コンテンツサーバにおけるDNSSECの必要性
- コンテンツサーバーにおけるDNSSECの必要性について
- コンテンツサーバーのDNSSEC設定の難しさと不安要素
- 再帰的問合せを無効にしたコンテンツサーバーでもDNSSECの必要性があるのか
- ベストアンサー
コンテンツサーバにおけるDNSSECの必要性
webサイト運営用に専用サーバーをたてています。 サブドメインなどの管理する為の、権威ネームサーバーをBIND9.8で設定しているのですが、 DNSSECの必要性をお教えいただけませんか? コンテンツサーバーのみを立て、キャッシュサーバーは立てません。 サブドメインなど、自分の管理するゾーン情報のみに答え、再帰的問合せを許可しない、(recursion no;)。このようなコンテンツサーバーです。 いろいろと検索して調べているのですが、 キャッシュポイズニングは、キャッシュサーバーに仕掛ける攻撃なので、 再帰的問合せを無効にした、キャッシュサーバーとしての機能がなければ、DNSキャッシュポイズニング攻撃そのものを回避できる(DNSSEC不要)と書かれているものがあれば、コンテンツサーバーにもDNSSECは必要であるという記事も多く見ます。 コンテンツサーバーのDNSSEC設定は少し難しそうですし、サイトを稼働しながらのKSK、ZSKの更新など、不安要素があるので、できることなら避けて通りたいのが正直なところです。 ※もちろん必要であれば設定しますが。 どなたかご教授いただけませんでしょうか。
- else7777
- お礼率60% (3/5)
- ネットワーク
- 回答数1
- ありがとう数9
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
確かにあなたのBINDはキャッシュポイズンされません。キャッシュしないからです。 ところで、DNSSECというのは直接的にはキャッシュポイズンを回避する策ではなく、 あなたのBINDが管理するあなたのドメインの正当性を 世界に星の数ほどあるDNSキャッシュサーバーが確認するための仕組みです。 あなたのBINDとあなたのドメインを聞きに来るDNSキャッシュサーバーの両方が DNSSECに対応していると、 そのDNSキャッシュサーバーはあなたのドメインに関してポイズンされませんが、 対応してないDNSキャッシュサーバーですと意味がありません。 ですので、有用性はあるかと聞かれたらあると回答できますが、 必要性があるか、という問いですと、難しいですね。ある、とは断言できない。 DNSキャッシュサーバー側がDNSSECに対応していないと せっかく頑張った設定も活用されない。 ドメインにまでセキュリティを気にしなきゃいけないこんな世の中じゃポイズンですけど、 現時点ではDNSSECの普及率はせいぜい2%未満(あんもち調べ)といったところでしょう。 今後も今年や来年や再来年にいきなり普及率が跳ね上がるとはちょっと考えにくいので 今は様子見というか後回しでいいかも知れません。 もちろん情報を集め続ける事は大事です。 私は決してセキュリティなんて気にしなくていいよと言っている訳ではありません。 ひょっとしたらそーゆー事を全部やってくれるようなツールがリリースされるかも知れませんし。 普及率があがれば設定が簡単になるようなツールが充実していくのか、 簡単に設定できるツールが生まれたら爆発的に普及するのかは、 にわとりが先かからあげが先かというような気もしますが。
関連するQ&A
- フルサービスリゾルバからコンテンツサーバへの問合せに使用されるUDP Source Port
どなたかご回答頂ければ幸いです。 Clientからフルサービスリゾルバに再帰問合せを行い、そのフルサービスリゾルバが、目的のゾーンを管理しているコンテンツサーバへの問合せを行う際に使用されるUDP Source Portは、リユーズされるのでしょうか。 具体的には、 [Client]--->[リゾルバ]--->[DNS Server] ・リゾルバ・・・ac.jpドメインを管理。 ・DNS Server・・・test.ac.jpのサブドメインを管理。 という単純な構成で、 【初回問合せ】 1、Clientからwww.test.ac.jpの問合せをリゾルバへ行う。 2、リゾルバの内部にNSレコードでtest.ac.jpドメインはDNS Serverへ振っているので、リゾルバがUDP Portを1025を使用してDNS Serverへ問合せを行いました。 【二回目の問合せ】 1、Clientから、今度はftp.test.ac.jpの問合せをリゾルバへ行う。 