DNSキャッシュサーバを選ぶ

(2014.12.13)

LAN内の各ホストに対して、DNSサービスを提供する。

やりたいこと::

  • LANの外のホスト名-IPアドレスのキャッシュ
  • LAN内のファイルサーバなど, いくつかのホストについて, ホスト名-IPアドレスを引けるようにする。これらのホストは外からは見えない。

毒入れ (DNS cache poisoning)

Full-service resolver (日本語ではキャッシュサーバ.) に毒を盛り、クライアントからの問合わせに対して偽のIPアドレスを返させる攻撃。この攻撃が成功すると、phishingサイトに誘導したり、偽メールサーバに誘導してメールを詐取したりできる。

この辺りが解説の出発点。

権威サーバとキャッシュサーバ

図を見ればよく分かる;

DNSサーバと一口に言っても, 権威サーバとキャッシュサーバがある。

権威サーバとキャッシュサーバの分離の重要性は, 非常に古くから指摘されている。

権威サーバとキャッシュサーバでは、求められるアクセス管理がまったく異なるため、分離しなければ管理ができない。

権威サーバ (Authoritative-only Server)

権威サーバは、自身の管理するドメイン名空間のドメイン名について完全な情報を持ち、外部からの問合わせに対して回答する。

管轄外のドメイン名のキャッシュ機能は持たない (持たせてはいけない). したがって, リゾルバ機能は持たない.

公開サーバの名前については, 全世界に公開する。

キャッシュサーバ (Full-service resolver; Recursive mode with a cache)

キャッシュサーバは, LAN内などからの問合わせを受けて, root server から順に再帰的に検索し, 名前を解決して回答する。権威サーバへの問合わせが発生する.

上の毒入れのページにあるように, 実装に脆弱性があると, キャッシュサーバに偽データを注入されるリスクがある。

キャッシュサーバを権威サーバから分離して、キャッシュサーバのほうにはアクセス制限を掛けなければならない。

加えて, どこからでも問合わせを受け付けるようになっていると, 権威サーバへのDDos攻撃に使われかねない。(オープンリゾルバ)

キャッシュサーバ実装

で、どの実装がいいのか。

× dnscache

D. J. Bernstein 氏による djbdns の一部。

権威サーバとキャッシュサーバの分離や、キャッシュサーバは root servers を設定ファイルで持ち、信頼の出発点を確実にする、など優れた考え方で作られている。

開発がはるか昔に終了しており, IPv6にも対応しておらず, セキュリティ上の問題があるかないかも分からず, もはや使えない。

djbdns (tinydns, dnscache) を使う

◎ Unbound

キャッシュサーバに特化しており、必要であれば, NSD などの権威サーバと組み合わせる。

権威サーバなしでも, いくつかのホストを設定ファイルに登録して、そのホストは名前が引けるようにできる。

設定も簡単で, 扱いやすい。GOOD.

▲ Dnsmasq

DNS forwarder. 上に書いたキャッシュサーバとは異なる。

キャッシュと /etc/hosts ファイルなどで名前解決できない場合は, DNS問合せを別のDNSサーバに転送する。自分でroot servers から出発して解決するわけではない。

なので, 別途, ISPなどが提供するキャッシュサーバが必要。ごく小規模な環境向け?

/etc/hosts あるいは設定ファイルで, いくつかのホストの名前が引けるようにできる。

DHCPサーバも兼ねる。便利は便利。

Unboundの設定

(2017.7.28更新)

ということで、私は Unbound をキャッシュサーバとして利用している。

まず, systemd-resolved.service を止める。

Fedora Linux での設定ファイルは /etc/unbound/unbound.conf が出発点。

デフォルト設定では, localhost (127.0.0.1) および ::1 からの問い合わせだけを受け付ける. LAN内のほかの機械からの問い合わせも受け付けたいときは, server セクションの interface, access-control を調整する。

例えば, 

server:
    #interface: 192.168.241.21
    interface: 0.0.0.0
    interface: ::
    access-control: 192.168.241.0/24 allow
    access-control: fe80::/64 allow

IPv6 の any は, :: のほうが推奨表記だが, ::0 と書いてもよい。fe80::/10 Link-Local unicast アドレス. 54bitは0固定なので /64 と書いてよい。余談だが, Site-Localアドレスは deprecated になっている (RFC 4291).

設定ファイルを変更したら unbound-checkconf コマンドで確認する。 

# systemctl restart unbound

digコマンドなどで、正常に動くか確認。

FreeBSDの場合

FreeBSD では、設定ファイルは /var/unbound にある。unbound.conf ファイルは非常に小さく, 基本的に全部の設定を conf.d/*.conf として置く形になる。

conf.d/local.conf ファイル: 

server:
    root-hints: /var/unbound/named.cache

    # listen
    interface: 0.0.0.0
    interface: ::

    access-control: 192.168.241.0/24 allow
    access-control: fe80::/64 allow

root hintファイルは、次のようにして (定期的に) 入手する; 

/var/unbound# wget https://www.internic.net/domain/named.cache

起動は unbound-controlコマンド. 

# unbound-control stop
ok
# unbound-control start

# unbound-control status
version: 1.5.10
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 14 seconds
options: control(ssl)
unbound (pid 884) is running...

drillコマンドなどで正常に動くか確認。

システムの起動時に立ち上げるのは, /etc/rc.conf ファイルに次を追加; 

local_unbound_enable="YES"