコマンドとかで見れるのでしょうか? よろしくお願いします。

  • DNSサーバーのキャッシュ

    こんにちは。 早速質問ですが、あるネットワークで運用しているをドメインを別のネットワーク に移行したいと考えています。 旧ネットワークではWEBサーバとDNSサーバが動いています。 新ネットワークでもWEBサーバとDNSサーバを動かします。 さて、NICのDNSを切り替えてから2~3日間はインターネット上の他のDNSの キャッシュが残っています。そのため、このドメインのWEBサーバにアクセスしようと すると、旧ネットワークのWEBサーバにアクセスされる可能性があります。 ここで質問なのですが、他のDNSのキャッシュに残っているのは、 旧ネットワークのWEBサーバのIPアドレスでしょうか、 それとも、DNSサーバのIPアドレスでしょうか。 もしWEBサーバのIPアドレスが残っているのであれば、旧ネットワークの WEBサーバーに直接アクセスが来るので、旧ネットワークでもちゃんとWEBサーバを 動かしておかなくてはいけないと思います。 でも、DNSサーバのIPアドレスが残っているのであれば、旧ネットワークのDNSサーバ の設定を、新ネットワークのWEBサーバのIPアドレスを差すようにしておけば、 そっちを見に行ってくれるはずですよね? この場合、旧ネットワークではWEBサーバは動かしておかなくてもいいのではないか と思ったわけです。 キャッシュに残っているのは、どちらのIPアドレスなのでしょうか。

  • Windows2000 ServerのDNSサーバ機能について

    今、昔のパソコンで(でもP2)Windows2000 Serverをインストールして、遊びでDNSサーバをたてています。 前提条件 接続形態はISDNを使用しており、TAがディフォルトゲートウエイになっている。DNSサーバはWindows2000 Serverの方に端末側で設定している。 DNSを1ドメイン目をACTIVE DIRECTORYにして、    2ドメイン目を標準プライマリにして、運用しています。 何かを設定したら、キャッシュされた参照という項目がDNSサーバ設定画面上で、大量に画面に表示されました(キャッシュされた項目をのぞいてみたらディレクトリっぽいものが出現していた)。 内容を見ると、インターネットに存在する他のDNSサーバの情報のようで(IPアドレス等)、こっちのDNSサーバにキャッシュされた参照とあるという事は、キャッシュされた側のDNSにも、自分のDNSサーバの情報(IPアドレス等)がキャッシュ登録されているのでしょうか? もし、DNSサーバに知識が豊富な方がいたら、ご教授ください。

  • Windows2000 ServerのDNSサーバ機能について

    今、昔のパソコンで(でもP2)Windows2000 Serverをインストールして、遊びでDNSサーバをたてています。 前提条件 接続形態はISDNを使用しており、TAがディフォルトゲートウエイになっている。DNSサーバはWindows2000 Serverの方に端末側で設定している。 DNSを1ドメイン目をACTIVE DIRECTORYにして、    2ドメイン目を標準プライマリにして、運用しています。 何かを設定したら、キャッシュされた参照という項目がDNSサーバ設定画面上で、大量に画面に表示されました(キャッシュされた項目をのぞいてみたらディレクトリっぽいものが出現していた)。 内容を見ると、インターネットに存在する他のDNSサーバの情報のようで(IPアドレス等)、こっちのDNSサーバにキャッシュされた参照とあるという事は、キャッシュされた側のDNSにも、自分のDNSサーバの情報(IPアドレス等)がキャッシュ登録されているのでしょうか? もし、DNSサーバに知識が豊富な方がいたら、ご教授ください

  • プロキシサーバとDNSキャッシュサーバの違いについて

    プロキシサーバとDNSキャッシュサーバの違いについて教えてください。ブラウジングしたアドレスをキャッシュする以外にはどういう違いがあるのでしょうか?宜しくお願いいたします。

  • キャッシュサーバ(DNS)ってルータの事なんですか?

