ADC

DNSセキュリティオプション

NetScaler GUIの[DNSセキュリティプロファイルの追加]ページからDNSセキュリティオプションを構成できるようになりました。NetScaler CLIまたはNITRO APIからDNSセキュリティオプションを構成するには、AppExpertコンポーネントを使用します。手順については、NITRO APIドキュメントとNetScalerコマンドリファレンスガイドを参照してください。

オプションの 1 つであるキャッシュポイズニング保護はデフォルトで有効になっており、無効にすることはできません。次の表に示すように、他のオプションをすべての DNS エンドポイントに適用することも、導入環境内の特定の DNS 仮想サーバーに適用することもできます。

セキュリティオプション すべての DNS エンドポイントに適用できますか? 特定の DNS 仮想サーバーに適用できますか?
DNS DDoS保護 はい はい
例外の管理 — ホワイトリスト/ブラックリストサーバー はい はい
ランダムなサブドメイン攻撃を防ぐ はい はい
キャッシュをバイパスする はい いいえ
TCP 経由の DNS トランザクションを強制 はい はい
DNS 応答にルートの詳細を提供する はい いいえ

キャッシュポイズニング保護

キャッシュポイズニング攻撃は、ユーザーを正規のサイトから悪意のあるウェブサイトにリダイレクトします。

たとえば、攻撃者は DNS キャッシュ内の正規の IP アドレスを制御する偽の IP アドレスに置き換えます。サーバーがこれらの IP アドレスからの要求に応答すると、キャッシュはポイズニングされます。ドメインのアドレスに対する後続のリクエストは、攻撃者のサイトにリダイレクトされます。

[キャッシュポイズニング保護] オプションを使用すると、DNS サーバーの要求と応答をキャッシュするデータベースに破損したデータが挿入されるのを防ぐことができます。この機能はCitrix ADCアプライアンスに組み込まれており、常に有効になっています。

DNS DDoS保護

DDoS 攻撃で使用される可能性があると思われる要求の種類ごとに、DNS DDoS 保護オプションを設定できます。アプライアンスは、タイプごとに、指定した期間(タイムスライス)で受信した要求数のしきい値を超えた後に受信したすべての要求をドロップします。このオプションを設定して、SYSLOG サーバに警告を記録することもできます。例えば:

  • DROP: -ログなしでリクエストをドロップするには、このオプションを選択します。しきい値 15、タイムスライス 1 秒で A レコード保護を有効にし、[DROP] を選択したと仮定します。着信要求が 1 秒で 15 クエリを超えると、パケットがドロップし始めます。
  • 警告: -リクエストをログに記録およびドロップするには、このオプションを選択します。しきい値 15、タイムスライス 1 秒で A レコード保護を有効にし、[WARN] を選択したと仮定します。着信要求が 1 秒で 15 クエリを超えると、脅威を示す警告メッセージがログに記録され、パケットがドロップされます。WARNのしきい値を、レコードタイプのDROPのしきい値よりも小さく設定することをお勧めします。このような設定は、実際の攻撃が発生してCitrix ADCが着信要求のドロップを開始する前に警告メッセージを記録することにより、管理者が攻撃を識別するのに役立ちます。

GUI を使用して着信トラフィックのしきい値を設定する

  1. [ 設定 ] > [ セキュリティ ] > [ DNS セキュリティ] に移動します。
  2. DNS セキュリティプロファイル 」ページで、「 追加」をクリックします。
  3. DNS セキュリティプロファイルの追加 」ページで、次の操作を行います。
  4. DNS DDoS 保護を拡張してください
    1. レコードタイプを選択し、しきい値制限とタイムスライス値を入力します。
    2. [ ドロップ ] または [ 警告] を選択します。
    3. 保護対象とする他のレコードタイプについて、手順 a と b を繰り返します。
  5. [Submit] をクリックします。

例外の管理 — 許可リスト/ブロックリストサーバー

例外の管理を使用すると、ブロックリストまたは許可リストのドメイン名と IP アドレスに例外を追加できます。例えば:

  • 攻撃をポストする特定の IP アドレスが特定されると、そのような IP アドレスをブロックリストに追加できます。
  • 管理者が特定のドメイン名に対する要求数が予期せず多いことがわかった場合、そのドメイン名をブロックリストに追加できます。
  • サーバーリソースを消費する可能性があるNXDomains および既存のドメインの一部はブラックリストに登録できます。
  • 管理者がリストドメイン名または IP アドレスを許可すると、これらのドメインまたは IP アドレスからのクエリまたは要求のみが応答され、その他はすべて削除されます