2、繰り返しますがリゾルバの内部にNSレコードでtest.ac.jpドメインはDNS Serverへ振っているので、リゾルバがDNS Serverへ問合せを行いますが、このときUDP Portを、先程の初回と同じ1025を使用してDNS Serverへ問合せを行いました。 実際にパケットをキャプチャして、何度も確認しましたが、同一の結果です。これはBINDの仕様なのでしょうか。(BIND9.2.2を使用しています。) 是非、ご回答のほど宜しくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- DNSサーバ構築に当たって
質問したい事は、いわゆる、外向けコンテンツDNSサーバ構築するに当たって allow-query allow-recursion の再帰問い合わせ制限をかけると、 クライアントPCから当該DNSサーバ指定してのインターネット接続や ping www.yahoo.co.jpで応答が返ってきません。 普通にインターネット接続させて、なおかつ allow-query allow-recursion の再帰問い合わせ制限を行いたい場合 どうすればよろしいのでしょうか。 resolv.confによそのDNSサーバIPアドレスを仕込まないといけないのでしょうか? そもそも、自DNSサーバがあるのに、普通にインターネット接続させるためだけに よそのDNSサーバを resolv.confに指定させる事は当然なのでしょうか? bind9.3*系でのnamed.conf設定で以下のようにしています。 options { allow-query { TRUST; }; allow-recursion { TRUST; }; view "lan" { match-clients { TRUST; }; view "wan" { match-clients { any; }; recursion no zone "example.jp" { type master; file "example.jp"; allow-query { any; }; }; 以上、宜しくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- DNSSECに対応のキャッシュサーバーのアドレス
現在使っているルーターのDNS参照先をGoogleの8.8.8.8、8.8.4.4に設定していたのですが、DNSキャッシュポイゾニングという攻撃手法を知り、Comodo社が提供している156.154.71.22、156.154.70.22に設定してみました。が、下記の質問スレッド(Comodoの英語フォーラムです)によるとこのDNSアドレスはDNSSECに対応していないようです。 ・http://forums.comodo.com/secure-dns-help-cis/does-comodo-dns-support-dnssec-t73824.0.html そこで、よりセキュアと言われているDNSSECのキャッシュサーバーのアドレスを設定したいのですが、DNSSECを運用しているキャッシュサーバーのアドレスを教えていただきたいです。自分なりに探してはいるのですが、今のところInfoSphere(http://www.sphere.ne.jp/dnssec/)のアドレスしか見つかっていません。出来れば複数の参照先を確保したいと思っています、よろしくお願いします。
- ベストアンサー
- ネットワーク
- ワイルドカード(サーバー)が必要になるケース
質問が2点あります。 【1】ワイルドカード(サーバー)が必要になるケース 【2】wordpressをサブドメイン形式で運用する場合必要となるサーバスペック 【1】 現在wordpressを勉強中でして 複数のwordpressサイトを別ドメインで運用したいと考えています。 そこでマルチサイトの設定を行っていたのですが サブドメイン形式で管理する場合、 「サーバーがワイルドカードのサブドメインに対応している」ことが 条件となっていましたが、ワイルドカードというもの事態が どういう場面で必要になるのかがわかりませんでした。 下記参考にしたページです。 http://www.sakura.ad.jp/services/other/SSL/plans/ssl_request.html http://www.toritonssl.com/about_ssl/wildcard_ssl_certificate.html 【2】 サブドメイン形式でwordpressを管理する際に必要な サーバースペックを教えてください。 これまで静的なサイト運用はすこし経験があるのですが wordpressで複数のサイトを管理する場合 データベースは複数使用可でなければならないのでしょうか。 ほかにも必要なスペックがあれば教えていただきたいです。 管理するサイトの数は50サイトくらいを見込んでいます。
