none
DNSサーバの再帰問合せ無効化とインターネット通信について RRS feed

  • 質問

  • こんにちは。私は某企業にてサーバ管理を行っています。

    Windows2008 R2 Standard SP1 で、1台のドメインコントローラがあります。

    DHCPは立てておらず、DNSサーバを立てています。インターネットは内部の別セグメントにあるプロキシサーバがあります。プロキシアドレスは、IPではなくFQDNで記載しています。

    また、内部ネットワーク上の別セグメントにDNSサーバが4台あり、DNSサーバ上ではフォワーダで3台分のDNSサーバアドレスを登録しています。

    DDoS 攻撃の踏み台とされる可能性があるとの指摘をうけたため、DNSサーバ上で設定変更をする必要があるのですが、再帰問合せを無効にするとインターネットが閲覧できなくなってしまいます。

    どこをどのように直せばよいかわからず困っています。下記ページ等、多くの場合はBINDについての解説ばかりです。

    クライアントPCに、すべてのDNSアドレスを設定すればインターネットが閲覧できることはわかりましたが、可能ならばサーバ上の設定を操作するだけの作業にとどめたく考えています。

    http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

    どなたかお知恵を拝借できればとても幸いです。よろしくお願いします。

    2013年10月10日 9:48

回答

  • チャブーンです。

    まず、JPRSの推奨ですが、事実上したのような設定です。で、結論を言ってしまうとMicrosoft DNSでは、この動作を行うことができません(2台のDNSサーバに役割を分ける必要があります)。

    • 社内イントラネットIPアドレスからのみ「キャッシュサーバ」機能のDNSサーバにアクセスできるようにする
    • 社外IPアドレスからは「コンテンツサーバ」のDNSサーバのみにアクセスできるようにする
    • MS DNSサーバ以外のDNSサーバ(BIND等)は、これらのアクセス制御ができるので、1台でセキュリティを確保できる

    DNSの「コンテンツサーバ」のみの展開は、サーバがインターネットやDMZ上に置かれている際には重要ですが、イントラネット内の場合外部IPアドレスからアクセスはありませんので(あった場合ファイアウォール等の別レイヤの設定が不適切です)、事実上無意味です。

    この設定はMS DNS1台の環境で行うことはできないこと、(Active Directorで通常利用される)イントラネットオンリーのアクセス環境では事実上不要であることを説明して、セキュリティ担当者に納得いただくことが、適切なように思います。

    うえのはなしとは別に、Active Directory DNSサーバには「ルートヒント(社外の最上位DNSサーバ)への再帰を行わせたくない」という要件がある場合、各DNSサーバにフォワーダを設定したうえ「フォワーダーが利用できない場合にルートヒントを利用する」のチェックをOFFにしてください。

    • 回答の候補に設定 佐伯玲 2013年10月15日 2:18
    • 回答としてマーク ペンギン子 2013年10月22日 0:49
    2013年10月11日 7:40
    モデレータ

すべての返信

  • チャブーンです。

    まず、JPRSの推奨ですが、事実上したのような設定です。で、結論を言ってしまうとMicrosoft DNSでは、この動作を行うことができません(2台のDNSサーバに役割を分ける必要があります)。

    • 社内イントラネットIPアドレスからのみ「キャッシュサーバ」機能のDNSサーバにアクセスできるようにする
    • 社外IPアドレスからは「コンテンツサーバ」のDNSサーバのみにアクセスできるようにする
    • MS DNSサーバ以外のDNSサーバ(BIND等)は、これらのアクセス制御ができるので、1台でセキュリティを確保できる

    DNSの「コンテンツサーバ」のみの展開は、サーバがインターネットやDMZ上に置かれている際には重要ですが、イントラネット内の場合外部IPアドレスからアクセスはありませんので(あった場合ファイアウォール等の別レイヤの設定が不適切です)、事実上無意味です。

    この設定はMS DNS1台の環境で行うことはできないこと、(Active Directorで通常利用される)イントラネットオンリーのアクセス環境では事実上不要であることを説明して、セキュリティ担当者に納得いただくことが、適切なように思います。

    うえのはなしとは別に、Active Directory DNSサーバには「ルートヒント(社外の最上位DNSサーバ)への再帰を行わせたくない」という要件がある場合、各DNSサーバにフォワーダを設定したうえ「フォワーダーが利用できない場合にルートヒントを利用する」のチェックをOFFにしてください。

    • 回答の候補に設定 佐伯玲 2013年10月15日 2:18
    • 回答としてマーク ペンギン子 2013年10月22日 0:49
    2013年10月11日 7:40
    モデレータ
  • チャブーンさん

    ご回答ありがとうございました!WindowsのDNSは痒いところに手が届かないというか・・・今回の件で思い知りました。何だか歯がゆいです。

    根本解決にならないかもしれませんが、今回はファイアウォール側で設定してもらうよう依頼することにしました。

    2013年10月22日 0:52
  • チャブーンです。

    Microsoft DNSはドメインコントローラとセットで使うことを前提にしているので(もちろんそうでなくても使えますが)、BIND等とは設計思想が違う点があることはご理解いただいた方がいいと思います。

    あと、余計なお世話かもしれませんが、ドメインコントローラがイントラネットではなく、DMZ上に置いてあるからファイアウォールの設定が追加で必要ということなんでしょうか?

    一般的にドメインコントローラはインターネット上やDMZ上には配置しません(理由は今までの流れでご理解いただけると思いますが)。もしそういう構成なのであれば、セカンダリDNSサーバを「コンテンツサーバのみ」の設定にしてDMZに置き(Microsoft DNSでもOKです)、プライマリDNSサーバとしてのドメインコントローラはイントラネット内に再配置する、という方法も考えられます。実際にはActive Directory DNSレコードを外部に公開すること自体セキュリティ上問題がある点がありますので、外部公開を前提とした場合、きちんとしたDNS設計を行う必要があります。

    2013年10月22日 2:00
    モデレータ