BINDの場合、デフォルトで全てのホストから再起問い合わせを受け付けるようになっています。
BINDでは幾つかの形でアクセス制限を行なうことが出来ます。
①allow-recursion で再起問い合わせを制限する
再起問い合わせを許可するホストを制限します。
注意したいのは、allow-recursionで制限されるのは再起問い合わせのみであるということです。
つまり、再起問い合わせ以外の問い合わせ(自分自身が権限を持つゾーンへの問い合わせ&キャッシュとして既に持っている問い合わせ)については制限されません。
allow-recursion はoptionステートメント内でのみ有効です。
zoneステートメントに記述するとBINDが正常に起動しなくなります。
許可するホストの指定には、ホストアドレスおよびネットワークアドレス単位で指定することが可能です。
②再起問い合わせを完全に禁止する
再起問い合わせを完全に禁止するとリゾルバとしての役割を無効にすることができます。
再起問い合わせはメモリ消費量を大幅に消費してしまいますので、再起問い合わせをする必要が無いのであれば無効にしてください。
③allow-query で 問い合わせを制限する
再起問い合わせを制限するのでは無く、クエリ(問い合わせ)自体を制限します。
allow-query はoptionステートメントだけでなくzoneステートメントにも記述することが出来ます。
optionステートメントに記述すると、全ての問い合わせに対して設定が有効になります。
zoneステートメントに記述すると、そのゾーンに関する問い合わせはzoneステートメント内の記述が適用されます。
optionステートメントとzoneステートメントの両方に記述した場合は、そのゾーンに関する問い合わせはzoneステートメント内の記述が適用され、zoneステートメント内に記述が無かったzoneについてはoptionステートメントの記述が適用されます。
④接続そのものを拒否する(blackhole)
DNSサーバに対してクラッキングをしかけるホストが判明した場合、そのホストからの接続そのものを拒否するときに利用するのが「blackhole」です。
blackholeはoptionステートメントにのみ指定することが出来、zoneステートメントには記述できません。
options {
blackhole {
192.168.10.100; ←ホスト指定
192.168.10.0/24; ←ネットワーク指定
};
};
ここで指定されたホストからは、DNSサーバに対する接続そのものが拒否されます。
⑤ゾーン転送を制限する(allow-transfer)
ゾーン転送を許可するホストを許可します。
ゾーン転送を制限無く許可してしまうと、ゾーンの情報を丸ごと公開することになってしまいますのでセキュリティ上好ましくありません。。
ゾーン転送はデフォルトで「全て許可」となっていますので、allow-transfer の設定で明示的に制限しましょう。
options {
allow-transfer{ スレーブ・サーバ1のIP; スレーブ・サーバ2のIP; };
};
allow-transfer はoptionステートメントとzoneステートメントの両方に記述することが出来ます。allow-query と同様に両方に記述した場合は、そのゾーンに関してはzoneステートメント内の記述が優先されます。
optionステートメントの設定がデフォルト値(全て許可)となるので、optionステートメントの方をnone; を指定し、zoneステートメント内で各々ゾーンごとにゾーン転送を許可する設定の仕方がオススメです。
options {
allow-transfer { none; };
};
本日はここまで!
今日覚えておいてもらいたい事項は以下のとおり。
・デフォルトで全てのホストから再起問い合わせを受け付けるようになっている。
・allow-recursion で再起問い合わせしてくるホスト(送信元IP)を制限できる。
・再起問い合わせ(リゾルバ)をする必要が無いのであれば無効にしたほうが良い(メモリが大幅軽減)
・allow-query で 問い合わせしてくるホスト(送信元IP)を制限できる。
・blackholeでDNSサーバへの接続そのものを拒否する。
・allow-transferでゾーン転送を制限できる。※デフォルトだと全てのゾーン情報を丸ごと転送してしまう。
BINDでは幾つかの形でアクセス制限を行なうことが出来ます。
①allow-recursion で再起問い合わせを制限する
再起問い合わせを許可するホストを制限します。
注意したいのは、allow-recursionで制限されるのは再起問い合わせのみであるということです。
つまり、再起問い合わせ以外の問い合わせ(自分自身が権限を持つゾーンへの問い合わせ&キャッシュとして既に持っている問い合わせ)については制限されません。
allow-recursion はoptionステートメント内でのみ有効です。
zoneステートメントに記述するとBINDが正常に起動しなくなります。
許可するホストの指定には、ホストアドレスおよびネットワークアドレス単位で指定することが可能です。
options { allow-recursion { any; }; // any で指定した場合は全て許可されます。 };
②再起問い合わせを完全に禁止する
再起問い合わせを完全に禁止するとリゾルバとしての役割を無効にすることができます。
再起問い合わせはメモリ消費量を大幅に消費してしまいますので、再起問い合わせをする必要が無いのであれば無効にしてください。
options { recursion no; };
③allow-query で 問い合わせを制限する
再起問い合わせを制限するのでは無く、クエリ(問い合わせ)自体を制限します。
options { allow-query { any; }; // any で指定した場合は全て許可されます。 };
allow-query はoptionステートメントだけでなくzoneステートメントにも記述することが出来ます。
optionステートメントに記述すると、全ての問い合わせに対して設定が有効になります。
zoneステートメントに記述すると、そのゾーンに関する問い合わせはzoneステートメント内の記述が適用されます。
optionステートメントとzoneステートメントの両方に記述した場合は、そのゾーンに関する問い合わせはzoneステートメント内の記述が適用され、zoneステートメント内に記述が無かったzoneについてはoptionステートメントの記述が適用されます。
④接続そのものを拒否する(blackhole)
DNSサーバに対してクラッキングをしかけるホストが判明した場合、そのホストからの接続そのものを拒否するときに利用するのが「blackhole」です。
blackholeはoptionステートメントにのみ指定することが出来、zoneステートメントには記述できません。
options {
blackhole {
192.168.10.100; ←ホスト指定
192.168.10.0/24; ←ネットワーク指定
};
};
ここで指定されたホストからは、DNSサーバに対する接続そのものが拒否されます。
⑤ゾーン転送を制限する(allow-transfer)
ゾーン転送を許可するホストを許可します。
ゾーン転送を制限無く許可してしまうと、ゾーンの情報を丸ごと公開することになってしまいますのでセキュリティ上好ましくありません。。
ゾーン転送はデフォルトで「全て許可」となっていますので、allow-transfer の設定で明示的に制限しましょう。
options {
allow-transfer{ スレーブ・サーバ1のIP; スレーブ・サーバ2のIP; };
};
allow-transfer はoptionステートメントとzoneステートメントの両方に記述することが出来ます。allow-query と同様に両方に記述した場合は、そのゾーンに関してはzoneステートメント内の記述が優先されます。
optionステートメントの設定がデフォルト値(全て許可)となるので、optionステートメントの方をnone; を指定し、zoneステートメント内で各々ゾーンごとにゾーン転送を許可する設定の仕方がオススメです。
options {
allow-transfer { none; };
};
本日はここまで!
今日覚えておいてもらいたい事項は以下のとおり。
・デフォルトで全てのホストから再起問い合わせを受け付けるようになっている。
・allow-recursion で再起問い合わせしてくるホスト(送信元IP)を制限できる。
・再起問い合わせ(リゾルバ)をする必要が無いのであれば無効にしたほうが良い(メモリが大幅軽減)
・allow-query で 問い合わせしてくるホスト(送信元IP)を制限できる。
・blackholeでDNSサーバへの接続そのものを拒否する。
・allow-transferでゾーン転送を制限できる。※デフォルトだと全てのゾーン情報を丸ごと転送してしまう。
コメント