Citrix ADC

DNS セキュリティオプション

Citrix ADC GUIの[DNSセキュリティプロファイルの追加]ページでDNSセキュリティオプションを構成できるようになりました。Citrix ADC CLIまたはNITRO APIからDNSセキュリティオプションを構成するには、AppExpertコンポーネントを使用します。手順については、NITRO APIのドキュメントとCitrix ADCコマンドリファレンスガイドを参照してください。

キャッシュポイズニング保護というオプションの 1 つはデフォルトで有効になっており、無効にすることはできません。次の表に示すように、他のオプションを、展開内のすべての DNS エンドポイントまたは特定の DNS 仮想サーバーに適用できます。

セキュリティオプション すべての DNS エンドポイントに適用できますか。 特定の DNS 仮想サーバーに適用できますか。
DNS DDoS保護 はい はい
例外の管理 — ホワイトリスト/ブラックリストサーバ はい はい
ランダムなサブドメイン攻撃を防ぐ はい はい
キャッシュをバイパスする はい いいえ
TCP 経由で DNS トランザクションを強制する はい はい
DNS 応答にルートの詳細を提供する はい いいえ

キャッシュポイズニング保護

キャッシュポイズニング攻撃は、正当なサイトから悪意のある Web サイトにユーザーをリダイレクトします。

たとえば、攻撃者は DNS キャッシュ内の正規の IP アドレスを制御する偽の IP アドレスに置き換えます。サーバーがこれらのアドレスからの要求に応答すると、キャッシュはポイズニングされ、後続のドメインのアドレス要求は攻撃者のサイトにリダイレクトされます。

[キャッシュポイズニング保護] オプションを使用すると、DNS サーバーの要求と応答をキャッシュするデータベースに破損したデータが挿入されるのを防ぐことができます。これはCitrix ADCアプライアンスの組み込み機能であり、常に有効になっています。

DNS DDoS保護

DDoS 攻撃で使用される可能性があると思われる要求の種類ごとに、DNS DDoS 保護オプションを設定できます。Citrix ADCアプライアンスは、各タイプについて、指定した期間(タイムスライス)に受信した要求数のしきい値を超えた後に受信したすべての要求をドロップします。このオプションを設定して、SYSLOG サーバに警告を記録することもできます。例:

  • DROP: -あなたが1秒としてしきい値15、タイムスライスでレコード保護を有効にし、DROPを選択したと仮定します。着信要求が 1 秒で 15 を超えると、パケットはドロップされ始めます。
  • WARN: -あなたが1秒としてしきい値15、タイムスライスでレコード保護を有効にし、WARNを選択したと仮定します。着信要求が 1 秒で約 15 クエリを超えると、脅威を示す警告メッセージがログに記録され、パケットがドロップされ始めます。WARN のしきい値は、レコードタイプの DROP よりも小さい値に設定することをお勧めします。これにより、管理者が実際の攻撃が発生し、Citrix ADCが受信リクエストのドロップを開始する前に警告メッセージを記録することで、攻撃を特定できます。

Citrix ADC GUIを使用して着信トラフィックのしきい値を設定する

  1. [構成] > [セキュリティ] **> [DNS セキュリティ**] に移動します。
  2. [DNS セキュリティプロファイル] **ページで、[追加**] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
  4. [DNS DDoS 保護] を展開します。
    1. レコードタイプを選択し、しきい値制限とタイムスライス値を入力します。
    2. [ドロップ] または [警告] を選択します。
    3. 保護するその他のレコードの種類ごとに、手順 a と b を繰り返します。
  5. [Submit] をクリックします。

例外の管理 — ホワイトリスト/ブラックリストサーバ

例外の管理では、ブラックリストまたはホワイトリストドメイン名と IP アドレスのいずれかに例外を追加できます。例:

  • 攻撃を投稿する 特定の IP アドレスが特定されると、そのような IP アドレスがブラックリストに登録される可能性があります。
  • 管理者が特定のドメイン名に対する要求が予期せず高いことがわかった場合、そのドメイン名をブラックリストに載せることができます。
  • NXDomainsとサーバリソースを消費する既存のドメインの一部をブラックリストに載せることができます。
  • 管理者がドメイン名または IP アドレスをホワイトリストに登録すると、これらのドメインまたは IP アドレスからのクエリまたは要求のみが応答され、その他はすべて削除されます。

