BINDとは

BINDとは、ISC(Internet Systems Consortium)が開発・管理を行なっているDNSサーバである。DNSサーバとしてはデファクトスタンダードになっており、Linux/Unix/Windows等、様々なプラットホーム上で動作する。

BINDはマスターサーバ、スレーブサーバとして動作するだけでなく、キャッシュサーバやフォワーディングサーバとしても動作させることができる。またDNSの問い合わせの送信元の情報によって、応答する内容を変更するviewの機能が存在する。現状ではIPv6に対応をしていることや、セキュリティ強化としてDNSSECの機能を実装している。

BINDは公開DNSサーバとして利用されることも多く、攻撃の対策を行う必要がある。

chrootへの対応

BINDは、chrootに対応している。chrootの設定を行うことで、BINDが参照するファイルシステムのルートを、仮想的に特定のディレクトリ配下にあるように見せかけることができる。そうすることで、もしBINDのセキュリティホールをつくような攻撃を受けた際の影響を、chroot環境に閉じ込めることが可能になる。

キャッシュポイズニング攻撃の対策

キャッシュポイズニングを受けると、DNSの情報が誤った情報に上書きされ、その情報を利用したユーザが、意図しないサイトに誘導されるなどの被害が出る恐れがある。また巨大な情報や不正な情報をBINDに送りつけて、BINDを停止させるなどの攻撃も存在する。

これらの攻撃に対応するには、マスター・スレーブサーバとキャッシュサーバを分けて運用し、サーバキャッシュサーバを外部には公開しないような構成を組むことが一般的である。