webサイト運営用に専用サーバーをたてています。
サブドメインなどの管理する為の、権威ネームサーバーをBIND9.8で設定しているのですが、
DNSSECの必要性をお教えいただけませんか?
コンテンツサーバーのみを立て、キャッシュサーバーは立てません。
サブドメインなど、自分の管理するゾーン情報のみに答え、再帰的問合せを許可しない、(recursion no;)。このようなコンテンツサーバーです。
いろいろと検索して調べているのですが、
キャッシュポイズニングは、キャッシュサーバーに仕掛ける攻撃なので、
再帰的問合せを無効にした、キャッシュサーバーとしての機能がなければ、DNSキャッシュポイズニング攻撃そのものを回避できる(DNSSEC不要)と書かれているものがあれば、コンテンツサーバーにもDNSSECは必要であるという記事も多く見ます。
コンテンツサーバーのDNSSEC設定は少し難しそうですし、サイトを稼働しながらのKSK、ZSKの更新など、不安要素があるので、できることなら避けて通りたいのが正直なところです。
※もちろん必要であれば設定しますが。
どなたかご教授いただけませんでしょうか。
No.1ベストアンサー
- 回答日時:
確かにあなたのBINDはキャッシュポイズンされません。
キャッシュしないからです。ところで、DNSSECというのは直接的にはキャッシュポイズンを回避する策ではなく、
あなたのBINDが管理するあなたのドメインの正当性を
世界に星の数ほどあるDNSキャッシュサーバーが確認するための仕組みです。
あなたのBINDとあなたのドメインを聞きに来るDNSキャッシュサーバーの両方が
DNSSECに対応していると、
そのDNSキャッシュサーバーはあなたのドメインに関してポイズンされませんが、
対応してないDNSキャッシュサーバーですと意味がありません。
ですので、有用性はあるかと聞かれたらあると回答できますが、
必要性があるか、という問いですと、難しいですね。ある、とは断言できない。
DNSキャッシュサーバー側がDNSSECに対応していないと
せっかく頑張った設定も活用されない。
ドメインにまでセキュリティを気にしなきゃいけないこんな世の中じゃポイズンですけど、
現時点ではDNSSECの普及率はせいぜい2%未満(あんもち調べ)といったところでしょう。
今後も今年や来年や再来年にいきなり普及率が跳ね上がるとはちょっと考えにくいので
今は様子見というか後回しでいいかも知れません。
もちろん情報を集め続ける事は大事です。
私は決してセキュリティなんて気にしなくていいよと言っている訳ではありません。
ひょっとしたらそーゆー事を全部やってくれるようなツールがリリースされるかも知れませんし。
普及率があがれば設定が簡単になるようなツールが充実していくのか、
簡単に設定できるツールが生まれたら爆発的に普及するのかは、
にわとりが先かからあげが先かというような気もしますが。
なるほど、すごくわかりやすい説明ありがとうございます。
モヤモヤが晴れました!
みんながきっちりDNSSEC対応にしてこそセキュリティが守られるシステムなんですね。
しかしまだ普及率そんなに低いんですね。
もちろんDNSSEC対応にした方がいいんでしょうが、まだまだ初心者なので、もう少し勉強してから
チャレンジしてみようと思います。
ほんとに色々検索して悩んでいたので、めっちゃ助かりました。
安心して次の作業にかかれます。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- サーバー メールサーバーについて詳しい方、メールサーバーの管理業務経験のある方、教えてください。 3 2022/11/12 18:24
- ドメイン・サーバー・クラウドサービス 独自ドメインでのNSレコード設定 1 2023/07/12 18:36
- Gmail SPFレコードとDNSサーバーについて、gmailを設定できるかどうか 2 2023/06/10 23:55
- VPN VPNは設定した方がいいですか? VPNには常時接続するべき? 1 2023/05/25 17:43
- サーバー 接続・ログインはできているのにメールが送信できない 2 2022/06/27 15:03
- サーバー エックスサーバーに登録をしたのですが、 料金支払いをしたいのに、「発行された請求情報はありません。」 1 2023/03/10 22:22
- その他(メールソフト・メールサービス) Thunderbirdのメール送信ができません 1 2022/10/28 16:54
- テレビ 家庭内LANでテレビの録画をパソコンで見るには 1 2022/10/06 13:02
- サーバー 301リダイレクトができる条件を知りたいです 2 2022/10/25 11:21
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ネットワーク上のRPSってなんな...
-
「OLEサーバーが登録されて...
-
どうしてサーバ用のセキュリテ...
-
Excelシート / ハイパーリンク ...
-
Tera TermでSSH認証しない
-
事務所ビルのOAコンセントの...
-
ワードやエクセルに貼り付けたU...
-
インターフェースサーバーとは...
-
サーバーマネージャーが消えた
-
他人のアドレスでメールってで...
-
ftpコマンドのput,mputの上書き...
-
社内ネットワークの1台だけ接...
-
サービスIPって何ですか?
-
ipconfigで、DNSが複数みえる
-
サーバールームは事務用スペー...
-
NTT-ME からの請求額
-
Notesが使えない
-
パス区切り文字(¥と/)
-
サンダーバードを複数のPCで...
-
Googleドライブなどを使わずに...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Excelシート / ハイパーリンク ...
-
ネットワーク上のRPSってなんな...
-
スマホのサーバー?について
-
【PC】TerrariaのtModLoaderサ...
-
ワードやエクセルに貼り付けたU...
-
ftp.riken.go.jpとはどういうサ...
-
「OLEサーバーが登録されて...
-
事務所ビルのOAコンセントの...
-
プロキシでエラーになり外部と...
-
誘われたDiscordサーバーから追...
-
自分のサイトが文字化けしてし...
-
どうしてサーバ用のセキュリテ...
-
サーバー破壊
-
100万PV/日の負荷にも耐えられ...
-
OUTLOOKでの受信メール容量の制限
-
DON'T DELETE THIS MESSAGE??って
-
WWWの付かないサイトは?
-
商用レンタルサーバ、変えた方...
-
フォームのアクションのURL先は...
-
SSLサーバーの見分け方
おすすめ情報