ワイルドカードFQDNアドレスオブジェクトのDNS名前解決
06/19/2023 59 People found this article helpful 474,800 Views
Description
ワイルドカードFQDNアドレスオブジェクトのDNS名前解決
Resolution
ワイルドカードFQDNアドレスオブジェクト(DAO: Dynamic Address Object) のDNS名前解決:
FQDN アドレスオブジェクト(FQDN AO)では*.somedomainname.comのようなワイルドカードエントリがサポートされています。ワイルドカードエントリが指定された場合は、 まず基本ドメイン名での名前解決が行われ、 それに対して定義されているすべてのホスト IP アドレスに変換されたのち、ファイアウォールを通過する DNS 応答のアクティブな収集が継続的に行われます。
NOTE: 以前の古いSonicOSではFQDNアドレスオブジェクトはIPv6をサポートしていませんでしたが、SonicOS6.5及び7.0以降ではIPv6もサポートしています。FQDNアドレスオブジェクトはIPv4/v6混在のアドレスオブジェクトとなります。この制限により、NATポリシーではIPv4もしくはIPv6を区別するため、FQDNアドレスオブジェクトは使用できません。
例えば、*.myspace.comの DAO を作成すると、まずファイアウォールの設定で指定されている DNS サーバが使用されて、myspace.comが63.208.226.40、63.208.226.41、63.208.226.42、63.208.226.43に解決されます。このことは nslookup myspace.com (またはそれと同等のコマンド)によって確認できます。ほとんどの DNS サーバではゾーン転送は許可されないので、 通常はドメイン内のすべてのホストを自動的に列挙することはできません。 それに代わる方法として、 ファイアウォールは、ファイアウォールを通過する DNS 応答を監視して、承認済み DNS サーバから発信されたDNS 応答を探します。 そのため、 ファイアウォールの背後のホストが外部 DNS サーバに対して問い合わせを行った場合、 そのサーバがファイアウォール上の設定済み/定義済み DNSサーバであるときには、 その応答がファイアウォールによって解析され、 いずれかのワイルドカード FQDN AO のドメインに一致するかどうかが調べられます
ヒント: "承認済み DNS サーバ" とは、 ファイアウォールが使用する DNS サーバとして設定されている DNS サーバのことです。承認済み DNS サーバからの応答のみをワイルドカードの学習プロセスで使用する理由は、 意図的に不正なホストエントリが設定された未承認 DNS サーバの使用によって FQDN AO のポイズニングが発生する危険を防止するためです。
ヒント: SonicOS6.5及び7.0以降では、すべての DNS サーバからの応答をサポートするオプションが提供されています。
管理 > ネットワーク > DNS ページの FQDN に対する DNS の割り当て の FQDN オブジェクトは承認済みサーバからの DNS 応答のみをキャッシュする がチェックをされている場合、承認済みサーバからの DNS 応答のみをキャッシュします。チェックをされていない(デフォルト)場合、SonicOSを通過するすべてのDNS通信を確認して必要に応じてキャッシュします。SonicOS6.5及び7.0以降では、デフォルトの動作が、”SonicOSを通過するすべてのDNS通信を確認して必要に応じてキャッシュする”となります。
例として、4.2.2.1と4.2.2.2の DNS サーバを使用するようにファイアウォールが設定されていて、 ファイアウォールで保護されているすべてのクライアントに対して DHCP 経由でこれらの DNS サーバが提供されている場合を考えてみましょう。 ファイアウォールで保護されているクライアントPC-A がvids.myspace.comに対応するアドレスの問い合わせを4.2.2.1または4.2.2.2に対して行ったとすると、 ファイアウォールでは、 それに対する応答が検査され、 定義済みの*.myspace.com FQDN AO に一致するものと判断されます。 そして、 その問い合わせの結果 (63.208.226.224) は、*.myspace.com DAOに対応する解決済みの値として追加されます。
メモ: 上記の例で、*.myspace.com の AO が作成される前に、 クライアントPC-Aがvids.myspace.comの名前解決を行った場合、それ以降、クライアントPC-Aではローカルのキャッシュを参照し、新しい DNS 要求を発行しません。そのため、この状態でファイアウォールで*.myspace.com のAOを作成したとしても、vids.myspace.comのクライアントからの名前解決がない限り、SonicWall では名前解決の学習をする機会がないため、このAOを使用したルールは意図した動作を行いません。クライアントPC-Aでキャッシュのタイムアウト等により再度の名前解決や別のクライアントPCでの名前解決などが行われる必要があります。Microsoft Windows を使用しているワークステーションでは、ipconfig /flushdnsコマンドを使用して、ローカルのDNSキャッシュを消去することができます。 このキャッシュの消去を行うと、 クライアントはすべての FQDN を解決するようになるので、それらのアクセス時にファイアウォールがその解決の情報を取得することが可能になります。
ワイルドカード FQDN エントリは、 そのドメイン名のコンテキストに含まれるすべてのホスト名に解決されます (アドレスオブジェクトあたり最大 256 エントリまで)。例えば、*.sonicwall.comと指定されている場合、www.sonicwall.com、software.sonicwall.com、licensemanager.sonicwall.comは、 それぞれの IP アドレスに解決されますが、sslvpn.demo.sonicwall.comは別のコンテキストのドメイン名であるため解決されません。 ワイルドカード FQDN AO によってsslvpn.demo.sonicwall.comを解決するには、*.demo.sonicwall.comというFQDN AOを作成する必要があります。FQDN AOを作成すると、sonicos-enhanced.demo.sonicwall.com、csm.demo.sonicwall.com、sonicos-standard.demo.sonicwall.comなどのFQDNも解決されます。
CAUTION: ワイルドカードは、部分一致ではなく完全一致のみをサポートします。 つまり、*.sonicwall.comは正当な入力ですが、w*.sonicwall.com、*w.sonicwall.com、およびw*w.sonicwall.comは違います。 ワイルドカードはエント リごとに 1 つしか指定できないので、例えば*.*.sonicwall.comは機能しません。
Related Articles
Categories
Was This Article Helpful?
YESNO