Citrix ADC

DNS セキュリティオプション

Citrix ADC GUIの[DNSセキュリティプロファイルの追加]ページでDNSセキュリティオプションを構成できるようになりました。Citrix ADC CLIまたはNITRO APIからDNSセキュリティオプションを構成するには、AppExpertコンポーネントを使用します。手順については、NITRO APIのドキュメントとCitrix ADCコマンドリファレンスガイドを参照してください。

キャッシュポイズニング保護というオプションの 1 つはデフォルトで有効になっており、無効にすることはできません。次の表に示すように、他のオプションを、展開内のすべての DNS エンドポイントまたは特定の DNS 仮想サーバーに適用できます。

セキュリティオプション すべての DNS エンドポイントに適用できますか。 特定の DNS 仮想サーバーに適用できますか。
DNS DDoS保護 はい はい
例外の管理 — ホワイトリスト/ブラックリストサーバ はい はい
ランダムなサブドメイン攻撃を防ぐ はい はい
キャッシュをバイパスする はい いいえ
TCP 経由で DNS トランザクションを強制する はい はい
DNS 応答にルートの詳細を提供する はい いいえ

キャッシュポイズニング保護

キャッシュポイズニング攻撃は、正当なサイトから悪意のある Web サイトにユーザーをリダイレクトします。

たとえば、攻撃者は DNS キャッシュ内の正規の IP アドレスを制御する偽の IP アドレスに置き換えます。サーバーがこれらの IP アドレスからの要求に応答すると、キャッシュはポイズニングされます。ドメインのアドレスに対する後続のリクエストは、攻撃者のサイトにリダイレクトされます。

[キャッシュポイズニング保護] オプションを使用すると、DNS サーバーの要求と応答をキャッシュするデータベースに破損したデータが挿入されるのを防ぐことができます。この機能はCitrix ADCアプライアンスに組み込まれており、常に有効になっています。

DNS DDoS保護

DDoS 攻撃で使用される可能性があると思われる要求の種類ごとに、DNS DDoS 保護オプションを設定できます。アプライアンスは、タイプごとに、指定した期間(タイムスライス)で受信した要求数のしきい値を超えた後に受信したすべての要求をドロップします。このオプションを設定して、SYSLOG サーバに警告を記録することもできます。次に例を示します:

  • DROP: -ログなしでリクエストをドロップするには、このオプションを選択します。しきい値 15、タイムスライス 1 秒で A レコード保護を有効にし、[DROP] を選択したと仮定します。着信要求が 1 秒で 15 クエリを超えると、パケットがドロップし始めます。
  • 警告: -リクエストをログに記録およびドロップするには、このオプションを選択します。しきい値 15、タイムスライス 1 秒で A レコード保護を有効にし、[WARN] を選択したと仮定します。着信要求が 1 秒で 15 クエリを超えると、脅威を示す警告メッセージがログに記録され、パケットがドロップされます。WARNのしきい値を、レコードタイプのDROPのしきい値よりも小さく設定することをお勧めします。このような設定は、実際の攻撃が発生してCitrix ADCが着信要求のドロップを開始する前に警告メッセージを記録することにより、管理者が攻撃を識別するのに役立ちます。

GUI を使用して着信トラフィックのしきい値を設定する

  1. [設定] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [ DNSセキュリティプロファイル ]ページで、[ 追加]をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
  4. [DNS DDoS 保護] を展開します。
    1. レコードタイプを選択し、しきい値制限とタイムスライス値を入力します。
    2. [ドロップ] または [警告] を選択します。
    3. 保護するその他のレコードの種類ごとに、手順 a と b を繰り返します。
  5. [Submit] をクリックします。

例外の管理 — 許可リスト/ブロックリストサーバー

例外の管理を使用すると、ブロックリストまたは許可リストのドメイン名と IP アドレスに例外を追加できます。次に例を示します:

  • 攻撃をポストする特定の IP アドレスが特定されると、そのような IP アドレスをブロックリストに追加できます。
  • 管理者が特定のドメイン名に対する要求数が予期せず多いことがわかった場合、そのドメイン名をブロックリストに追加できます。
  • サーバーリソースを消費する可能性があるNXDomains および既存のドメインの一部はブラックリストに登録できます。
  • 管理者がリストドメイン名または IP アドレスを許可すると、これらのドメインまたは IP アドレスからのクエリまたは要求のみが応答され、その他はすべて削除されます

