IPv6 の再帰的な DNS サーバーを理解する
インターネット上の任意の場所にアクセスするために、ドメイン名システム(DNS)サーバーは、ドメイン名を関連する IP アドレスに解決する際に重要な役割を果たします。DNS 解決サービスは、DHCP サーバーから提供することもできます。ルーターのルーティングプロトコルプロセス(rpd)は、ルーターのアドバタイズメントを生成し、自動構成とネットワーク情報の学習においてIPv6ホストを容易にします。IPv6ステートレス自動設定では、ルーターのアドバタイズメントによってDNS設定が提供されます。ルーターアドバタイズベースのDNS設定は、IPv6ホストのアドレスがIPv6ステートレスアドレスを介して自動設定され、既存のDHCPv6インフラストラクチャがないネットワークで便利です。
構成に応じて、DNS サーバーは次のタイプに分類できます。
再帰的ドメイン名システム
非回復ドメイン名システム
DNSサーバーは、再帰的または非回復性のクエリのいずれかを解決できます。DNS クライアントによる再帰的クエリーの場合、DNS サーバーはドメイン名に関連付けられた IP アドレスまたはエラーのいずれかを返します。再帰的クエリーは紹介を返しません。非回復クエリの場合、DNS サーバーはドメイン名の IP アドレス、エラー、または照会の解決を持つ可能性のある別の DNS サーバーへの紹介を返します。
IPv6 ホストでは、それぞれのライフタイムに加えて、最大 3 つの再帰的な DNS サーバー アドレスを設定できます。構成された再帰的な DNS サーバー アドレスのライフタイムのデフォルト値は 1800 秒です。設定されたIPv6ホストは、IPv6ホストのアドレスがIPv6ステートレスアドレスを介して自動構成され、利用可能なDHCPv6インフラストラクチャがない場合、DNS解決に指定された再帰的なDNSサーバーアドレスを使用します。
再帰的なDNSサーバー設定は、NDP(ネイバーディスカバリープロトコル)の一部であるルーターアドバタイズパケットに含まれています。一般的に、保護されていない導入シナリオでは、攻撃者は不正再帰的 DNS サーバー アドレスを使ってルーターアドバタイズメントを送信し、IPv6 ホストが意図しない DNS サーバーに接続して DNS 名解決を求める誤解を招く可能性があります。これらの攻撃は、非認証 DHCP に対する近隣の検出攻撃や攻撃と同様です。ネイバー検出のセキュリティメカニズムとしてSecure Neighbor Discovery(SEND)プロトコルを使用して、再帰的なDNSサーバーオプションを含むすべてのネイバーディスカバリーオプションを自動的にシグネチャに含めることを許可することを推奨します。
SEND プロトコルの設定の詳細については、 www.juniper.net/documentation/en_US/junos14.1/topics/topic-map/ipv6-secure-neighbor.html を参照してください。