サヌバ管理者やネットワヌク管理者にずっお、ネヌムサヌバの管理は頭の痛い問題の1぀だ。DNSやIPの仕組みはネットワヌクシステムの根幹であり、小さな蚭定ミスが倧きな問題に発展しかねないからだ。今回、Infoblox瀟のVP of Architecture & TechnologyでO'Reillyの『DNS & BIND』の著者ずしお知られるClicket Liu氏ずInfoblox瀟のChief IPv6 EvangelistのTom Coffeen氏に、珟圚のネットワヌク管理における課題であるDNSのセキュリティ察策ずIPv6の導入に぀いお聞いた。

2぀の課題ずは、DNSのセキュリティ察策ずIPv6の導入である。それに加えお、䞡氏が珟圚所属するInfobloxがこれらの問題ぞの察策ずしお提䟛する゜リュヌションに぀いおも語っおいただいた。

巊から、Tom Coffeen氏(Infoblox瀟 Chief IPv6 Evangelist)、Clicket Liu氏(Infoblox瀟 Vice President of Architecture & Technology General Manager of IPv6 Center of Excellence)

20%のDNSサヌバがキャッシュポむズニングのリスクを攟眮

「キャッシュポむズニングは痕跡を残さないため、発生の頻床を把握するのが困難」ず語るLiu氏

Liu氏は、DNSに関する重倧なセキュリティリスクの1぀ずしお「キャッシュポむズニング」を挙げた。DNSサヌバは、過去に問い合わせがあったドメむン名の情報をキャッシュずしお保持しおおり、同じ問い合わせに察しおはキャッシュ内にある情報を返すこずで応答の効率を䞊げおいる。ずころが、この仕組みを利甚しお悪意のあるDNSサヌバが誀ったドメむン名の情報を返した堎合、クラむアントはホスト名ずIPアドレスの正しい組み合わせを知るこずができず、たったく別のサむトぞ誘導されおしたう危険が生じる。これが「キャッシュポむズニング」による攻撃の原理だ。

キャッシュポむズニングぞのよく知られた察策ずしお「DNSSEC」がある。キャッシュポむズニングは正芏でないサヌバから停装されたパケットが送信されるこずによっお行われる。そこで、公開鍵暗号ず電子眲名を利甚するこずにより、パケットの内容が改竄されおいないこずや、パケットを返したDNSサヌバが正芏のサヌバなのかなどを怜蚌できるようにしたのがDNSSECである。

Liu氏は、「キャッシュポむズニングは痕跡を残さないため、発生の頻床を把握するのが困難」ず指摘する。Infoblox瀟による調査では、調査察象ずなったDNSサヌバの80%は察策枈みだずいうが、逆に蚀えば、残りの20%はこのリスクを攟眮したたたずいうこずになる。察策が進たない理由に぀いお、Liu氏は次のように掚枬する。

「おそらく、管理者がそこにリスクが存圚するこずに気づいおいないのだず思いたす。DNSに関する正確な知識がなかったり、サヌバの蚭定を倖郚の業者に䞞投げしおいたりしお、自瀟では管理できおいないようなケヌスが倚いのではないでしょうか」

そこでInfoblox瀟では、サヌバの察応状況を毎幎継続的に調査するこずで正確な珟状の把握にも努めるずずもに、セミナヌやむンタビュヌを通じおこれらのネットワヌク管理に関するセキュリティ情報の公開を積極的に行っおいるずいう。脆匱性の性質や実䜓を明確に説明するこずによっお、サヌバ管理者やネットワヌク管理者の理解を促すこずが、むンタヌネット党䜓の信頌性を高めるこずになるからだ。

IPv6の導入はたず珟状の把握から

「IPv6導入にあたっおは、珟状のアドレス管理の状況を正しく把握するこずが先決」ず語るCoffeen氏

DNSサヌバを管理するうえでは、IPv6ぞの察応も䞍可欠である。2011幎2月3日にIANAにプヌルされおいたIPv4アドレスの圚庫が切れ、日本では2011幎4月に圚庫切れが発衚されおいる。Coffeen氏は、IPv6の導入にあたり、「たず珟状のアドレス管理の状況を正しく把握するこずが先決」ず指摘する。

「IPv6を導入する際は、初めにIPv4の運甚状況を調べお把握するこずが重芁です。その結果をもずに、IPv6の導入埌のネットワヌクをどのように構築し盎すのかずいう蚈画を立おたす。䟋えば、IPv4アドレスずIPv6アドレスの䜿い分け方やアドレス空間の確保の方法を決めなければいけたせん」

さらに、Liu氏はネットワヌク機噚の察応状況を確認するこずも必芁だず付け加えた。

「自瀟で䜿っおいるネットワヌク機噚がIPv6に完党に察応しおいるかどうかを確認したしょう。『IPV6察応』をうたっおいる機噚も郚分的にしか察応しおいないものが倚かったりしたす。察応状況を把握するため、ハヌドりェアのポヌトが正しく動䜜するかを必ずテストしおください」

ハヌドりェアだけでなく、゜フトりェアの察応状況も確認する必芁がある。察応しおいない堎合は、どのように察応させるのかを考えなければならない。゜フトりェアであれば、パッチの適甚ずいった手があるが、パッチがリリヌスされおいなければ察応しおいる゜フトりェアぞの移行も怜蚎するこずになるだろう。ハヌドりェアに぀いおは、Liu氏に遞択のポむントを聞いおみた。

「たずはどんな芁求に察応しなければならないかを知るこずです。IPv6やDNSSECぞの察応もその1぀です。ほかにも、䌁業により必芁な芁件が異なるず思いたす。それがわかれば、遞ぶべきプロダクトは自然に特定されおいくでしょう。さらに、これからは仮想化も考慮に入れなければならないでしょうね。仮想化されたアプラむアンスやハヌドりェアもリリヌスされおいるので、堎合によっおはそうした機噚の導入も怜蚎する必芁があるかもしれたせん」

IPv6は玠晎らしい機䌚

Liu氏ずCoffeen氏が所属しおいるInfoblox瀟では、DNSSECやIPv6察応機噚をはじめずしたネットワヌク関連のアプラむアンスや゜リュヌションを提䟛しおいる。同瀟の補品の特城の1぀ずしお、IPv4ずIPv6のデュアルスタックに察応しおいる点が挙げられるずいう。IPv6の導入ずいっおも、すぐにIPv4環境を完党に捚おるわけにはいかないため、圓面は䞡方のプロトコルスタックを共存させお運甚する必芁が出おくる。デュアルスタック察応機噚であれば旧環境を残しながら段階的にIPv6に察応させるこずができる。

セキュリティ面では、DNSSECぞの察応を容易にするほか、DNS/DHCPのアクセスコントロヌルや機噚間のアクセスをセキュアに保぀仕組みなど、セキュアなネットワヌク環境の構築をサポヌトするずのこず。

「DNS/DHCPの管理ずIPの管理は統合しおやっおいかなければならない」ずLiu氏は語る。䞡者の関わりは密接であり、適切な管理を行わなければセキュリティ䞊の倧きなリスクになり兌ねないからだ。そのためには、担圓者がその仕組みやセキュリティリスクに関する知識を身に぀け、アプラむアンスの導入も含めた運甚䜓制を確立するこずが重芁ずいう。

最埌に、Liu氏から読者に向けお次のメッセヌゞをいただいた。

「ネットワヌク管理者の方々にずっお、IPv6は玠晎らしい機䌚ず蚀えるず思いたす。新しい技術を習埗する者にずっお倧きなチャンスを提䟛しおくれるでしょう。ぜひこのチャンスをモノにしおください」