dnssec に関する覚書

<< 戻る   トップ >>

DNS キャッシュサーバをつくるという、比較的簡単なはずの仕事でうまくいかずに困っていた。原因はの一つは、DNS を提供する BIND というサービスブログラムが、LAN内の PC などクライントへのサービスを司ると同時に、インターネットへのサービスも担当するという昔から二面性に相も変わらず引っかかったことである。何度やってもこの点は苦手だ。もう一つは、DNSSEC というここ 2・3年のうちに導入されたセキュリティ技術をよく理解せずに設定を行ったことである。

DNSSEC については日経BPの NETWORK キーワード - DNSSECを参照願う。Fedora の最近の配布版ではこの DNSSEC がデフォルトで動作する BIND が配られていたのがそもそもの問題の発端である。LAN内クライアントへの IP 情報の提供だけを行う DNS サーバをキャッシュサーバという。一番基本的な機能だが、キャッシュサーバが動作することを最初の目標として作業を始めた。配布されている設定ファイル /etc/named.conf から問い合わせポートの制限指定 listen-on を外してやると、これだけで動くのである。おそらく、以前の作業ではいろいろと手を加えすぎて動くものを動かなくしてしまったのであろう。しかもこのとき新機能 DNSSEC も動いているのであった。

ただし、この状態では不明なホスト名・IPアドレス対応を恐れ多くも世界に13台しかないルートサーバに尋ねにいく設定になっているので、できれば直近の DNS である HGW (ホームゲートウェイ) に問い合わせる仕様に変更したい。ちなみに、HGW は So-net ではなく KDDI の(笑) DNS を参照する設定になっている。そのためには forwarders で問い合わせ先の DNS の IP を設定し、foward only を指定してやればよい。してやればよいはずなのだが、どうしたものかここで蹴つまずくのである。

最初は DNSSEC がからんでいることすらわからなかったが、ログを見てようやく気がついた。そして DNSSEC を無効化してみると、動作するようになるのだ。

dnssec-enable     no;
dnssec-validation no;
(その後、dnssec-validation だけ無効にすればよいことがわかった。)

さて、「お便利サーバ.com」の「自宅内DNSサーバーの構築・『DNSキャッシュポイズニング』とは」では、自宅 LAN にのみサービスをするキャッシュサーバでは DNSSEC に「なにがなんでも」対応する必要はない、と結論づけている。たしかにその通りなのだが、fowarder ときちんと安全な通信をする DNS は作ってみたい。実用ではなく技倆維持のために。

(覚書のさらにメモ) forwarders 候補の DNSSEC 対応状況の調査・DNSKEY の入手・動作検証


作成: 2012-05-25 13:27:51.0更新: 2012-05-25 13:27:51.0
http://museo-anonimo.jp/nanban/?id=1102,http://museo-anonimo.jp/nanban/tr/1102