DNSSECに対応したキャッシュDNSサーバの提供開始について

日頃からInfoSphereをご利用いただきありがとうございます。
このたび、DNSキャッシュポイズニング(※)による被害の防止を理由に、DNSSECに対応することでセキュリティを強化したキャッシュDNSサーバの提供を開始いたします。

DNSSECとは

権威DNSサーバから受信したDNS応答が「本当に正しい」ということをキャッシュDNSサーバ側で検証可能にするための、DNSの拡張機能です。
権威DNSサーバは応答送信の際に公開鍵暗号を利用した署名を付加します。
キャッシュDNSサーバでは付加された署名を検証することにより、データの出自認証 (本当にその相手が作成したものであること) と完全性(通信途中で書き換えられたり、一部が失われたりしていないこと) を確認でき、DNS応答の偽造を防ぐことができます。

* DNS cache poisoning(DNSキャッシュポイズニング) ・・・
  DNSプロトコルの脆弱性を利用して偽の情報をキャッシュDNSサーバへ記憶させることにより、フィッシングや電子メールの盗み見などを図る攻撃

実施日

2011年1月18日(火) 提供開始

キャッシュDNSサーバ

DNSSECに対応したキャッシュDNSサーバのIPアドレス
   ・203.138.63.115(プライマリDNS)
   ・203.138.63.123(セカンダリDNS)

従来のキャッシュDNSサーバとの相違点

DNSSECによる署名が行われたドメインのレコードを検索する際には、DNSSECによる署名検証を行い、データの出自と完全性を確認した上でお客様へ返答を返します。
何らかの理由で署名検証に失敗した場合には、名前解決に失敗したことを示す「Server failure」エラーを返します。このエラーは、いわゆるLame delegationや権威DNSサーバの設定不備、あるいはサーバダウンなどにより、名前解決が失敗した場合と同じものとなります。
そのため、このエラーを受け取ったWebブラウザーなどのDNSクライアントは名前解決が失敗した場合と同様、「指定されたWebページが表示できない」といったエラーメッセージを表示することになります。
なお、DNSSECによる署名が行われていないドメインのレコード情報については、従来のキャッシュDNSサーバと同様に検証などを行いません。

DNSSECに対応したキャッシュDNSサーバの注意点について

お客様の通信環境によっては今回提供するDNSSECに対応したキャッシュDNSサーバをご利用できないことがあります。
ご利用の通信機器(ブロードバンドルータなど)がDNSSECに対応しているかについては、通信機器の販売元または製造元にご確認ください。

DNSSECに対応したキャッシュDNSサーバのご利用方法について

DNSSECに対応したキャッシュDNSサーバをご利用いただく場合には、通信機器やパソコンなどにおいて参照するキャッシュDNSサーバのIPアドレスを変更いただく必要があります。
パソコンにおける変更(設定)方法については、こちらをご覧ください。

DNSSECに対応したキャッシュDNSサーバをご利用されない場合は、設定変更などの必要はございません。

今回の改修によるその他変更点

本サーバについては、来るべきIPv6でのインターネット接続に備え、IPv6ネットワークからの接続も可能です。
なお、IPv6のアドレスは以下の通りです。
  プライマリ:2001:2c0:11::c13
  セカンダリ:2001:2c0:11:1::c14

InfoSphereは DNSSEC Ready ロゴ 「キャッシュDNSサーバチェックリスト」の「キャッシュDNSサーバ」カテゴリで本ロゴを利用しています。記入したチェックリストは こちら [PDF, 45KB]