権威DNSサーバとは
権威DNSサーバとは、自らが管理するドメインの情報を、インターネットに公開する役割を持つDNSサーバである。例えば、デージーネットではdesignet.co.jpというドメインを管理している。このドメインに所属するwww.designet.co.jpなどのホストの情報は、デージーネットが管理する権威DNSサーバに保管され、公開されている。公開している情報のSOA(権威)を持っていることから、権威DNSサーバと呼ぶ。また、公開するデータ(コンテンツ)を管理するサーバであるため、DNSコンテンツサーバ、コンテンツDNSサーバとも呼ばれている。
権威DNSサーバとゾーン
DNSの名前空間の中にあるノードや、ノードを含むそれ以下のノードの一部または全部をゾーンと呼ぶ。つまり、designet.co.jpというドメインの場合、その配下にあるwww.designet.co.jpもゾーンと呼ぶことがでる。また、designet.co.jpに属するノードとサブドメイン全体をゾーンと呼ぶこともできる。
権威DNSサーバは、ゾーンに対して配置され、ゾーンに含まれる下位ゾーンの管理を、必要に応じて別の権威DNSサーバに委託することもできる。
DNSの名前空間の頂点は「.」で、これはルートと呼ばれる。そして、ルートを管理する権威DNSサーバを、ルートサーバと呼ぶ。ルートサーバは、.com、.net、.jpなどの自身のゾーンを一部を、別の権威DNSサーバに移譲している。そして、そのサーバも、自身のゾーンの一部を別のサーバに移譲する。DNSの名前空間は、このような委譲を繰り返すことで、階層的に管理されている。
正引きゾーンと逆引きゾーン
DNSによる名前解決で、www.designet.co.jpのようなドメイン名からIPアドレスを調べる通常の使い方を「正引き」と呼ぶ。これとは反対に、IPアドレスからドメイン名を調べる使い方を「逆引き」と呼ぶ。「正引き」ゾーンは、ルートサーバを示す「.」を起点とする階層構造で管理され、「逆引き」のゾーンは、「in-addr.arpa.」を起点とする階層構造で管理される。192.168.1.1というIPアドレスの逆引きの情報は、1.1.168.192.in-addr.arpa.のように、「in-addr.arpa.」を起点としてIPアドレスを逆に並べた形式で表記される。通常、権威DNSサーバでは正引きと逆引きの両方のゾーンを管理するのが一般的ある。
マスタサーバとスレーブサーバ
権威DNSサーバが一台しかないと、障害などの場合に名前解決を行うことができなくなってしまう。そのため、一つのゾーンに対して、2台以上の権威DNSサーバを配置するのが一般的である。この構成を実現するために、一台をマスタサーバとして配置し、残りをスレーブサーバとして配置する方法が使われる。マスタサーバは、ゾーンのデータベースを持っていてそれを管理するサーバである。一方、スレーブサーバは、マスタサーバからゾーンの情報を受け取りコピーを保存するサーバである。
マルチマスタとマルチDNS構成
最近では、PowerDNSのようにバックエンドにデータベースを利用できるDNSサーバソフトウェアも登場している。そのため、データベースの冗長性は別の方法で担保し、同じデータベースを参照する複数のマスタサーバでシステムを構成する方法も使われている。この構成をマルチマスタ構成と呼ぶ。また、最近では、管理性に優れたPowerDNSをマスタサーバとし、性能に優れたNSD、knotDNSなどをスレーブサーバとして配置する構成が使われることもある。このような構成をマルチDNS構成と呼ぶ。
権威DNSサーバのセキュリティ
DNSを悪用した攻撃が繰り返し観測されている。そのため、権威DNSサーバでもセキュリティには十分に配慮する必要がある。
アクセス制御
権威DNSサーバは、ゾーンの情報を広くインターネット全体に知らせるために使われる。そのため、すべての相手先から問い合わせを受け付ける必要がある。
権威DNSサーバは、管理しているデータベースが不正侵入などで改竄されることがないように十分に注意が必要である。そのため、不要なサービスの停止、chrootなどを活用したサービスの保護、SELinuxの導入などの対策を行う必要がある。
キャッシュポイズニング攻撃の対策
DNSキャッシュサーバに偽の情報を送り込む攻撃が繰り返し観測されている。この攻撃は、キャッシュポイズニング攻撃と呼ばれている(詳しくは「キャッシュポイズニング」を参照)。
権威DNSサーバが、DNSキャッシュサーバを兼用していると、キャッシュポイズニング攻撃により管理しているゾーンのデータも影響を受ける場合がある。そのため、権威DNSサーバはキャッシュサーバと兼用する構成で使うべきではない。
DNSSEC
DNSSECは、DNSによる名前解決の結果が正しいことを検証するためのDNSの拡張プロトコルである。DNSSECに対応した権威DNSサーバでは、ゾーンを公開鍵暗号方式で署名する。また、名前解決のリクエストを受けた場合には、問い合わせの回答に署名を付加して回答を行う。利用者は、この署名を検証することで、データの妥当性をチェックすることができる。
権威DNSサーバは、利用者がキャッシュポイズニング攻撃を受けたことを検証できるように、DNSSECに対応することが望ましい。詳しくは、DNSSECを参照。
権威DNSサーバのソフトウェア
権威DNSサーバのソフトウェアとしては、BIND、PowerDNS、knotDNS、NSDなどが知られている。BINDは、古くから使われているDNSサーバであるが、近年になって多くの脆弱性が発見されている。
デージーネットのサービス
デージーネットでは、BINDを使ってDNSサーバを構築することは非推奨である。デージーネットでは、管理性が高く、BINDよりも高速に動作するPowerDNSの利用を推奨し、PowerDNSの商用サポートサービスを提供している。また、PowerDNSをマスタサーバとして、NSDやknotDNSをスレーブサーバとするマルチDNS構成での構築も行っている。
【カテゴリ】:DNS  ネットワーク  ネットワークインフラ  
【Webセミナー】自社でOSSを採用しよう!今更聞けないOSSの基本セミナー
日程: | 11月22日(金)Webセミナー「BigBlueButton」を使用します。 |
内容: | OSSを導入したいけど、どこから手をつければいいかわからない方必見! |
ご興味のあるかたはぜひご参加ください。 |