[plamo:27522] Re: security とホスト名

[smt管理s 齋藤 哲]

早間さんへ

齋藤です。

> 早間です。
> 「security 対策上 IP アドレスの逆引きは設定していない」
> 「security 対策上 DNS にホスト名を設定していない」
> と言われたのですが、これらを肯定または否定する文献などご存じならば
> 教えてください。
> どこを調べたら良いのか、誰に伺えば良いのか困っています。
>
> -- 早間 義博

手が開かないので手短ですけど。

> 「security 対策上 IP アドレスの逆引きは設定していない」
について

DNSの逆引きですが、ISC BIND8以降、その機能自体は必須ではなくオプションとして提供されています。
もちろん、ゾーン定義すれば、設定可能です。
ただ、DNS問合せ（クエリ）の回送（フォワダ）処理について、bind4系と8系では大きく異なっており、こと逆引きにおいてはその手順すら違います。
もし、管理する配下のDNSがすべて、BIND8以降であれば、逆引き設定について、決められたホストのみ回送するように設定できるでしょう。
ここにBIND4系が存在すると、すべてのDNSにクエリを回送するので、もし正しくない悪意を持ったバイナリ問合せが来たときは、その回避方法がなく、Dosなどを招く結果となります。
つまり、セキュリティ上、BIND8,9以外を内包する環境では、逆引き運用は許可しないこととするのが条件となると思われます。

PTRでBIND8,9が運用を担い、適切に回送処理を記述していれば、
逆引きはセキュリティ上なんの問題もないと思います。

RIQ=1などで処理する場合は、Dosなどを回避できないので、
これは許可しないとしたほうが良いです。

> 「security 対策上 DNS にホスト名を設定していない」
について

ドメイン運用のポリシーによる判断だと思います。
ドメイン機構自体にホスト名を割り当てないことは、
セキュリティ維持に関与していないと思います。

特定のドメインの運用基準があって、
そこでは、ある特定の検査を経たホスト以外に
レコードを割り当てては成らないなどと記載されていれば、
合点がいきます。

フリーの動的DNSサービスなどでは解決しないのでしょうか？

> どこを調べたら良いのか、誰に伺えば良いのか困っています。

について

オライリーのDNS&BINDを読破することをお奨めします。


せんだいメディアテーク http://www.smt.jp/
980-0821 宮城県仙台市青葉区春日町２番１号
電話 022-713-3171 / ファクス 022-713-4482
管理係 齋藤 哲   tetsu@smt.city.sendai.jp