2008年9月29日月曜日

DNS キャッシュポイズニング対策

当社では自社ドメインすべてを自前のサーバで管理していますが最近そのDNSサーバへ不正にアクセスしようとする不届き者が・・・。
 
キャッシュおよびコンテンツ(作成したゾーン)はアクセス制限しているためキャッシュを汚染されることは、まずないと思われるのですが、
キャッシュポイズニング対策として念のためキャッシュ機能は使わないように変更します。
 
キャッシュポイズニングとは簡単に言うとキャッシュされているDNS情報を不正に書き換えてしまう。
これにより問い合わせをしたとき本来とは違う回答を返してしまうため偽サイトに誘導されたりする。

 named.confを以下のように修正します。(bind9.2.4)

 options部分にrecursion no;を追記する。

 "."ゾーンを参照させないように変更する。
 zone "." IN {
      type hint;
 //    file "named.ca";
      file "/dev/null";
 };
 
 namedをrestartする。
 
 簡単にDNSサーバをチェックしてくれるサイトがあるので試してみましょう。
http://recursive.iana.org/の「Provide a domain namename to analyse」欄にドメインを入力してクエリ送信ボタンを押してみましょう。
 
 結果
 ・Safe 安全です
 ・Vulnerable 危険な状態
 ・Highly vulnerable 大変危険な状態

 Name Serverにはサーバごとに個別結果が表示されます
 ・Not recursive 安全です(ドメイン管理のみしている)
 ・is recursive 危険な状態(ドメイン管理以外にキャッシュサーバとしても機能している)
 ・could not detect source port randomisation 大変危険(ポートが固定化されている)
 ・Could not scan スキャンできない(正常稼動していないのでは・・・)
 ・Completely lame 機能に問題あり?
 

0 件のコメント:

Google検索