コンテンツサーバにおけるDNSSECの必要性

webサイト運営用に専用サーバーをたてています。


サブドメインなどの管理する為の、権威ネームサーバーをBIND9.8で設定しているのですが、
DNSSECの必要性をお教えいただけませんか？



コンテンツサーバーのみを立て、キャッシュサーバーは立てません。


サブドメインなど、自分の管理するゾーン情報のみに答え、再帰的問合せを許可しない、（recursion no;）。このようなコンテンツサーバーです。



いろいろと検索して調べているのですが、
キャッシュポイズニングは、キャッシュサーバーに仕掛ける攻撃なので、
再帰的問合せを無効にした、キャッシュサーバーとしての機能がなければ、DNSキャッシュポイズニング攻撃そのものを回避できる（DNSSEC不要）と書かれているものがあれば、コンテンツサーバーにもDNSSECは必要であるという記事も多く見ます。



コンテンツサーバーのDNSSEC設定は少し難しそうですし、サイトを稼働しながらのKSK、ZSKの更新など、不安要素があるので、できることなら避けて通りたいのが正直なところです。

※もちろん必要であれば設定しますが。



どなたかご教授いただけませんでしょうか。

No.1 ベストアンサー 回答者： anmochi 回答日時： 2014/08/14 23:43

確かにあなたのBINDはキャッシュポイズンされません。

キャッシュしないからです。

ところで、DNSSECというのは直接的にはキャッシュポイズンを回避する策ではなく、
あなたのBINDが管理するあなたのドメインの正当性を
世界に星の数ほどあるDNSキャッシュサーバーが確認するための仕組みです。

あなたのBINDとあなたのドメインを聞きに来るDNSキャッシュサーバーの両方が
DNSSECに対応していると、
そのDNSキャッシュサーバーはあなたのドメインに関してポイズンされませんが、
対応してないDNSキャッシュサーバーですと意味がありません。

ですので、有用性はあるかと聞かれたらあると回答できますが、
必要性があるか、という問いですと、難しいですね。ある、とは断言できない。
DNSキャッシュサーバー側がDNSSECに対応していないと
せっかく頑張った設定も活用されない。

ドメインにまでセキュリティを気にしなきゃいけないこんな世の中じゃポイズンですけど、
現時点ではDNSSECの普及率はせいぜい2%未満（あんもち調べ）といったところでしょう。
今後も今年や来年や再来年にいきなり普及率が跳ね上がるとはちょっと考えにくいので
今は様子見というか後回しでいいかも知れません。

もちろん情報を集め続ける事は大事です。
私は決してセキュリティなんて気にしなくていいよと言っている訳ではありません。
ひょっとしたらそーゆー事を全部やってくれるようなツールがリリースされるかも知れませんし。
普及率があがれば設定が簡単になるようなツールが充実していくのか、
簡単に設定できるツールが生まれたら爆発的に普及するのかは、
にわとりが先かからあげが先かというような気もしますが。

この回答へのお礼

なるほど、すごくわかりやすい説明ありがとうございます。
モヤモヤが晴れました！

みんながきっちりDNSSEC対応にしてこそセキュリティが守られるシステムなんですね。
しかしまだ普及率そんなに低いんですね。

もちろんDNSSEC対応にした方がいいんでしょうが、まだまだ初心者なので、もう少し勉強してから
チャレンジしてみようと思います。

ほんとに色々検索して悩んでいたので、めっちゃ助かりました。
安心して次の作業にかかれます。

ありがとうございました。

お礼日時：2014/08/15 03:32