もともとはこの本の後半部分の実践編とアドバンス編にある「サイバー攻撃対策」や「DNSSECの仕組み」を読みたくて購入した。
最初から一通り読んでみると、結構な部分で抜け落ちている知識や仕組みがあることに気が付かされた。普段の作業には影響しないが、レコードの意味や設定の背景、フルリゾルバ・スタブリゾルバの誤解など。特にP.158のコラム「再帰的問い合わせと非再帰的問い合わせ」はちゃんと理解できておらず、目から鱗が落ちた。
それから、目的であるDNSの攻撃手法のところはわかりやすく、どういう問題があるのかが解説されており、よかった。攻撃手法はキーワードとしては先行するもののちゃんと説明されているのは素晴らしい。攻撃に対する対策もあるので、実際に当事者になったときも対処しやすいだろう。あとはありがちなファイアウォールでのポートのブロックの問題。
P.245 ネットワーク越しの攻撃から権威サーバーやフルリゾルバーを守ろうとして、ファイアウォールやOSなどでアクセス制限適用することがあります。その際、DNSではUDPポートの53番へのアクセスのみを許可すればよいという誤った認識により、TCPポート53番へのアクセスを遮断してしまうことがあります。
DNSの仕様では、通信手段としてTCPとUDPのいずれを使用してもよいことになっており、TCPはUDPの代替手段ではなく、通常の通信手段として使われます。そのため、権威サーバーとフルリゾルバーについてはUDPポート53番へのアクセスに加え、TCPポート53番へのアクセスも許可する必要があります。
油断している(レビューをちゃんとしていないと)と、ブロックされてしまって安定しなくなるんだよね。
それから、当初の目的のDNSSECをちゃんと勉強できてよかった。しっかりと書いてあり、仕組みに設定を知ることができた。今はまだ設定することはないが、使っているサービスが対応したら、DNSSECの導入もやりたいので、そのためには仕組みがわからないといけない。そこを勉強できたのはとてもよい。
買ってよかった。