DNSSEC - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

このセクションでは、ドメイン ネーム システムのセキュリティ拡張 (DNSSEC) と署名ポリシーの構成およびデプロイ方法、ハードウェア セキュリティ モジュール (HSM) を使用した DNSSEC の構成および管理方法、DANE (名前つきエンティティの DNS ベースの認証) と TLSA レコードに関する概念的な情報と参照情報について説明します。

DNS は、インターネットが今日よりも小規模で悪意を持つユーザが少なかった時代に開発されました。これは、クライアントと DNS サーバ間の暗黙的な信頼に基づいています。クライアントは DNS サーバを信頼して、返されるデータは有効であると信用します。インターネットの発展とともに、DNS モデルは DNS サーバをハイジャックしたり、データを傍受および偽装する悪意のあるユーザによって攻撃されやすくなりました。

DNSSEC は、DNS 内のセキュリティ リスクに対応するために導入されたセキュリティ拡張機能のセットです。DNSSEC は、公開鍵の暗号化によってホストとデータを認証することによって、DNS のセキュリティ上の弱点を解決しています。ゾーン データの検証、およびゾーン データの署名に使用される鍵の検証を行うことによって、DNSSEC はホストが信頼でき、送信されたデータが改ざんされていないことを保証します。DNSSEC は、ゾーン データの所有権を証明することで、キャッシュ ポイズニングや同様の攻撃をほぼ除去します。
注: Address Manager v9.3.0 からは、再構成により DNS サーバがデプロイまたは再起動されると、DNS サーバによって追加の DNS クエリが Syslog に記録されることが分かります。これは、DNSSEC 検証においてルート ゾーン トラスト アンカーの処理が変更されたことによるものです。このメッセージは無害なものであり、サービスにもパフォーマンスにも影響はありません。