ソリューション

DNSのセキュリティ対策

不審な通信を検出し、組織内の感染防止やプロバイダーネットワーク内の感染クライアントの発見を支援します。

DNSの脅威は基本的に2種類あります。ひとつはDNSインフラストラクチャに対する外部からの攻撃、もうひとつはDNSを通信経路として使うマルウェアです。攻撃が成功した場合に起こり得る信用の失墜、告訴の可能性、修復にかかる費用、コンプライアンス違反による罰則、収益の損失を防ぐために、外側からの脅威と内側からの脅威の両方に対してDNSサーバーを防御する必要があります。

  • 外部権威サーバーへの攻撃を軽減するためには、サーバーそのものがさまざまな攻撃の種類をインテリジェントに認識し、正規のクエリを妨げることなく攻撃トラフィックを遮断する必要があります。
  • 顧客データとビジネス資産が盗まれないようにするため、DNSを悪用するマルウェア通信を封じる手段が必要です。

この両方の機能を持つDNSサーバーがあれば、DNS DDoS攻撃を検知し、攻撃を防ぎながらビジネスプロセスを継続することが可能です。また、マルウェアがファイアウォールを通り抜けた場合でも、マルウェアがDNSを悪用して顧客データと会社資産をネットワークから引き出すことはできず、犯罪者が標的を利用して利益を得ようとする試みは阻止されます。

+ DNSインフラのセキュリティ

サーバー構成のベストプラクティス
脆弱性対応
DNS通信の保護

+ DNS攻撃対策の最新技術

ドメイン乗っ取り対策
DNS DDoS攻撃対策
DNSキャッシュ・ポイズニング対策
マルウェア通信の検出・遮断

サーバー構成のベストプラクティス

InfobloxではDNSサーバーの構成を可用性やセキュリティの観点から最適化するベストプラクティスを提供しています。
この推奨構成を紹介するポスターや詳細なホワイトペーパーを用意しています。
ご希望の方は問い合わせフォームよりご連絡ださい。
Infobloxお問い合わせフォーム

脆弱性対応

InfobloxのTrizic DDIシリーズでは、OSやDNSソフトウェアに脆弱性が発見された場合にはメーカーサポート付きのソフトウェア更新を迅速に提供しています。
ユーザーは簡単に、かつ安心してソフトウェア更新を実施できます。
さらにInfobloxグリッド技術により、複数サーバーに一括してソフトウェア更新を実施でき、時間差適用も設定できます。
HA構成を利用した無停止更新やワンタッチの切り戻し機能も提供しています。

DNS通信の保護

各種クエリやDDNS更新要求、ゾーン転送などにきめ細かくアクセス制御を適用できます。
ゾーン転送に関してはTSIGによる認証に加えて通信の暗号化も可能で、大事なDNS情報を手厚く保護します。

ドメイン乗っ取り対策

ドメイン乗っ取り(ドメイン名ハイジャック)は国内でも被害が報じられ、注意喚起が行われています。
例:(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開)(株式会社日本レジストリサービス)
上位ドメインや登録業者への攻撃などで実行されるため、予防は難しいのが現状です。
Infobloxなら乗っ取られた場合の検知機能を提供しており、迅速な対処が可能です。

DNS DDoS攻撃対策

対象:外向け権威DNSサーバー、キャッシュDNSサーバー
DNSサーバーを狙うDDoS攻撃が急増しています。
例:ニュース – DNSサーバーを狙ったDDoS攻撃、オープンリゾルバーを踏み台に:ITpro 2014/07/25
例:“未熟なDNS”をDDoSで拷問、「DNS水責め攻撃」が原因らしき実害が日本でも -INTERNET Watch: 2014/11/25
DNSサーバーがDDoS攻撃されて停止すると、サービスの対象となっているWebサーバー、電子メール、DNSクライアント等の業務が全て停止することになります。
Infobloxでは、こうした攻撃のリスクを看過できないDNSサービス用に、セキュリティ対策を内蔵した専用アプライアンス「アドバンストDNSプロテクション(ADP)」を提供しています。
Infoblox Advanced DNS Protection

DNSキャッシュ・ポイズニング対策

キャッシュ・ポイズニングも注意喚起されています。
例:「ポートのランダム化」などの対策を強く推奨:キャッシュポイズニング攻撃によるアクセス増加、JPRSが注意喚起 – @IT 2014年04月15日
キャッシュ・ポイズニングへの対策としては、レコード改竄によって乗っ取られたりされないための権威DNSでの対策と、改竄の場所を提供してしまわないためのキャッシュDNSでの対策が必要です。
Trinzic DDIでは、権威DNSで推奨されているものの運用が難しいDNSSECを自動化する機能を提供しています。
キャッシュDNSにおいては、キャッシュ・ポイズニング攻撃を検知及び防御できます。
(基本機能は標準提供、上位機能をInfoblox Advanced DNS Protectionで提供。)

マルウェア通信の検出・遮断

標的型攻撃などの高度な攻撃では、従来のマルウェア対策では発見できないマルウェアが、巧妙な方法でバックドア通信を行い、検出が難しくなっています。
Infobloxではバックドア通信の内容ではなく、通信を開始するためのDNSリクエスト検査によるソリューションを提供しています。
Infoblox DNS Firewall
クライアントOSに依存せず明快な判断基準で不審な通信を検出し、組織内の感染防止やプロバイダーネットワーク内の感染クライアント発見を支援します。

関連する情報