108bones Technical Notes
108bonesが日々勉強している技術系のメモ。 初心者に優しいサイトを目指します。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

DNSゾーン転送を禁止する
DNS セキュリティの一貫としてゾーン転送の禁止があります。ゾーン転送とは、その DNS
保持している名前解決情報を セカンダリ DNS にコピーできる機能ですが、Windows Server
のデフォルト設定では、どのマシンにでもコピーできるようになっています。

ゾーン転送を考慮なく許可していると、外部に知られたくないネットワーク情報を見られる危険が
あるので注意してください。ではまず実際にゾーン転送を制限していないマシンの情報を覗いて
見ましょう。

今回は DNS としてローカルに設置したものを使用します。またここには TestDomain.com と
いうゾーンが作成されています。

■ゾーン情報を取得する
1. コマンドプロンプトを起動します。
2. 以下のコマンドを入力して、ローカルのネームサーバに接続します。
  nslookup - 127.0.0.1
3. 続いて以下のコマンドを入力して TestDomein.com のゾーン情報を取得します。
  ls -d TestDomain.com
結果は以下の通りです。
dns_sec_1.gif


制限をかけていない場合は、どこからでもゾーン情報を取得できます。

■ゾーン転送を制限する
次に特定のコンピュータにだけゾーン情報を転送するように設定します。
4. 「管理ツール」 - 「DNS」 をクリックします。
5. ゾーン転送を制御したいゾーンで右クリックして、 「プロパティ」 をクリックします。
dns_sec_2.gif

6. 「ゾーンの転送」 タブをクリックします。
dns_sec_3.gif

7. オプションを選択します。
・ゾーン転送を一切しない場合
 「ゾーン転送を許可するサーバー」 チェックをオフにします。
セカンダリ DNS サーバだけに転送する場合
 「ネーム サーバー タブの一覧にあるサーバーのみ」 にチェックを入れます。また 「ネーム
 サーバー」 タブで セカンダリ DNS を登録してください。
・特定のサーバにだけ転送する場合
 「次のサーバーのみ」 にチェックを入れて、IP アドレスを指定してください。
今回は「ゾーン転送を許可するサーバー」 チェックをオフにしました。

■再度ゾーン情報を取得する
手順 1 ~ 3 を実行すると今度は以下の結果になります。
dns_sec_4.gif

同時に以下のようなメッセージも出ます。
The DNS server refused to transfer the zone TestDomain.com to your computer.
If this is incorrect, check the zone transfer security settings for TestDomain.com
on the DNS server at IP address 127.0.0.1.


以上のように不要にゾーン情報を公開しないことでセキュリティが1つあがります。
ゾーンによって公開したくないものとそうでないものを分けて、設定してくださいね。
スポンサーサイト

この記事に対するコメント

この記事に対するコメントの投稿














管理者にだけ表示を許可する


この記事に対するトラックバック
トラックバックURL
→http://108bones.blog71.fc2.com/tb.php/100-874e1399
この記事にトラックバックする(FC2ブログユーザー)

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。