- ベストアンサー
- その他(プログラミング・開発)
- エックスサーバーでのサブドメイン設定について、困っています。
エックスサーバーでのサブドメイン設定について、困っています。 はじめて独自ドメインを取得して、 サブドメインの設定で困っています。 ヴァリュードメインでドメインを取り、 エックスサーバーで契約をしました 独自ドメインの設定はなんとかできました。 次にXサーバーの管理パネルでサブドメイン設定をして、 FFFTで見るとpublic_htmlには、希望のフォルダが出来ています。 ところが、アドレスバーにURLを打ち込んでも、 サブドメインのページが表示されません。 なにか作業(設定)が足りないからなのでしょうか? もし作業が必要なら、参考になるページなど教えていただけるとたいへん助かります。 どうぞよろしくお願いいたします。
- 締切済み
- レンタルサーバ・ASP
- クラスレス(クラスC未満)のDNSサーバ(コンテンツ)について
クラスレス(クラスC未満)のDNSサーバ(コンテンツサーバ)を構築して いるのですが、以下の条件でDNSサーバにて逆引きができないことが正常な 動作なのでしょうか。 (同じ環境にてDNSサーバを、コンテンツ+キャッシュサーバで動作させ た場合は正常に、逆引きが行われます) ・DNSサーバをコンテンツサーバとして動作(recursion noの状態) ・上記サーバの、resolve.confは127.0.0.1 ・DNSサーバ上で、自分の逆引きを実施 以上、よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- JPRS・JPドメイン名サービスにおけるDNSSECの導入 は対応しな
JPRS・JPドメイン名サービスにおけるDNSSECの導入 は対応しないと問題ありますでしょうか? 【質問】: 現在、JPドメインを使用したサイトが有るのですが、将来的に現状のまま対応しないままでいると、サイトが著名されていないとブラウザ上で表示されるようになるだけと言う解釈で良いのでしょうか? 著名が無いとサイトの信頼性と言う意味では当然の事ですが、問題有でしょうか? 運営上は、JPドメイン名サービスへDNSSECを導入しなくても問題はないのでしょうか? GoogleやYahooなど検索に影響する可能性などはどうでしょうか? 現状、サイトそのものは特定キーワードで上位表示されております。 (仮に個人ではなく、組織による運営の物である場合はどう影響するのでしょうか??) 【以下 記事引用文】:http://internet.watch.impress.co.jp/docs/news/20100722_382165.html ・・・JPドメイン名を管理する株式会社日本レジストリサービス(JPRS)は21日、JPドメイン名サービスにおけるDNSSECの導入時期について、2011年1月と発表した。 ・・・DNSSEC(Domain Name System Security Extensions)は、DNSのセキュリティを強化するための拡張仕様。公開鍵暗号による署名をDNSの応答に付加することで、その出所の正当性と、内容が改ざんされていないことを検証できる仕組みだ。DNSキャッシュポイズニング攻撃への有効な解決策になると言われている。最近ではICANNが7月15日、DNSの最上位階層であるルートゾーンにおいてDNSSECを正式導入している。 ・・・JPドメイン名サービスへDNSSECを導入する。 ・・・なお、DNSSECの検証機能を使うためには、最上位階層のルートDNSサーバーから個々のドメイン名のDNSサーバーまで、すべての階層でDNSSECを導入することが求められる。例えば、JPドメイン名のDNSサーバーでは、DNS情報への署名や、署名に用いる鍵情報の登録手続きなどが必要になるという。このほかにも、キャッシュDNSサーバーや、JPドメイン名登録サービスでも対応が必要となるため、JPRSでは、これらDNSサーバーの運用関係者などに向け、DNSSEC運用に関する情報提供などを行っていくとしている。
- ベストアンサー
- その他(ITシステム運用・管理)
- キャッシュサーバ(DNS)ってルータの事なんですか?
