DNSベストプラクティスとは「隠す」そして「重ねる」 − @IT
DNSの管理で必須のセキュリティ対策、ってか、これ結構多かったり・・・Lameについてはログ残りまくりで嫌なんですけどねぇ・・・
●オープンリゾルバ
いまだにDNSサーバの50%以上が外部からの再帰的名前解決(recursion)を許可しています。自分のところは大丈夫と思っていても、外部から利用されていることに気付いていない、またはそういう問題を理解していない管理者がかなりいるということになります
●ゾーントランスファー
ゾーン転送に制限がかかっていない問題です。この問題があるサーバも、いまだに30%以上存在しています。
●不完全委譲(Lame Delegation)
これも設定が不完全なために起こる問題であり、20%以上のサーバがこの問題を抱えています。lameについては、以下のページが参考になります
Hidden Primaryは知らなかったなぁ・・・
DNSベストプラクティスということで、DNSの構成図を載せて終了しました。一見すると、DNSベストプラクティスと一般的な構成は、さほど違いがないように見えるかもしれませんが、実は大きな違いがあります。それが、以下の2つになります。
NSレコードにプライマリを書かないだけか・・
example.comのネームサーバは、最後の2行に書かれてあるns2.example.comとns3.example.comになります。一般的な設定では、NSレコードにns1.example.comを書いていると思います。NSレコードにプライマリを書かないというのが、ヒドゥンプライマリを作る際のポイントになります。
3秒もつもれば山になる例w
「利用されるDNSサーバとその順序」を見ると分かるように、DNSへのクエリーは必ず優先DNSサーバに送られ、応答がない場合に代替DNSサーバに送られます。つまり、クエリーごとに3秒のタイムアウトが発生します。1回のクエリーであれば、大した時間ではないので皆さんも気にしたことがないのではないでしょうか。
ですが、1000人の社員が1日平均20回のユニークな名前解決が必要な使い方をしている場合を考えてみましょう。優先DNSサーバが1日ダウンしていた場合の総タイムアウト時間は、1000×20×3=60000(秒)=約16時間
となります。こういう計算をすることに意味があるかどうかという話もあるかと思いますが、経営者にとっては決して小さくない時間ではないでしょうか。