DNSサーバーを保護するための10の方法

DNSソフトウェアは、ハッカーの攻撃に対する熱意の標的であり、セキュリティ上の問題を引き起こす可能性があります。これがあなたのDNSサーバーを保護するための最も効果的な方法のいくつかです。 1. DNSフォワーダを使用する
DNSフォワーダは、他のDNSサーバーに対してDNSクエリを実行するDNSサーバーです。 DNSフォワーダを使用する主な目的は、DNS処理のプレッシャーを軽減し、DNSサーバーからフォワーダにクエリ要求を転送し、DNSフォワーダに潜在的に大きいDNSキャッシュを利用することです。
DNSフォワーダを使用するもう1つの利点は、DNSサーバーがインターネットDNSサーバーからのクエリ要求を転送できないことです。 DNSサーバーが内部ドメインのDNSリソースレコードを保持している場合、これは非常に重要です。内部DNSサーバーがDNSサーバーに直接再帰的に照会して連絡するのではなく、フォワーダーを使用して不正な要求を処理します。
2.バッファDNSサーバーのみを使用する
バッファDNSサーバーのみが承認済みドメイン名用です。これは再帰クエリとして、またはフォワーダを使用して使用されます。バッファリングされたDNSサーバーのみがフィードバックを受信すると、結果をキャッシュに保存し、その結果をDNSクエリ要求を送信したシステムに送信します。時間が経つにつれて、バッファリングしているDNSサーバーだけが多くのDNSフィードバックを収集できるため、DNS応答を提供するのにかかる時間を大幅に短縮できます。
バッファされたDNSサーバーをフォワーダとして使用すると、管理下にある組織のセキュリティを向上させることができます。内部DNSサーバーは、DNSサーバーを自身のフォワーダーとしてのみ扱うことができ、内部DNSサーバーの代わりにDNSサーバーをバッファリングして再帰クエリを完成させることしかできません。特にISPのDNSサーバーのセキュリティを確認できない場合は、ISPのDNSサーバーをフォワーダーとして使用する必要がないため、独自のバッファー付きDNSサーバーをフォワーダーとして使用するとセキュリティが向上します。
3. DNS広告主を使用する

DNS広告主は、ドメイン内のクエリの解決を担当するDNSサーバーです。たとえば、あなたのホストがdomain.comとcorp.comの公的に利用可能なリソースである場合、あなたのパブリックDNSサーバーはdomain.comとcorp.comのためにDNSゾーンファイルを設定するべきです。
DNSゾーンファイルをホストしているDNSサーバー以外のDNS広告主設定は、DNS広告主が承認したドメイン名にのみ回答するというクエリです。この種類のDNSサーバーは他のDNSサーバーに対して再帰的なクエリを実行しません。これにより、ユーザーがパブリックDNSサーバーを使用して他のドメイン名を解決することを防ぎます。キャッシュポイズニングなど、パブリックDNSリゾルバの実行に関連するリスクを減らすことによってセキュリティを強化しました。
4. DNSリゾルバの使用
DNSリゾルバは、再帰的なクエリを実行することができるDNSサーバです。たとえば、internalcorp.com DNSサーバーの内部ネットワークドメイン名を承認するDNSサーバーが内部ネットワークにあるとします。ネットワーク上のクライアントがこのDNSサーバーを使用してtechrepublic.comを解決すると、DNSサーバーは他のDNSサーバーに照会して回答を得ることで再帰を実行します。
DNSサーバーとDNSリゾルバーの違いは、DNSリゾルバーはインターネットのホスト名を解決するためだけにあるということです。 DNSリゾルバは、認証されていないDNSドメイン名を持つキャッシュ専用のDNSサーバーにすることができます。 DNSリゾルバを内部ユーザー専用にすることも、外部ユーザー専用にすることもできるので、制御できない方法以外にDNSサーバーを設定する必要がなくなり、セキュリティが向上します。もちろん、DNSリゾルバを内部ユーザと外部ユーザの両方に使用させることもできます。
5.キャッシュ汚染からDNSを保護する
DNSキャッシュ汚染はますます一般的な問題となっています。ほとんどのDNSサーバーは、要求元ホストに返信する前にDNSクエリの結果をキャッシュに保存できます。 DNSキャッシュを使用すると、組織内のDNSクエリのパフォーマンスを大幅に向上させることができます。問題は、DNSサーバーのキャッシュが多くの偽のDNS情報によって「汚染されている」場合、ユーザーは本来アクセスしたいサイトではなく悪意のあるサイトに送信される可能性があることです。
ほとんどのDNSサーバーは設定によってキャッシュ汚染を防ぐことができます。 Windows Server 2003 DNSサーバーの既定の構成状態は、キャッシュの汚染を防ぎます。 Windows 2000 DNSサーバーを使用している場合は、それを設定し、DNSサーバーの[プロパティ]ダイアログを開き、[詳細設定]テーブルをクリックします。 「キャッシュ汚染を防ぐ」オプションを選択してDNSサーバーを再起動します。

