初版公開
各位
一般社団法人日本ネットワークインフォメーションセンター
権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
日本国内に、 特定のホスト以外に対してゾーン転送できてしまう権威DNSサーバが多数存在しているという情報が入っています。
これらの権威DNSサーバは、不特定の第三者によって、 ホストの一覧などのDNSに関する情報が入手できる状態であり、 ネットワーク構成の推測などに使われてしまう可能性があります。
権威DNSサーバを運用されている場合には、 設定の確認と対策をお願いいたします。
確認が必要なDNSサーバ
-
権威DNSサーバ
正引きおよび逆引きのゾーンを保持しているすべての権威DNSサーバが対象です。
権威DNSサーバにおけるゾーン転送
権威DNSサーバ(authoritative name server)は、 通常複数のサーバにおいて運用され、 ゾーン情報(ドメイン名に関する情報)を保持してDNSの問い合わせに応答すると共に、 権威DNSサーバ間でゾーン転送と呼ばれる仕組みによってゾーン情報をコピーします。
本来、ゾーン転送は当該ゾーンの管理者が把握している、 特定の権威サーバのみに対して行われればよく、 それ以外のホストに対してできる状態にしておく必要はありません。
対策
はじめに、以下をご確認ください。
-
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
DNSゾーン転送の設定不備による情報流出の危険性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160002.html -
株式会社日本レジストリサービス(JPRS)
権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
http://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html
特定のホストからのゾーン転送にのみ、 許可する設定になっていない場合には、 設定を変更することで対策が可能です。 下記は参考になる情報です。
-
株式会社日本レジストリサービス(JPRS)
設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html
設定したホスト以外からゾーン転送を試みて、 拒否されるかどうかを確かめることで正常に設定されているかどうかを確認することができます。
$ dig @<権威DNSサーバ> <ゾーン> axfr +norec
:
; Transfer failed.
$
以上
