Eyes, JAPAN Blog > ドメイン名の健全な運用に向けて

ドメイン名の健全な運用に向けて

Masato Kaneko

この記事は1年以上前に書かれたもので、内容が古い可能性がありますのでご注意ください。

最近は、寝ても覚めても頭の中は DNS のことばかりなインフラ担当の金子です。

インターネット上におけるドメイン名は、DNS と呼ばれる仕組みで動作していて、各組織のドメイン名に関する情報を提供しているサーバは、DNS サーバと呼ばれます。
本日は、ドメイン名や DNS サーバの運用において発生しがちな問題を二つほど取り上げたいと思います。
キーワードは、「一貫性」です。


一つ目の問題は、アクセス制御不備です。
今年の 1 月に、国内の複数の関係機関から、権威 DNS サーバ の設定不備による情報流出の危険性に関する注意喚起が行われました。

権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について(2016年1月12日公開)

権威DNSサーバにおけるゾーン転送の設定に関する注意喚起 – JPNIC

DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起

ドメイン名の運用は、安定性やセキュリティを考慮し、複数の DNS サーバを設置して運用することが、規格上、推奨されています。
上記は、DNS の通信において、自組織の権威 DNS サーバ同士がデータの同期 (ゾーン転送) を行う際、同期元と同期先の両サーバ側でアクセス制御設定が適切に行われていないと、外部の第三者によって DNS のデータベース (ゾーン情報) が不正に抜き出されてしまう可能性があるという問題を指摘する注意喚起です。
自組織の権威 DNS サーバのアクセス制御設定を、同期元と同期先以外の権威 DNS サーバにはゾーン転送を許可しないように設定することで、この問題は回避することができます。


二つ目の問題は、Lame Delegation というものです。
Lame Delegation は、日本語では「委任不全」ということができます。
この問題も昔から指摘されているもので、今でも根強く残っています。

インターネット用語1分解説~lame delegationとは~ – JPNIC

インターネット10分講座:lame delegation – JPNIC

DNSの健全な運用のために ~Lame Delegation編~

ドメイン名は、管理を様々な組織に任せることで管理が分散化され、そのおかげで自組織のドメイン名は自組織で運用することができるようになっています。
この「管理を様々な組織に任せること」は、DNS においては「委任」という仕組みで成り立っていて、この「委任」が正しく行われていない状態を「Lame Delegation」といいます。
自組織の権威 DNS サーバを移行 (更新) するなどで、構成が変更された時に発生しがちな問題です。
自組織の権威 DNS サーバの構成を変更した場合は、その旨を忘れずに委任元となる上位の機関に通知する必要があります。
上位の機関とは、利用しているドメイン名によって変わりますが、jp ドメインの場合は、ドメイン登録業者に通知することで、jp ドメインの管理を行っている JPRS (日本レジストリサービス) に通知されます。
上記のように、ドメイン名の管理を任せる側の組織に正しい情報を知らせておくことでこの問題は回避することができます。


ここまで、ドメイン名の運用に関する二つの問題を紹介しました。
一つ目の問題の解決策となるのは、ゾーン転送する側とゾーン転送される側でアクセス制御設定の一貫性を保つことにあります。
二つ目の問題の解決策となるのは、委任する側と委任される側で委任情報の一貫性を保つことにあります。
このように、問題の本質は、いずれも「一貫性」を保つことにあります。(「整合性」を持たせるといってもいいかもしれません。)
今年も 12 月となり、2016 年もいよいよ年末が近づいてきました。
年末にはオフィスや自宅の大掃除をする方もいらっしゃると思いますが、合わせてこの機会にドメイン名や DNS サーバの運用状況も見直してみてはいかがでしょうか。

Comments are closed.