---------------------------------------------------------------------
■権威DNSサーバーにおける不適切なBogonフィルターの設定について
- 設定内容の確認と割り振り状況に対応したフィルターの更新を忘れずに -
株式会社日本レジストリサービス(JPRS)
初版作成 2010/11/02(Tue)
最終更新 2010/12/02(Thu)
(0.0.0.0/7に関する注意事項を追加)
---------------------------------------------------------------------
▼概要
IANAが割り振りを開始していない未割り当てのIPアドレス、プライベート
IPアドレス・例示用IPアドレスや、特殊な用途のためにIANAが予約している
IPアドレスといった、本来インターネット上で送信元として存在してはなら
ないIPアドレスを総称して、Bogon(ボーゴン)と呼びます。
設定の誤りや悪意によるBogonの不正使用を防ぐため、インターネット上の
ネットワーク機器やサーバーなどでBogonをブロックするためのフィルター
(以下、Bogonフィルター)を設定することがあります。Bogonフィルターは
インターネットを構成するルーターで設定することが一般的ですが、必要に
応じ、各々のサーバープログラムで個別にBogonフィルターを追加設定する
場合があります。
▼問題点
Bogonフィルターの設定はネットワークの不正使用やサーバーに対するDoS攻
撃の防止などに有効ですが、未割り当てのIPアドレスについては、IANAが当
該IPアドレスに対する割り振りを実施した時点でBogonではなくなるため、
IPアドレスの割り振り状況に対応したBogonフィルターの更新が必要になり
ます。
特に、権威DNSサーバーにおいて古い内容のBogonフィルターが設定されてい
た場合、新たに割り振られたIPアドレスからのDNS問い合わせが当該サーバー
でブロックされるため、インターネットの利用に支障を来たすことになりま
す。
▼必要な対応
権威DNSサーバーにおける設定内容を確認し、もしBogonフィルターが設定さ
れていた場合、参考URIにある情報を参照し、設定内容を更新してください。
特に最近、1.0.0.0/8や2.0.0.0/8といった、従来からBogonフィルターの設
定例に使用されていたIPアドレスの割り振りが開始されたことにより、以前
に設定した古い内容のBogonフィルターに起因する障害が報告されています。
この場合、当該IPアドレスの割り振りが開始されるまでは障害が発生しない
ことと、以前から使用していたIPアドレスからの問い合わせでは障害が発生
しないことから、問題の発見や原因の究明に時間を要する場合があり、特に
注意が必要です。
BIND 9のnamed.confファイルにおける、不適切なBogonフィルターの設定例
を例1に示します。このように、もし1.0.0.0/8や2.0.0.0/8がBogonフィル
ターの設定に含まれていた場合、それらを削除する必要があります。
(2010年11月29日追加)
不適切なBogonフィルターの設定例について、0.0.0.0/8と1.0.0.0/8を集約
した形式である「0.0.0.0/7」によるものも流通している旨のコメントをい
ただきました(設定例を例2に示します)。0.0.0.0/7がBogonフィルターの
設定に含まれていた場合、それを0.0.0.0/8に修正する必要があります。
----------------------------------------------------------------
acl "bogon" {
0.0.0.0/8;
1.0.0.0/8; ←この行が不適切なので削除する
2.0.0.0/8; ←この行が不適切なので削除する
169.254.0.0/16;
192.0.2.0/24;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
224.0.0.0/3;
};
options {
blackhole {
bogon;
};
};
----------------------------------------------------------------
例1. BIND 9のnamed.confにおける不適切なBogonフィルターの設定例(1)
----------------------------------------------------------------
acl "bogon" {
0.0.0.0/7; ←この行が不適切なので0.0.0.0/8に修正する
2.0.0.0/8; ←この行が不適切なので削除する
169.254.0.0/16;
192.0.2.0/24;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
224.0.0.0/3;
};
options {
blackhole {
bogon;
};
};
----------------------------------------------------------------
例2. BIND 9のnamed.confにおける不適切なBogonフィルターの設定例(2)
前述の通り、今後もBogonはIPアドレスの割り振り状況などに応じて随時変
更されます。そのため、Bogonフィルターを設定した場合、割り振り状況に
対応したフィルターの更新が必要になります。権威DNSサーバーはインター
ネット全体からアクセスされるため、Bogonフィルターを設定する場合イン
ターネットの円滑な利用の障害とならないよう、特に注意が必要です。
▼参考URI
RFC 5735 - Special Use IPv4 Addresses
http://tools.ietf.org/search/rfc5735
The Bogon Reference - Team Cymru
http://www.team-cymru.org/Services/Bogons/
Team CymruによるBogonリスト(随時更新されるので注意が必要)
http://www.team-cymru.org/Services/Bogons/bogon-bn-nonagg.txt
---------------------------------------------------------------------
▼更新履歴
2010-11-02 初版作成
2010-12-02 0.0.0.0/7に関する注意事項を追加
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.