GUI を使用して許可リストまたはブロックリストを作成する

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. [例外の管理] — [サーバーのホワイトリスト/ブラックリスト]を展開します。
    2. ブラックリストに登録されたドメイン/アドレスからのクエリをブロックするには [ブロック] を選択し、ホワイトリストに登録されたドメイン/アドレスからのクエリを許可するには [のみ許可] を選択します。
    3. [ドメイン名/ IP アドレス] ボックスに、ドメイン名、IP アドレス、または IP アドレスの範囲を入力します。エントリを区切るには、カンマを使用します。 注記:「 詳細オプション」(Advanced Options) を選択した場合は、「次で始まる」、「次を含む」(contains)、および「次で終わる」(ends with) オプションを使用して条件を設定できます。 たとえば、「image」で始まる、または「.co.ru」で終わる、または「モバイルサイト」を含む DNS クエリをブロックする条件を設定できます。
  4. [Submit] をクリックします。

ランダムなサブドメイン攻撃を防ぐ

ランダムなサブドメイン攻撃では、正当なドメインのランダムで存在しないサブドメインにクエリが送信されます。この操作により、DNS リゾルバとサーバーの負荷が増加します。その結果、過負荷になり、減速する可能性があります。

[ランダムサブドメイン攻撃を防止] オプションは、指定した長さを超える DNS クエリをドロップするように DNS レスポンダに指示します。

example.com が所有するドメイン名であるため、解決要求が DNS サーバーに送信されるとします。攻撃者は example.com にランダムなサブドメインを追加して、リクエストを送信することができます。指定したクエリの長さと FQDN に基づいて、ランダムクエリがドロップされます。

たとえば、クエリが www.image987trending.example.com の場合、クエリの長さが 20 に設定されている場合、クエリは削除されます。

GUI を使用した DNS クエリの長さの指定

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. [ランダムなサブドメイン攻撃を防止] を展開します。
    2. クエリの長さの数値を入力します。
  4. [Submit] をクリックします。

キャッシュのバイパス

攻撃中は、すでにキャッシュされているデータを保護する必要があります。キャッシュを保護するために、特定のドメイン、レコードタイプ、またはレスポンスコードに対する新しいリクエストをキャッシュではなくオリジンサーバーに送信できます。

[キャッシュのバイパス]オプションを選択すると、Citrix ADCアプライアンスは、攻撃が検出されたときに、指定されたドメイン、レコードタイプ、または応答コードのキャッシュをバイパスするように指示します。

GUI を使用して、指定したドメイン、レコードタイプ、または応答タイプのキャッシュをバイパスする

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加 ] ページで、[ キャッシュのバイパス ] を展開し、ドメイン名を入力します。必要に応じて、キャッシュをバイパスする必要があるレコードタイプまたはレスポンスタイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリを区切るには、カンマを使用します。
    • [ レコードタイプ] をクリックして、レコードタイプを選択します。
    • 応答タイプ」 をクリックし、応答タイプを選択します。
  4. [Submit] をクリックします。

TCP 経由で DNS トランザクションを強制する

トランザクションが UDP ではなく TCP を使用するように強制される場合、一部の DNS 攻撃を防ぐことができます。たとえば、ボット攻撃の間、クライアントは大量のクエリを送信しますが、応答を処理できません。これらのトランザクションに TCP の使用が強制される場合、ボットは応答を理解できないため、TCP 経由で要求を送信できません。

GUI を使用して TCP レベルでドメインまたはレコードタイプを強制的に動作させる

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、[TCP 経由の DNS トランザクションの強制] を展開し、ドメイン名と/を入力するか、TCP 経由で DNS トランザクションを強制する必要があるレコードタイプを選択します。
    • [ドメイン] をクリックし、ドメイン名を入力します。エントリを区切るには、カンマを使用します。
    • [ **レコードタイプ** ] をクリックし、レコードタイプを選択します。
  4. [Submit] をクリックします。

DNS 応答にルートの詳細を提供する

一部の攻撃では、Citrix ADCアプライアンスに構成またはキャッシュされていない無関係なドメインに対して、攻撃者が大量のクエリを送信します。dnsRootReferralパラメータが ENABLED の場合、すべてのルートサーバーを公開します。

[DNSレスポンスでルート詳細を提供する]オプションを選択すると、Citrix ADCアプライアンスは、構成またはキャッシュされていないクエリのルート参照へのアクセスを制限するように指示します。アプライアンスは空白の応答を送信します。

[DNS 応答にルートの詳細を提供する] オプションでは、増幅攻撃を軽減またはブロックすることもできます。dnsrootReferralパラメータが無効の場合、Citrix ADC応答にルート紹介が存在しないため、それらは増幅されません。

GUI を使用してルートサーバーへのアクセスを有効または無効にする

  1. [ 構成] > [セキュリティ] > [DNS セキュリティ] に移動します。
  2. [DNS セキュリティプロファイル] ページで、[追加] をクリックします。
  3. [DNS セキュリティプロファイルの追加] ページで、次の操作を行います。
    1. DNS 応答で [ルートの詳細を提供する] を展開します。
    2. [ON] または [OFF] をクリックして、ルートサーバへのアクセスを許可または制限します。
  4. [Submit] をクリックします。