    最近少しDNSサーバに興味をもって本を読んでみて。 PC→キャッシュサーバ→コンテンツサーバ という流れで名前解決が行われるのを本で見たのですが、 キャッシュサーバとは自サーバのキャッシュを調べ、 名前解決に必要な情報が無ければ、 コンテンツサーバへルートから順に再帰的に問い合わせを行ってくれる。 ここでnslookupを使っていて思ったのですが、 下記の3つの僕の考えは正しいのでしょうか? 1、問い合わせ先DNS:ルータ 結果:ルータがキャッシュサーバの役割になり、ルータのキャッシュで名前解決できない場合は、ルータが、ルートから順にコンテンツサーバに問い合わせて、ルータが結果をPCに返してくれる(これが可能かは、ルータの機種による?) 2、問い合わせ先DNS:ルートのDNSサーバ 結果:ルータのDNSはキャッシュサーバでは無いので、次に問い合わせる先だけを教えてくれる(この問い合わせではキャッシュサーバが名前解決の経路に無い事になる) 3、問い合わせ先DNS:プロバイダに指定されたDNS(ns1.home.ne.jp) 結果:例えば、www.yahoo.co.jpを問い合わせたとして、ns1.home.ne.jpは自分には分からないよっとだけ答え、 他のアクションは起こさない。 (ns1.home.ne.jpはキャッシュサーバではないので、これだけしかアクションを起こせない) // 題名の「キャッシュサーバとはルータの事?」というのは、 上記3つのことから、本に書いてあったキャッシュサーバというのは、 ルータの事を指しているのかな?と疑問に思ったからです。 // *自分の環境は、PC→ルータ→インターネット *ルータはWBR-G54 *問い合わせDNS:(nslookupで指定した問い合わせ先) よろしくお願いします。

  • DNSサーバアドレスについて

    数ヶ月ほど外部のネットワークに接続していた期間がありました。勤務先に戻って設定しなおしましたが、ネットワーク接続が出来なくなりました。 たまたま来ていた某ソフトのバージョンアップに来ていた業者の人が、DNSサーバアドレスを「210.153.1.1」か210.153.1.9」にすれば良いとアドバイスをくれて解決しました。 ただプロバイダから指定していされているDNSアドレスとは違います。これって大丈夫なんでしょうか?? そもそもDNSサーバが何かも知らず、自宅では自動取得になっていて、深く考えたことはなく、全く分かりません。よろしくお願いします。

  • DNSサーバ自身のDNSアドレス設定について

    教えてください。 DNSについてよく理解できておりません。 インターネットに出ていくPC端末のリゾルバが参照している DNSサーバはプライマリとセカンダリの2台あります。 質問の内容は そのDNSサーバが参照しているDNSのアドレス つまりリゾルバとして参照しているアドレスは そのプライマリ、セカンダリのお互いの アドレスになっています。 プライマリは通常外部のインターネット上の キャリアが提供するDNSサーバとか指定しなくていいのでしょうか? それらのDNSサーバはどのように外部のDNSサーバに問い合わせするのでしょうか? 自ドメインへの外部からの問い合わせに対する DNSサーバは別回線のネットワークの中に他に1台あります。

  • DNSサーバーのアドレス

    PCにDNSサーバーを手動設定しているのですが、 ルーターのアドレスとプロバイダDNSのアドレス、 どちらに設定した方がより良いのでしょうか? メリット、デメリットを教えて貰えば助かります。

  • プライベートIPアドレスをつかってDNSサーバをたてられますか

    LINUX初心者です。 DNSサーバをたてることに挑戦しようとしましたが、 マンションに住んでおり固定IPアドレスを持っていない人はDNSをたてるのは 難しいだろう、ということを過去の質問で知り、そのときはDNSサーバを たてることをあきらめました。 後日、ITスクールなんかはプライベートアドレスを使ってDNSサーバ構築を 教えているようだ、ということを知りました。 固定IPアドレスを持っていない環境でDNSサーバをたてられるとすれば セカンダリDNSの設定なんかはどのようにすればよいのでしょうか? よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する