第18章 ＤＮＳの設定

---

ネットワーク ＞ ＤＮＳ

ドメイン ネーム システム （ＤＮＳ） は、覚えにくい数値のＩＰアドレスではなく、完全修飾ドメイン （ＦＱＤＮ） と呼ばれる英数字の名前を使ってインターネット上のホストを識別する、分散型の階層システムです。

「ネットワーク ＞ ＤＮＳ」ページでは、必要に応じてＤＮＳ設定を手動で構成できます。

「ＤＮＳ設定」セクションで、「マニュアルでＤＮＳサーバを指定する」を選択し、ＤＮＳサーバ フィールドにＩＰアドレスを入力します。「適用」を選択して変更を保存します。ＷＡＮゾーン用に構成されたＤＮＳ設定を使用するには、「ＷＡＮゾーンと同じＤＮＳサーバ設定にする」を選択します。「適用」を選択して変更を保存します。

ＤＮＳ再割り当て攻撃の阻止

ＤＮＳ再割り当ては、ウェブ ページに埋め込まれたコードに対するＤＮＳベースの攻撃です。通常、ウェブ ページに埋め込まれたコード （ＪａｖＳｃｒｉｐｔ、Ｊａｖａ、およびＦｌａｓｈ） からの要求は、その発信元のウェブ サイトにバインドされます （「同一発信元ポリシー」を参照）。ＤＮＳ再割り当て攻撃によって、プライベート ネットワークに侵入するＪａｖａＳｃｒｉｐｔベースの破壊工作ソフトウェアの能力が高められ、ブラウザの同一発信元ポリシーが覆されることがあります。

ＤＮＳ再割り当て攻撃者は、自らが制御するＤＮＳサーバに委託されるドメインを登録します。このサーバは、非常に短いＴＴＬパラメータで応答するように設定されているため、結果がキャッシュされません。最初の応答には、悪意のあるコードをホストしているサーバのＩＰアドレスが含まれます。その後の要求には、プライベート （ＲＦＣ １９１８） ネットワークからのＩＰアドレスが含まれます。このネットワークはおそらくファイアウォールの後ろにあり、攻撃者のターゲットになります。どちらも完全に有効なＤＮＳ応答であるため、これによってサンドボックス スクリプトにプライベート ネットワーク内のホストへのアクセスが許可されます。このような短期的ながら有効なＤＮＳ応答でアドレスを繰り返すことによって、スクリプトがネットワーク内をスキャンし、他の悪意ある動作を実行することができます。

「ＤＮＳ再割り当て攻撃の阻止を有効にする」チェックボックスをオンにします。

「動作」プルダウン メニューから、ＤＮＳ再割り当て攻撃が検出されたときに実行する動作を選択します。

･ ０ － ログ

･ １ － ログおよびＲＦＣ １０３５問い合わせへのＲＥＦＵＳＥＤ応答のリターン

･ ２ － ログおよび応答のドロップ

閲覧を許可するドメイン － 閲覧を許可されるドメインを含むＦＱＤＮアドレス オブジェクト／グループ （＊.ｓｏｎｉｃｗａｌｌｌ.ｃｏｍなど）。ローカルに接続／ルーティングされているサブネットでは、それらのオブジェクト／グループの応答が正当な応答とみなされます。