キャッシュサーバを権威サーバと兼用すると危ない

～ 分離してキャッシュサーバはアクセス制限しましょう ～

兼用していると、、、

1. 毒を入れられやすい

   理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである(オープンでなくとも毒いれする方法はある)。
   さらに、誰でも任意のゾーンが登録できるという恐ろしいサービスをしていると毒は入れ放題である。(そういうサービスは実在する) ...参考

2. DDoS(DNS amplification attack)の踏み台になりやすい

   理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである。

3. アクセス制限をしづらい/忘れる/失敗する

   理由: 権威サーバは世界に公開しないといけないので、ファイアウォールで守るのが困難。BINDだと仕様がよく変わり、ある日から中途半端なアクセス制限のような状態になったりする。

4. キャッシュ利用者のアクセス先の漏洩が起きるかもしれない

   理由: 中途半端なアクセス制限による。

5. キャッシュ利用者に嘘の応答をしてしまう危険性がある

   理由: 再帰問い合わせ要求に対して上位から委譲されていないゾーンのデータを応答してしまう

6. ゾーンの移転に失敗しやすい

   理由: 5. の結果、権威ゾーンを他に移転した後も旧権威ゾーンをキャッシュ利用者に応答し続ける (実例)

7. 下手なキャッシュサーバに毒を入れるかもしれない

   理由: 権威サーバがキャッシュを応答。これで毒が入るのは不良キャッシュサーバですが。

8. DNSをいつまでたっても理解できなくなる

   理由: 応答が権威あるものかキャッシュなのかわかりづらい。再帰問い合わせ/非再帰問い合わせの使い分けを学習できない。浸透いうな

9. Lame Delegation を起こしやすい (役立たずのサーバに気づかない)

   理由: 運用管理者がDNSを理解できていないと応答がキャッシュであることに気づかなかったりする。

10. コストがかかる

    理由: 上記トラブルを避けるための労力や、脆弱性対応、設定、運用、障害時の切り分け、ユーザサポート対応などのコストが複雑化により大幅に増える。(分離にかかるコストを上回る)

関連

• DNS Amp Check (「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断)
• BIND を捨てよう
• 浸透いうな

参考文書

• JPRS トピックス & コラム No.20 「DNSの安全性・安定性向上のためのキホン～お使いのDNSサーバーは大丈夫ですか？」(PDF)
• JPRS 「DNS の再帰的な問合せを使った DDoS 攻撃の対策について」