質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
DNS

DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

Q&A

解決済

2回答

854閲覧

DNSのセキュリティリスクについて

4s.info

総合スコア17

DNS

DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

0グッド

4クリップ

投稿2017/11/01 06:56

現在社内システムを構築中です。

現在AD(内部DNS)のフォワーダに外部DNS(BIND)を設定して、
外部の名前解決を実現しようと思っているのですが、
外部の名前解決が必要なサーバは、
マルウェア対策をインストールしているサーバやWindowアップデートサイトに接続が必要なサーバ
などなど限られたサーバだけになります。

上記の構成の場合、端末や内部セグメントにいる外部の名前解決が不要なサーバも名前解決が可能になってしまうのですが、
その場合のセキュリティリスクはあるのでしょうか
※外部へ通信の必要のない機器についてはFWでDropさせています。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

通常は許容可能なレベルかとは思いますが、リスクがまったくないとは言えません。
以下のようなDNSの悪用が知られています。

遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起

つまり、「外部へ通信の必要のない機器についてはFWでDropさせてい」るつもりであっても、DNSプロトコルによりトンネルさせることにより、内部ネットワークに侵入したマルウェアが外部と通信できるということです。
標的型攻撃に対してどのように対応するかという方針の中で、上記のような脅威が許容可能かどうかを検討することになります。

投稿2017/11/03 08:10

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

4s.info

2017/11/06 00:44

回答ありがとうございます。 いただいた資料確認しました。 今回は内部の名前解決と外部キャッシュDNSはサーバを分けることにします。 ただ、そうなった場合外部DNSを向けるサーバたちの名前解決はhostsを利用しないといけないですよね。 hostsに記載したくないって思いもあるんですが、なかなか難しいですね。
guest

0

自分のFireWall内のマシン、どれもがDNSサーバに問い合わせをするのがイヤで、
特定マシン以外の問い合わせを止めたい ということですよね。

普通のマシンからパケットを出さないようにする、ルータで止める、サーバの入り口でパケットを無視するなどいろいろ方法ありますが、BINDにも問い合わせ制限する機能あります。

allow-query で許可するサイト記述します。記述に無いサイトは無視。
ここにもあります。

http://www.eis.co.jp/bind9_src_build_2/

投稿2017/11/07 06:07

gm300

総合スコア580

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問