bindにキャッシュポイズニングの危険性あり2008年09月10日 11時55分

Nessusを使ってFedoraサーバーのセキュリティ診断をしてみたところ、いくつか警告が見つかったためバージョンを8→9にアップグレードした。

再びNessusを使ってスキャン。sambaとbindにレッドアラートが見つかった。sambaは使用していないためアンインストールしたらアラートは消えた。問題はbind。Nessusのレポートには「Remote DNS Resolver Uses Non-Random Ports」のタイトルで、「vulnerable to DNS cache poisoning.(キャッシュポイズニングの攻撃を受けやすい)」とかかれている。「キャッシュポイズニング」というのは少し前にネットでも話題になっていたため存在は知っていた。しかし改めて警告されれば、怖い。すぐに対応方法を探る。

対応方法:

まずはbindを最新のものにアップデートする。

次にコンフィグファイル(named.conf)に

query-source    port 53;
query-source-v6 port 53;

という記述がある場合コメントアウトする。コメントアウトするとポートがランダムになる。

最後にファイアウォールでUDPポートが53に指定されている場合はランダムに対応できるように変更する。

ちなみに再帰クエリ(recursion)を「no」に設定していれば攻撃される確率を減らせるらしい。まあ外向けには大抵

recursion no;

の設定だとは思うが。