2013年09月19日 新規作成 |
2014年12月01日 対応機器を追記 |
この問題はDNSサーバの利用方法に起因しており、DNSキャッシュサーバ機能を運用する場合、その設定に不備があると意図せずオープンリゾルバとなり、DDoS攻撃の踏み台となる恐れがあります。
当社のネットワーク機器(FITELnet)製品で提供している簡易DNS機能は、内部ネットワーク上の端末等から受け付けたDNS問い合わせを上位DNSサーバに転送する簡易なDNSキャッシュサーバ機能を提供していますが、通常のDNSキャッシュサーバと同様に、フィルタ設定が不十分な場合、意図せずInternet上の不特定多数からの問い合わせを受け付けるオープンリゾルバとして動作する可能性があります。
FITELnet製品での具体的なサポート状況は以下の通りです。
製品名 | 影響の有無 |
---|---|
FITELnet-F40 | ◎ |
FITELnet F60 | ○ |
FITELnet-F80 | ○ |
FITELnet-F100 | ○ |
FITELnet-F140 | ○ |
FITELnet F200 | ○ |
FITELnet-F1000 | ○ |
FITELnet F2000 | ○ |
FITELnet F2200 | ○ |
FITELnet-F3000 | × |
「○」については、デフォルトでは簡易DNS機能は無効になっていますが、設定により有効化することが可能です。「◎」については、デフォルトで簡易DNS機能が有効になっていますが、設定により無効化することが可能です。
Internet側からのDNS問い合わせパケットを受け取る可能性がある環境で簡易DNS機能をご利用になる場合、以下の方法で意図しない問い合わせパケットを破棄する設定を行ってください。
パケットフィルタリング
F40の具体的な設定方法は、コマンドリファレンスを参照してください。
F40以外の製品については、フィルタリングの設定例を参照してください。
学習IPフィルタリング(ステートフル・パケット・インスペクション)
F40の具体的な設定方法は、コマンドリファレンスを参照してください。
F40以外の製品については、学習フィルタリングの設定例を参照してください。
なお、NAT機能では、ネットワーク間のアクセスは設定したNATルールに従って制御されますが、自装置へのアクセスについては許可されますので、Internet上からの簡易DNS機能へのアクセス制御としては働きません。パケットフィルタリングや学習IPフィルタリングとの併用をご検討ください。