GUI を使用して許可リストまたはブロックリストを作成する

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. DNS セキュリティプロファイルの追加 」ページで、次の操作を行います。
    1. 例外管理 — ホワイトリスト/ブラックリストサーバー」を拡張してください。
    2. ブラックリストに登録されているドメイン/アドレスからのクエリをブロックするには [ブロック] を選択し、 ホワイトリストに登録されているドメイン/アドレスからのクエリを許可するには [許可のみ] を選択します。
    3. ドメイン名/IP アドレス 」ボックスに、ドメイン名、IP アドレス、または IP アドレス範囲を入力します。エントリはカンマで区切ります。 注記:「 詳細オプション」(Advanced Options) を選択した場合は、「次で始まる」、「次を含む」(contains)、および「次で終わる」(ends with) オプションを使用して条件を設定できます。 たとえば、「image」で始まる、または「.co.ru」で終わる、または「モバイルサイト」を含む DNS クエリをブロックする条件を設定できます。
  4. [Submit] をクリックします。

ランダムなサブドメイン攻撃を防ぐ

ランダムなサブドメイン攻撃では、正当なドメインのランダムで存在しないサブドメインにクエリが送信されます。この操作により、DNS リゾルバとサーバーの負荷が増加します。その結果、過負荷になり、減速する可能性があります。

ランダムサブドメイン攻撃を防止するオプションは、指定された長さを超える DNS クエリをドロップするように DNS レスポンダーに指示します。

example.com は自分が所有するドメイン名であるため、解決リクエストはお客様の DNS サーバーに届くと仮定します。攻撃者は example.com にランダムなサブドメインを追加して、リクエストを送信することができます。指定したクエリの長さと FQDN に基づいて、ランダムクエリがドロップされます。

たとえば、クエリが www.image987trending.example.com の場合、クエリの長さが 20 に設定されている場合、クエリは削除されます。

GUI を使用した DNS クエリの長さの指定

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. DNS セキュリティプロファイルの追加 」ページで、次の操作を行います。
    1. ランダムサブドメイン攻撃の防止」を拡張。
    2. クエリの長さの数値を入力します。
  4. [Submit] をクリックします。

キャッシュをバイパスする

攻撃時には、すでにキャッシュされているデータを保護する必要があります。キャッシュを保護するために、特定のドメイン、レコードタイプ、またはレスポンスコードに対する新しいリクエストは、キャッシュされる代わりにオリジンサーバーに送信できます。

キャッシュのバイパスオプションは、攻撃が検出されたときに、NetScalerアプライアンスに指定されたドメイン、レコードタイプ、またはレスポンスコードのキャッシュをバイパスするように指示します。

GUI を使用して、指定したドメイン、レコードタイプ、またはレスポンスタイプのキャッシュをバイパスする

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加 ] ページで、[ キャッシュのバイパス ] を展開し、ドメイン名を入力します。必要に応じて、キャッシュをバイパスする必要があるレコードタイプまたはレスポンスタイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリはカンマで区切ります。
    • [ レコードタイプ ] をクリックし、レコードタイプを選択します。
    • [ レスポンスタイプ ] をクリックし、レスポンスタイプを選択します。
  4. [Submit] をクリックします。

TCP 経由の DNS トランザクションを強制

一部のDNS攻撃は、トランザクションがUDPの代わりにTCPを使用することを強制することで防ぐことができます。たとえば、ボット攻撃中、クライアントは大量のクエリを送信しますが、応答を処理できません。これらのトランザクションに TCP の使用が強制されている場合、ボットは応答を理解できないため、TCP 経由でリクエストを送信できません。

GUI を使用してドメインまたはレコードタイプを TCP レベルで強制的に動作させる

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. DNSセキュリティプロファイルの追加 」ページで、「 TCP経由でのDNSトランザクションの適用 」を展開し、ドメイン名と/を入力するか、DNSトランザクションをTCP経由で適用する必要があるレコードタイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリはカンマで区切ります。
    • [ **レコードタイプ** ] をクリックし、レコードタイプを選択します。
  4. [Submit] をクリックします。

DNS 応答にルートの詳細を提供する

一部の攻撃では、Citrix ADCアプライアンスに構成またはキャッシュされていない無関係なドメインに対して、攻撃者が大量のクエリを送信します。dnsRootReferralパラメータが ENABLED の場合、すべてのルートサーバーを公開します。

[DNSレスポンスでルート詳細を提供する]オプションを選択すると、Citrix ADCアプライアンスは、構成またはキャッシュされていないクエリのルート参照へのアクセスを制限するように指示します。アプライアンスは空白の応答を送信します。

[DNS 応答にルートの詳細を提供する] オプションでは、増幅攻撃を軽減またはブロックすることもできます。dnsrootReferralパラメータが無効の場合、Citrix ADC応答にルート紹介が存在しないため、それらは増幅されません。

GUI を使用してルートサーバーへのアクセスを有効または無効にする

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. DNS セキュリティプロファイルの追加 」ページで、次の操作を行います。
    1. **DNSレスポンスの 「ルートの詳細を入力」を拡張してください**。
    2. [ オン ] または [ オフ ] をクリックして、ルートサーバーへのアクセスを許可または制限します。
  4. [Submit] をクリックします。
DNSセキュリティオプション