GUI を使用したホワイトリストまたはブラックリストの作成

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. [例外の管理] — [サーバーのホワイトリスト/ブラックリスト]を展開します。
    2. ブラックリストに登録されたドメイン/アドレスからのクエリをブロックするには [ブロック] を選択し、ホワイトリストに登録されたドメイン/アドレスからのクエリを許可するには [のみ許可] を選択します。
    3. [ドメイン名/ IP アドレス] ボックスに、ドメイン名、IP アドレス、または IP アドレスの範囲を入力します。エントリを区切るには、カンマを使用します。 注記:「 詳細オプション」(Advanced Options) を選択した場合は、「次で始まる」、「次を含む」(contains)、および「次で終わる」(ends with) オプションを使用して条件を設定できます。 たとえば、”image”で始まる、または”.co.ru”で終わる、または “mobilesites” を含む DNS クエリをブロックする条件を設定できます。
  4. [Submit] をクリックします。

ランダムなサブドメイン攻撃を防ぐ

ランダムなサブドメイン攻撃では、正当なドメインのランダムで存在しないサブドメインにクエリが送信されます。これにより、DNS リゾルバとサーバーの負荷が増加します。その結果、過負荷になり、減速する可能性があります。

[ランダムサブドメイン攻撃を防止] オプションは、指定した長さを超える DNS クエリをドロップするように DNS レスポンダに指示します。

example.com が所有するドメイン名であるため、解決要求が DNS サーバーに送信されるとします。攻撃者は example.com にランダムなサブドメインを追加して、リクエストを送信することができます。指定されたクエリの長さと FQDN に基づいて、ランダムクエリは削除されます。

たとえば、クエリが www.image987trending.example.com の場合、クエリの長さが 20 に設定されていると、クエリは削除されます。

GUI を使用した DNS クエリの長さの指定

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. [ランダムなサブドメイン攻撃を防止] を展開します。
    2. クエリの長さの数値を入力します。
  4. [Submit] をクリックします。

キャッシュのバイパス

攻撃中は、すでにキャッシュされているデータを保護する必要があります。キャッシュを保護するために、特定のドメイン、レコードタイプ、またはレスポンスコードに対する新しいリクエストをキャッシュではなくオリジンサーバーに送信できます。

[キャッシュのバイパス]オプションを選択すると、Citrix ADCアプライアンスは、攻撃が検出されたときに、指定されたドメイン、レコードタイプ、または応答コードのキャッシュをバイパスするように指示します。

GUI を使用して、指定したドメイン、レコードタイプ、または応答タイプのキャッシュをバイパスする

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、[キャッシュのバイ パス] を展開し、ドメイン名と/を入力するか、キャッシュをバイパスするレコードタイプまたは応答タイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリを区切るには、カンマを使用します。
    • [レコードタイプ] をクリックし、レコードタイプを選択します。
    • 応答タイプ」 をクリックし、応答タイプを選択します。
  4. [Submit] をクリックします。

TCP 経由で DNS トランザクションを強制する

トランザクションが UDP ではなく TCP を使用するように強制される場合、一部の DNS 攻撃を防ぐことができます。たとえば、ボット攻撃の間、クライアントは大量のクエリを送信しますが、応答を処理できません。これらのトランザクションに TCP の使用が強制される場合、ボットは応答を理解できないため、TCP 経由で要求を送信できません。

GUI を使用して TCP レベルでドメインまたはレコードタイプを強制的に動作させる

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、[TCP 経由の DNS トランザクションの強制] を展開し、ドメイン名と/を入力するか、TCP 経由で DNS トランザクションを強制する必要があるレコードタイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリを区切るには、カンマを使用します。
    • [レコード タイプ] をクリックし、レコードタイプを選択します。
  4. [Submit] をクリックします。

DNS 応答にルートの詳細を提供する

攻撃者によっては、Citrix ADC アプライアンスで設定またはキャッシュされていない無関係なドメインに対して、大量のクエリを送信する攻撃があります。dnsRootReferral パラメータが ENABLED の場合、すべてのルートサーバーが公開されます。

[DNSレスポンスでルート詳細を提供する]オプションを選択すると、Citrix ADCアプライアンスは、構成またはキャッシュされていないクエリのルート参照へのアクセスを制限するように指示します。アプライアンスは空白の応答を送信します。

[DNS 応答にルートの詳細を提供する] オプションでは、増幅攻撃を軽減またはブロックすることもできます。dnsRootReferral パラメーターが DISABLED の場合、Citrix ADC の応答にはルート参照がないため、増幅されません。

GUI を使用してルートサーバーへのアクセスを有効または無効にする

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. DNS 応答で [ルートの詳細を提供する] を展開します。
    2. [ON] または [OFF] をクリックして、ルートサーバへのアクセスを許可または制限します。
  4. [Submit] をクリックします。