最近少しDNSサーバに興味をもって本を読んでみて。 PC→キャッシュサーバ→コンテンツサーバ という流れで名前解決が行われるのを本で見たのですが、 キャッシュサーバとは自サーバのキャッシュを調べ、 名前解決に必要な情報が無ければ、 コンテンツサーバへルートから順に再帰的に問い合わせを行ってくれる。 ここでnslookupを使っていて思ったのですが、 下記の3つの僕の考えは正しいのでしょうか? 1、問い合わせ先DNS:ルータ 結果:ルータがキャッシュサーバの役割になり、ルータのキャッシュで名前解決できない場合は、ルータが、ルートから順にコンテンツサーバに問い合わせて、ルータが結果をPCに返してくれる(これが可能かは、ルータの機種による?) 2、問い合わせ先DNS:ルートのDNSサーバ 結果:ルータのDNSはキャッシュサーバでは無いので、次に問い合わせる先だけを教えてくれる(この問い合わせではキャッシュサーバが名前解決の経路に無い事になる) 3、問い合わせ先DNS:プロバイダに指定されたDNS(ns1.home.ne.jp) 結果:例えば、www.yahoo.co.jpを問い合わせたとして、ns1.home.ne.jpは自分には分からないよっとだけ答え、 他のアクションは起こさない。 (ns1.home.ne.jpはキャッシュサーバではないので、これだけしかアクションを起こせない) // 題名の「キャッシュサーバとはルータの事?」というのは、 上記3つのことから、本に書いてあったキャッシュサーバというのは、 ルータの事を指しているのかな?と疑問に思ったからです。 // *自分の環境は、PC→ルータ→インターネット *ルータはWBR-G54 *問い合わせDNS:(nslookupで指定した問い合わせ先) よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- DNSに再帰問合せが来る
お世話になります。 もう長い間、管理外のある1つのドメインの再帰問合せが大量に来て困っています。 <ログ> Aug 01 00:00:00 ns named[0000]: client xxx.xxx.xxx.xxx#yyyy: query(cache) 'あるドメイン/クラス' denied 問題のドメインは使っているデータセンターのセカンダリDNSです。 このサーバーのセカンダリにしてはいますが、自分がスレーブになるような設定などはしていません。 問合せて来るIPはバラバラで、googleなどもからも来ています。 一体誰がウチに誘導しているのか分かる方法はないでしょうか?
- 締切済み
- ネットワーク
- お名前.comサーバ(VPS)でのサーバ設定
www.samle.com(samle.com) と ssl.sample.com でそれぞれ別サーバの別コンテンツを表示させようと思っているのですがうまく設定できません。 上記それぞれのサブドメインについて、下記のようにしたいと思っています。 ■www.samle.com(samle.com) ・サーバ:お名前.com VPS-01プラン ・ドメイン:ムームードメインにてドメイン取得、ムームーDNSにて上記お名前.comサーバのIPアドレスをAレコードで設定(wwwあり、なし共に) ■ssl.sample.com ・サーバ:他ASPサービス(問い合わせフォーム)のコンテンツを表示 ・ドメイン:ムームーDNSにて上記ASPより指定されたAレコード及びMXレコードを設定 www.samle.com(samle.com) ではお名前.comサーバ内のコンテンツが表示されているのですが、ssl.sample.comは画面が真っ白となっています。 ターミナルでnslookupコマンドで確かめたところ名前解決はできているようでした。 原因が分からないので教えていただけますと幸いです。
- ベストアンサー
- ハードウェア・サーバー
お礼
なるほど、すごくわかりやすい説明ありがとうございます。 モヤモヤが晴れました! みんながきっちりDNSSEC対応にしてこそセキュリティが守られるシステムなんですね。 しかしまだ普及率そんなに低いんですね。 もちろんDNSSEC対応にした方がいいんでしょうが、まだまだ初心者なので、もう少し勉強してから チャレンジしてみようと思います。 ほんとに色々検索して悩んでいたので、めっちゃ助かりました。 安心して次の作業にかかれます。 ありがとうございました。