DNSの役割とセキュリティ対策について
DNSとは
インターネットを利用する上で必ず見かける「mcsecurity.co.jp」のような「ドメイン名」と呼ばれる文字列ですが、どのような仕組みで動いていて、どのように接続するかご存じでしょうか? 例として、http://mcsecurity.co.jp/ のページに接続する状況を考えてみます。
このように、インターネットを利用する上でDNSは様々な通信の始めに行われる重要な通信です。 もしDNSサーバに接続できなくなり、IPアドレスの回答が得られないと、様々なサイトやサービスが利用できなくなります。 |
DNSの脅威と対策
最近では、新しいサイトやサービスが生まれる度に、特徴的な文字列やサービス名などのドメイン名を取得して、利用されるケースが増えています。また、ドメイン名の末尾の文字列であるトップレベルドメイン(.jpなど)にも新しい種類が増え、新しいドメイン名を取得しやすい環境となっています。 その一方で、ウイルスの配布や、攻撃に利用されるサーバにおいても、様々なドメインが使われ、一見するとランダムな文字列のような文字列や、有名なサービスに似せたドメイン名などを取得して利用されるケースが増えています。 最近では、セキュリティ対策としてDNSの履歴(ログ)を取得するように推奨されていますが、ログファイルが膨大になってしまうため、セキュリティ事象が発生した際の確認や調査に利用される用途がほとんどです。 |
NetStableでの対処
NetStableでは、ウイルスのダウンロードで利用されたドメイン、ウイルス感染後の情報の送信先として利用されたドメイン、DNSサーバへの攻撃通信などを遮断するシグネチャを作成しています。
このシグネチャが検出された際は、端末とDNSサーバのIPアドレスが記録されます。 |
社内サーバによる通信
このシグネチャでは、端末とDNSサーバのIPアドレスが記録されますが、社内にサーバがある環境、例えば「プロキシサーバ」や「Active Directoryサーバ (ADサーバ)」などがある環境では、接続する際の通信先が変わるため、記録されるIPアドレスが変わります。
プロキシサーバ環境の場合、パソコンからDNSの通信は発生しません。
Active Directoryのサーバは、ほとんどの場合社内DNSサーバとして動作しています。 |
まとめ
|