サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
アメリカ大統領選
www.eis.co.jp
IPアドレスから位地情報を割り出すGeoIP GeoIP(GeoIP2)は、MaxMind社(本社:米国マサチューセッツ州ウォルサム)が提供するIPアドレスから位地情報を割り出す仕組みです(Software+データベース情報)。GeoIPには、結果として得られるデータの粒度の違い(大陸>国>都市>郵便番号 etc.)によっていろいろな有償サービスが提供されています。 MaxMind社のホームページ(日本語) オープンソース製品 GeoLite MaxMind社はGeoIP2のオープンソース版としてGeoLiteという名称で、ソフトウェアと無償データベースを無償で提供しています。GeoLiteのデータベースは以下のものが提供されています。それぞれ、CSVとバイナリの二つのフォーマットが利用可能です。 GeoLiteCountry: IPアドレス から国を特定 GeoLiteCity: I
ここのところDNSサーバの脆弱性が頻繁に報告されます。外部の不特定の相手にさらさなければいけないネットワークサービスでしかもUDPとなれば、攻撃者にとってこんな美味しいターゲットは他にないでしょう。昨日JPRSが緊急通報したBIND9その他複数のDNSソフトのデリゲーションがらみの脆弱性など、世界のDNSツリー全体が使いものにならなくなる可能性があります(でも、そうなると、攻撃してる人たちも不便だとおもいますが)。 続きを読む →
前回は、ISC BIND DNSサーバについて、SOAレコードの書き方を中心に解説しました。今回は、SOAレコードの主要なパラメータに関連してゾーン転送設定をまとめます。 ゾーン転送のタイミングは、マスター/スレーブそれぞれの設定に依存する 前回は、マスター側で、SOAレコードのゾーン転送関連パラメータの最適値を検討しました。しかし、マスターがSOAレコードでスレーブサーバに提示する値が、必ずスレーブサーバに都合の良いものであるとは限りません。 前回述べたように、ゾーン転送のタイミングは、マスター/スレーブ相互の都合を検討して決定されるべきもので、マスターの一方的な都合をスレーブサーバに強制した場合、数1000個のゾーンのスレーブを務めるサーバなどでは、最悪、スレーブサーバ側で処理しきれなくなります。 多数のユーザ企業にセカンダリサーバサービスを提供するISPの場合、各ユーザ企業の担当者と
named.confファイルの設定 – recursionを禁止する 前回のキャッシュDNSサーバでは、不特定多数のドメインやIPアドレスの名前解決をすることが目的であるため、recursion(再帰的参照)が必須でした。一方、recursionは、ゾーン情報を不特定多数の外部DNSホストから受け取るため、なりすましによる「キャッシュポイズンニング」と呼ばれる攻撃の対象となりやすい機能です。DNS参照クエリーがUDPである点も、TCPサービスに比べパケットを捏造した攻撃の標的となりすい性格は否めません。 この危険を考慮すれば、自身が所有するゾーンの情報を不特定多数の第三者ホストに提供することが目的である、いわゆる「プライマリDNSサーバ」や「セカンダリDNSサーバ」については、キャッシュ専用サーバを別途たてるなどして、自身が所有するゾーン情報のみを処理させるために極力recursionを禁
前回にひきつづき、キャッシュDNSサーバを前提にBIND9の設定を解説します。今回から、ゾーン定義を行います。今回は、localhost, ループバックインタフェイス、ブロードキャストアドレスなどの特殊なアドレスに関するゾーン定義です BIND9のゾーン定義の基礎 BIND9でのゾーン定義は、以下の2箇所で行います。 named.conf ゾーンを宣言し、ゾーンファイルへのパス、そのゾーン固有の各種オプション設定(例えば、クエリーやゾーン転送の許可など)を記述します。 ゾーンファイル 所定の文法で、そのゾーンの情報を定義します。一般に、正引きゾーンでは、ホスト名とIPアドレスのペアやそのドメインのメールサーバなどを定義します。逆引きゾーンは、IPアドレスをホスト名に変換するための定義を記述します。 ルートゾーン DNSの名前空間は木構造になっており、その一番大元の根っこは「.(ドット)]で
最もオープンなネットワークサービスであるDNSは、ネットワーク攻撃の対象のNO1。だから、いつでもタイムリーに脆弱性対策ができるように、BINDはソースからビルドしよう。BIND9のソースからのビルド手順を解説します。 DNSサーバはネットワーク攻撃対象NO1 DNSサービスは、不特定多数のアクセスを許すという性格上、常にネットワーク攻撃の対象NO1にランクされます。DNSサーバのデファクトスタンダードであるISC(Internet Service Consorthium)のBINDは、たいていのLinuxディストリビューションに標準添付され、最近では、chroot設定の雛形が、RedHat系LinuxのRPMのような、バイナリーパッケージで提供されている場合もあります。 しかしながら、Linuxディストリビューションのヴァージョンアップを待っていたのでは、危険な脆弱性が発見された場合に、
