メーカー概要

DNSキャッシュポイズニング対策

2014年4月、日本レジストリサービス(JPRS)からDNSサーバーへの攻撃によるものと思われるアクセスが増加しているとの注意喚起がありました。

■参考: キャッシュポイズニング攻撃によるアクセス増加、JPRSが注意喚起  2014年4月15日[@IT]

もしこの攻撃が成功した場合、フィッシング詐欺やマルウェア感染、メールのぞき見などの重大な被害が発生する可能性があります。
Infoblox社製品を使用することで、このDNSキャッシュポイズニング攻撃への対策を簡単に実施することができます。

どんな攻撃なの?

インターネット上でドメイン名解決の問い合わせに答える役割を持つキャッシュDNSサーバーに、正しい応答の代わりに偽の回答を注入す る攻撃です。

ドメイン名に対する問い合わせを出したクライアントに、偽のIPアドレスを教えることになります。

 例えば、銀行のウェブサイトにアクセスしようとしたクライアントに、攻撃者が用意したサーバーのIPアドレスを送りつけて、正しい銀行 サイトのアドレスだと思い込ませることができます。

その結果、攻撃者サーバーを使ったフィッシング詐欺やマルウェア注入などを仕掛けることとが可能になります。

 またメールサーバーの情報にこれを応用すると、メールの横取りなども可能になってしまいます。

 インターネットで幅広く使われているドメイン名を乗っ取ることのできる、極めて危険な攻撃です。

参考:新たなるDNSキャッシュポイズニングの脅威 ~カミンスキー・アタックの出現~

              2011年02月24日 [株式会社日本レジストリサービス(JPRS)トピックス&コラム]

対策は?

この攻撃の成功率を下げる対策として、ソースポートランダマイゼーションという機能の利用が推奨されています。
この機能はBINDを始めとする各種DNSソフトウェアに実装されています。
適切な設定が必要であり、JPRSの注意喚起文書に設定の確認方法などが解説されています。

■参考:【緊急】キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について

          ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~

               2014年4月15日 [株式会社日本レジストリサービス(JPRS)]

 

Infobloxのソリューション

BINDなどの汎用DNSソフトウェアでも、前項で紹介した対策機能が実装されており、利用可能です。
ただし適切に設定する必要があるのと、あくまで攻撃の成功率を低減させる機能であることを理解する必要があります。
これだけでは不安を感じるユーザーのために、Infobloxでは安全度を向上できる多彩な機能を提供しています。

DNSDHCPIPAM機 能を提供するInfobloxのTrinzic DDIファミリーは、ポートランダム化の他にも独自の安全向上機能を多数盛り込んでいます。

■NIOS標準機能

Trinzic DDIファミリーの基本ソフトウェアであるNIOSのDNS機能はBINDをベースとしていますが、可能な限り安全性を追求したカスタマイズが行われています。

  • キャッシュポイズニング検知機能 (DNS通信を監視してキャッシュポイズニングに特有な通信パターンを検知・通知)
  • 帯域制限機能 (通信量を制限することで、大量な通信によるキャッシュポイズニングの試行を防御)
  • 再帰検索を標準で無効化 (無用なキャッシュDNS機能の実行を防止し、いわゆるオープン・リゾルバーとなることの抑止)
  • グリッド機能による一元管理 (パッチの適用漏れや設定の不備を防止)
■Infoblox Advanced DNS Protection

DNSサーバー向けの高度なセキュリティ防御機能を提供するInfoblox Advanced DNS Protectionアプライアンスは、DDoSを始めとする最近のDNS攻撃に対する防御機能を広範に提供します。

DNS増幅攻撃など代表的なDNS攻撃のほか、NTPを利用するDDoS攻撃やマルウェア通信など数十種類の脅威に対応しますが、DNSキャッシュポイズニングについても専用の防御ルールが実装されており、より正確に攻撃を防御できます。

■その他のDNS関連ソリューション
  • レポーティング機能: Infoblox Trinzic Reportingア プライアンスで、各種統計情報を蓄積・分析・レポート作成できます。 DNSのレコード別統計や応答時間統計、キャッシュヒット率統計などを管理できるほか、Infoblox Advanced DNS Protectionをご利用の場合には、攻撃検知状況もレポートを定期生成します。
  • マルウェア検知機能: Infoblox DNS Firewallを併用すると、クライアントからのマルウェア通信を検知・通知・遮断できます。

お問い合わせ

InfobloxのDNSセキュリティ機能についての詳細情報ご希望の場合は、下記のお問い合わせフォームよりご連絡ください。