6. DDNSに安全な接続のみを使用させる
多くのDNSサーバーは動的な更新を受け入れます。動的更新機能により、これらのDNSサーバーはDHCPを使用してホストのホスト名とIPアドレスを記録できます。 DDNSを使用すると、DNS管理者の管理コストを大幅に削減できます。それ以外の場合、管理者はこれらのホストのDNSリソースレコードを手動で設定する必要があります。
ただし、DDNSが検出されずに更新された場合は、深刻なセキュリティ問題が発生する可能性があります。悪意のあるユーザーは、ファイルサーバー、Webサーバー、またはデータベースサーバーによって動的に更新されるDNSホストレコードになるようにホストを設定することができますこれらのサーバーに接続したい場合、それらは他のマシンに転送されます。
DNSサーバーへの安全な接続を要求することで動的アップグレードを実行することで、悪意のあるDNSアップグレードのリスクを減らすことができます。これは簡単で、Active Directory統合ゾーンを使用するようにDNSサーバーを構成するだけでよく、安全な動的アップグレードが必要です。このようにして、すべてのドメインメンバーはDNS情報を安全かつ動的に更新できます。
7.ゾーン転送を無効にする
ゾーン転送は、プライマリDNSサーバーとセカンダリDNSサーバーの間で行われます。プライマリDNSサーバーは、必要に応じて更新できる書き換え可能なDNSゾーンファイルを使用して特定のドメイン名を承認します。これらのゾーンファイルの読み取り専用コピーは、プライマリDNSサーバーからDNSサーバーから受信されます。 DNSサーバーは、内部またはインターネットのDNSクエリからの応答パフォーマンスを向上させるために使用されます。
ただし、ゾーン転送はDNSサーバーだけのものではありません。 DNSクエリー要求を行うことができる人はだれでも、ゾーン転送が自分のゾーンデータベースファイルをダンプできるようにするDNSサーバー構成の変更を引き起こす可能性があります。悪意のあるユーザーは、この情報を使用して組織内の命名計画を調べ、重要なサービスアーキテクチャを攻撃することができます。セキュリティ上の理由から、DNSサーバーを構成したり、ゾーン転送要求を無効にしたり、組織内の特定のサーバーへのゾーン転送のみを許可したりすることができます。
8.ファイアウォールを使用してDNSアクセスを制御する
ファイアウォールを使用して、DNSサーバーに接続できるユーザーを制御できます。内部ユーザーのクエリ要求にのみ応答するDNSサーバーの場合は、外部ホストがこれらのDNSサーバーに接続できないようにファイアウォールを構成する必要があります。キャッシュ専用フォワーダーとして機能するDNSサーバーの場合、ファイアウォール設定は、フォワーダーのみをキャッシュするDNSサーバーからのクエリ要求のみを許可するように設定する必要があります。ファイアウォールポリシー設定における重要な点は、内部ユーザーがDNSプロトコルを使用して外部のDNSサーバーに接続するのを防ぐことです。
9. DNSレジストリでアクセス制御を確立する
WindowsベースのDNSサーバーでは、アクセスが必要なアカウントだけが読み取りまたは変更できるように、DNSサーバー関連のレジストリでアクセス制御を設定する必要があります。これらのレジストリ設定
HKLM \\ CurrentControlSet \\ Services \\ DNSキーは、管理者とシステムアカウントによるアクセスのみを許可し、これらのアカウントは完全に制御できるようにする必要があります。
10. DNSファイルシステムポータルでのアクセス制御の設定
WindowsベースのDNSサーバーでは、アクセスを必要とするアカウントだけが読み取りまたは変更を行えるように、DNSサーバーのファイルシステムエントリにアクセス制御を設定する必要があります。ファイル
％system_directory％\\ DNSフォルダとサブフォルダは、システムアカウントへのアクセスのみを許可し、システムアカウントはフルコントロールを持つ必要があります。 DDNSが安全な接続のみを使用するようにする