サーバ管理者やネットワーク管理者にとって、ネームサーバの管理は頭の痛い問題の1つだ。DNSやIPの仕組みはネットワークシステムの根幹であり、小さな設定ミスが大きな問題に発展しかねないからだ。今回、Infoblox社のVP of Architecture & TechnologyでO'Reillyの『DNS & BIND』の著者として知られるClicket Liu氏とInfoblox社のChief IPv6 EvangelistのTom Coffeen氏に、現在のネットワーク管理における課題であるDNSのセキュリティ対策とIPv6の導入について聞いた。

2つの課題とは、DNSのセキュリティ対策とIPv6の導入である。それに加えて、両氏が現在所属するInfobloxがこれらの問題への対策として提供するソリューションについても語っていただいた。

左から、Tom Coffeen氏(Infoblox社 Chief IPv6 Evangelist)、Clicket Liu氏(Infoblox社 Vice President of Architecture & Technology General Manager of IPv6 Center of Excellence)

20%のDNSサーバがキャッシュポイズニングのリスクを放置

「キャッシュポイズニングは痕跡を残さないため、発生の頻度を把握するのが困難」と語るLiu氏

Liu氏は、DNSに関する重大なセキュリティリスクの1つとして「キャッシュポイズニング」を挙げた。DNSサーバは、過去に問い合わせがあったドメイン名の情報をキャッシュとして保持しており、同じ問い合わせに対してはキャッシュ内にある情報を返すことで応答の効率を上げている。ところが、この仕組みを利用して悪意のあるDNSサーバが誤ったドメイン名の情報を返した場合、クライアントはホスト名とIPアドレスの正しい組み合わせを知ることができず、まったく別のサイトへ誘導されてしまう危険が生じる。これが「キャッシュポイズニング」による攻撃の原理だ。

キャッシュポイズニングへのよく知られた対策として「DNSSEC」がある。キャッシュポイズニングは正規でないサーバから偽装されたパケットが送信されることによって行われる。そこで、公開鍵暗号と電子署名を利用することにより、パケットの内容が改竄されていないことや、パケットを返したDNSサーバが正規のサーバなのかなどを検証できるようにしたのがDNSSECである。

Liu氏は、「キャッシュポイズニングは痕跡を残さないため、発生の頻度を把握するのが困難」と指摘する。Infoblox社による調査では、調査対象となったDNSサーバの80%は対策済みだというが、逆に言えば、残りの20%はこのリスクを放置したままということになる。対策が進まない理由について、Liu氏は次のように推測する。

「おそらく、管理者がそこにリスクが存在することに気づいていないのだと思います。DNSに関する正確な知識がなかったり、サーバの設定を外部の業者に丸投げしていたりして、自社では管理できていないようなケースが多いのではないでしょうか」

そこでInfoblox社では、サーバの対応状況を毎年継続的に調査することで正確な現状の把握にも努めるとともに、セミナーやインタビューを通じてこれらのネットワーク管理に関するセキュリティ情報の公開を積極的に行っているという。脆弱性の性質や実体を明確に説明することによって、サーバ管理者やネットワーク管理者の理解を促すことが、インターネット全体の信頼性を高めることになるからだ。

IPv6の導入はまず現状の把握から

「IPv6導入にあたっては、現状のアドレス管理の状況を正しく把握することが先決」と語るCoffeen氏

DNSサーバを管理するうえでは、IPv6への対応も不可欠である。2011年2月3日にIANAにプールされていたIPv4アドレスの在庫が切れ、日本では2011年4月に在庫切れが発表されている。Coffeen氏は、IPv6の導入にあたり、「まず現状のアドレス管理の状況を正しく把握することが先決」と指摘する。

「IPv6を導入する際は、初めにIPv4の運用状況を調べて把握することが重要です。その結果をもとに、IPv6の導入後のネットワークをどのように構築し直すのかという計画を立てます。例えば、IPv4アドレスとIPv6アドレスの使い分け方やアドレス空間の確保の方法を決めなければいけません」

さらに、Liu氏はネットワーク機器の対応状況を確認することも必要だと付け加えた。

「自社で使っているネットワーク機器がIPv6に完全に対応しているかどうかを確認しましょう。『IPV6対応』をうたっている機器も部分的にしか対応していないものが多かったりします。対応状況を把握するため、ハードウェアのポートが正しく動作するかを必ずテストしてください」

ハードウェアだけでなく、ソフトウェアの対応状況も確認する必要がある。対応していない場合は、どのように対応させるのかを考えなければならない。ソフトウェアであれば、パッチの適用といった手があるが、パッチがリリースされていなければ対応しているソフトウェアへの移行も検討することになるだろう。ハードウェアについては、Liu氏に選択のポイントを聞いてみた。

「まずはどんな要求に対応しなければならないかを知ることです。IPv6やDNSSECへの対応もその1つです。ほかにも、企業により必要な要件が異なると思います。それがわかれば、選ぶべきプロダクトは自然に特定されていくでしょう。さらに、これからは仮想化も考慮に入れなければならないでしょうね。仮想化されたアプライアンスやハードウェアもリリースされているので、場合によってはそうした機器の導入も検討する必要があるかもしれません」

IPv6は素晴らしい機会

Liu氏とCoffeen氏が所属しているInfoblox社では、DNSSECやIPv6対応機器をはじめとしたネットワーク関連のアプライアンスやソリューションを提供している。同社の製品の特徴の1つとして、IPv4とIPv6のデュアルスタックに対応している点が挙げられるという。IPv6の導入といっても、すぐにIPv4環境を完全に捨てるわけにはいかないため、当面は両方のプロトコルスタックを共存させて運用する必要が出てくる。デュアルスタック対応機器であれば旧環境を残しながら段階的にIPv6に対応させることができる。

セキュリティ面では、DNSSECへの対応を容易にするほか、DNS/DHCPのアクセスコントロールや機器間のアクセスをセキュアに保つ仕組みなど、セキュアなネットワーク環境の構築をサポートするとのこと。

「DNS/DHCPの管理とIPの管理は統合してやっていかなければならない」とLiu氏は語る。両者の関わりは密接であり、適切な管理を行わなければセキュリティ上の大きなリスクになり兼ねないからだ。そのためには、担当者がその仕組みやセキュリティリスクに関する知識を身につけ、アプライアンスの導入も含めた運用体制を確立することが重要という。

最後に、Liu氏から読者に向けて次のメッセージをいただいた。

「ネットワーク管理者の方々にとって、IPv6は素晴らしい機会と言えると思います。新しい技術を習得する者にとって大きなチャンスを提供してくれるでしょう。ぜひこのチャンスをモノにしてください」