DNSの脆弱性

/ .trash / Comment[0]
DNSはHTTPと同様、非常に古くから利用されているサービスで、古いバージョンのDNSでは数多くの脆弱性が報告されている。また、最新バージョンであっても適切な設定がされていないとゾーン転送機能によってネットワーク構成が漏洩する可能性もある。

DNSの脆弱性
・ゾーン転送機能によってネットワーク構成が第三者に漏洩する可能性がある。
・不正なリクエストを送り、不正な情報をキャッシュに登録することが出来る可能性がある。
・不正なリクエストによってサービス不能状態となる可能性がある。

DNSの脆弱性の対策
・バージョンアップ
・バージョン情報を隠蔽
・外部向けゾーン情報と内部向けゾーン情報を分離
・ゾーンサーバとキャッシュサーバを分離
  -ゾーンサーバ ゾーン情報を持つサーバ。キャッシュサーバからの問い合わせのみ応じ、自身では名前解決は行わない。
  -キャッシュサーバ クライアントからの要求に応じ、代理名前解決を行う。ゾーン情報を持たず他のゾーンサーバへ問い合せて名前解決を行う。
・インターネットからのゾーン転送要求を受け付ける必要がない場合は、インターネットからの53/TCPのアクセスをフィルタリングする
・セカンダリDNSサーバのみゾーン転送を許可し、ゾーン転送するデータの範囲を制限する。
・キャッシュサーバを利用可能なホストの範囲を制限
・キャッシュサーバへの問い合わせ数を制限
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可