権威DNSサーバーにおける不適切なBogonフィルターの設定
JPRS は2010年11月 2日,「権威DNSサーバーにおける不適切なBogonフィルターの設定について」という技術文書を発行した.
2010年 1月19日に IANA から APNIC に 1.0.0.0/8 が割り当てられた際に,1.0.0.0/8 がプライベートアドレスやドキュメント用アドレスとして使われている問題や,Bogon フィルター*1として設定されているという問題が浮上し,各所で議論や検証が行われたことは記憶に新しい.JANOG 26 Meeting でもこの問題が取り上げられ,会場のネットワークとして 1.0.0.0/8 のサブネットを使う試みが行われた.
これに関して最近 JANOG ML で多くの DNS の権威サーバでも 1.0.0.0/8 に Bogon フィルターが設定されているという問題が話題に上がった.ある ISP 事業者でブロードバンドサービスのエンドユーザに割り当てているアドレス空間が 1.0.0.0/8 に含まれており,顧客から一部のサイトの閲覧ができないなどクレームが来ているとのことである.原因として先から指摘されていたファイアウォール等でのフィルタリングの他に,権威 DNS でフィルターされており名前の解決ができない事例もあったと報告されている.
named.conf の設定例として以下のような設定が出回っていることが原因のようである.1.0.0.0/8 は APNIC,2.0.0.0/8 は RIPE に割り振られているため,blackhole となる acl にこれらのアドレス空間を含めることは誤りである.
// 誤った設定! acl "bogon" { 0.0.0.0/8; // Null Address 1.0.0.0/8; // reserved IANA, popular fakes 2.0.0.0/8; 192.0.2.0/24; // test address 224.0.0.0/3; // multicast address }; options { blackhole { bogon; }; };
この報告を受けて JPRS は2010年11月 2日,「権威DNSサーバーにおける不適切なBogonフィルターの設定について」という技術文書を発行し,関連メーリングリストで権威 DNS 管理者に対し注意を促した.
みなさまも一度自分の named.conf を見直しましょう.
参考
[janog:10144] 1.0.0.0/8 のフィルタリングについて
権威DNSサーバーにおける不適切なBogonフィルターの設定について
Traffic in Network 1.0.0.0/8
*1:存在してはいけない,存在するはずのない経路やアドレスを除外するためのフィルター.