VIEWの利用例 以下の例は、(1)プライベートネットワーク,(2)DMZネットワーク,(3)その他(=外部ネットワーク)をacl文で定義し、それぞれに対応する設定をそれぞれ、viewで別々に定義する際のbind.confへの記載の概容を示しています。 // プライベートネットワーク, DMZネットワークの識別条件をACLで定義 acl privatenet{ 192.168.0.0/16; 127.0.0.1/32; }; acl dmznet { 10.0.0.1/8; }; options { //全体的なオプションの設定 …. }; logging { // ロガーの定義 …. }; view internal { match-clients { privatenet; }; allow-query { privatenet; }; // zone定義その他の設定 (プライベートネ
強いBIND DNSサーバを構築する 第六回 - 安全なゾーン転送設定 前回は、ISC BIND DNSサーバについて、SOAレコードの書き方を中心に解説しました。今回は、SOAレコードの主要なパラメータに関連してゾーン転送設定をまとめます。 もっと読む
前回は、BIND9をソースtarボールからビルドしてみました。今回からはBIND9のnamed.confの設定方法です。 name.confの基礎と作成 - ACL定義/options部BINDの既定の設定ファイルはnamed.confです。歴史的に、named.confはデフォルトで/etcディレクトリに配置されます(ソースからビルドした場合、デフォルトでは/usr/local/etc/以下)。ゾーンファイルの場所は、named.confで指定することができますが、これも歴史的には/var/namedディレクトリの下におかれるのが通例ですが、namedからアクセス可能であれば他のディレクトリでもまったくかまいません。ISCのBIND9のドキュメントの例では、/etc/namedbを設定している例もあります。ACLでIPアドレスやネットワークに名前をつける以下の書式で、ネットワーク、ネット
前回は、BIND9をソースtarボールからビルドしてみました。今回からはBIND9のnamed.confの設定方法です。 name.confの基礎と作成 – ACL定義/options部 BINDの既定の設定ファイルはnamed.confです。歴史的に、named.confはデフォルトで/etcディレクトリに配置されます(ソースからビルドした場合、デフォルトでは/usr/local/etc/以下)。 ゾーンファイルの場所は、named.confで指定することができますが、これも歴史的には/var/namedディレクトリの下におかれるのが通例ですが、namedからアクセス可能であれば他のディレクトリでもまったくかまいません。ISCのBIND9のドキュメントの例では、/etc/namedbを設定している例もあります。 ACLでIPアドレスやネットワークに名前をつける 以下の書式で、ネットワーク
BIND 9x - VIEW機能を利用したDNSのNAT対応 Vers. 8.x 以降のBINDは、クエリーのソースアドレスに従って、回答を切り替える「VIEW機能」が提供されています。このVIEW機能を利用すると、ルータやファイアウォールのアドレス変換機能(NAT等)により、インターネットと組織内部のIPアドレスを分離している一般的な企業LANのDNSサービスをシンプルで統一のとれたものにすることができます。 VIEW機能の設定は、BINDの設定ファイルであるbind.conf内で行います。以下は、DNSクエリーのソースIPアドレスを基に、インターネットからのDNS参照とLANからのDNS参照を識別することによって、異なるゾーン情報を返送する場合のbind.confの設定のポイントを示しています。プライベートアドレス 172.18.X.XおよびDNSホスト自身のローカル・ループバ
SASL(Simple Authentication and Security Layer)は、接続認証を伴うプロトコルをソフトウェアに実装する際に、その認証手段をサポートするための仕組み(ライブラリ)です。Postfix,SendmailようなMTAや、OpenLDAPなど、さまざまなネットワークサービスソフトウェアで、SASLによる認証が利用されます。SASLを実装したライブラリはCyrus Projectにより提供されています(Cyrus-SASLv2)。SASL2では認証のもととなる情報ストアとしてLDAPの利用が可能になりました。以下は、 LDAPを認証ベースとして利用する場合のCyrus-SASL2のビルド手順の一例です(saslauthdを使ってSMTP AUTHなどを行うときの典型的な設定例です)。 Carnegy Mellon大学 Project Cyrusのダウンロード
このページを最初にブックマークしてみませんか?
『www.eis.co.jp』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
