サーバー監視の盲点！DNSサーバーのヘルスチェックは重要

各サーバーのログイン、いつ行いましたか？

Webサーバー、メールサーバーは利用率が高いので、定期的にログインしていると思いますが、DNSサーバーを運用している場合は要注意です。

DNSサーバーは、構築してしまえば問題も発生しにくいため、担当者が決まっていないことも多く、属人化してしまうケースが多く見られます。

以前に設定された状態のまま、運用され続けていると、誰も設定できない状況になっていて、セキュリティが非常に甘くなってしまうこともあるのです。

DNSサーバーのヘルスチェックを行う

忘れてはならないのは、DNSサーバーのヘルスチェック。
特に問題となるのは、セキュリティアップデートです。サーバーは常に、不正アクセスの温床になっていることを忘れてはいけません。

ただし、アップデートしたことによって、システムが動かなくなってしまったのでは意味がありません。単純にアップデートを行えば良いというものではなく、事前の検証が非常に重要になります。

長期間に渡り放置していた場合、利用しているOSのサポートが切れてしまっているケースもありえるでしょう。OSのアップグレードや、OS自体の入れ替え作業が発生することもあるので、時間をとって、リスクヘッジを行いましょう。

また、サーバー監視システムを利用すれば、最新版になっているか通知を行えます。自動でアップデートする機能もあるので、うまく利用してみましょう。

DNS設定のヘルスチェックを行う

DNSの設定ミスはいまだに多く見つかります。動作に直結するミスは、構築時に修正されますが、動作には問題がなく、セキュリティ上の問題があるミスは、放置されているケースがあるのです。

再帰的名前解決の制限

外部のプライマリをキャッシュサーバーと兼用している場合、許可されていないクライアントが、接続できる状態になっている可能性があります。

この場合、DDos攻撃の踏み台になる可能性があり、知らない間に加害者になってしまう可能性があります。

DNSサーバーの50%以上が、外部からの再帰的名前解決を許可しており、これを「オープンリゾルバ」と言います。

ゾーンデータの無制限転送

ゾーン転送は、転送するサーバーの制限を行うことが大切です。
ゾーン転送に制限がかかっていない状態を「ゾーントランスファー」と言い、忘れてしまうと、全てのゾーン転送要求に応えてしまいます。

この要求に応えてしまうと、全てのレコード情報を持ち去られる危険性があります。セキュリティ上、非常に問題となるので、ゾーン設定が正しく行えているか調べる必要があるでしょう。

まとめ

DNSサーバーは、動作には問題が発生しにくいのですが、セキュリティ上、非常に問題になる場合が多いのです。

サーバー監視システムの中には、ネットワーク監視も同時に行えるものもあります。監視をうまく利用し、設定し忘れのないようにしましょう。