DNSトラフィック分析でネットワークをより安全にする

課題

DNSは、ネットワークを攻撃するための潜在的な脅威としてセキュリティの専門家によってますます認識されています。 DNSは、DNSクエリーのリダイレクトやキャッシュポイズニング(悪意のあるサイト)、ネットワークフットプリント(ゾーン情報や逆クエリーによる漏洩)、サービス拒否など、その安全ではないが偏在する性質を悪用した多数の被害や、データの漏洩さえも招きがちです。

DNS情報は認証も検証もされません(DNSSECが採用されている場合を除く)。したがって、組織内でDNSが意図したとおりに機能していることを確認する唯一の方法は、組織のDNSサーバの慎重な設定と強化です。 次に、ネットワーク上のDNSトラフィックを注意深く監視することです。

Cubroからの解決策

入念に監視するには、ネットワークトラフィックを完全に可視化する必要があります。これにはCubroのネットワーク可視化が役立ちます。 高品質のネットワークTAPの広いラインナップを使用して、管理者はそのネットワーク上のすべてのトラフィックへの自由なアクセスを持つことになります。 Cubroのネットワークパケットブローカは、トラフィックのモニタリングシステムやセキュリティツールへのデータを集約、複製、フィルタリングをすることができます。そして、DNSトラフィックを分離して検査することができます。

 ドメインネームシステムは、ほとんどのインターネットサービスが依存している複雑な分散データベースです。 その監視は重要であり、異常を識別し、パフォーマンスを測定し、そして使用統計を生成するためにDNSトラフィックを継続的に監視することが必要です。

このようなDNSトラフィックの分析は、主にコンピュータネットワーク内のインサイダー脅威、マルウェア、サイバー攻撃、および高度な標的型攻撃(APT攻撃)を識別するときに、情報セキュリティやコンピュータフォレンジックの分野で重要になります。

DNS分析の主な用途はセキュリティですが、もう1つはネットワークトラフィックを理解することにあります。 DNSデータを利用して新しいインターネットの脅威を検出することが、ここ数年で一般的になっています。DNSはネットワーク全体のパフォーマンスに大きな影響を与えます。 DNSWEBの弱点です。 それはしばしば忘れられ、パフォーマンスへの影響は、故障するまで無視されます。 これに関連する典型的な問題は次のとおりです。

    • 1. 低パフォーマンスDNSサーバ
    • 大量なリクエスト
    • 応答の遅れ
  • 2. DNSキャッシュ内の短いTTL値

DNSトラフィックはUDP(またはTCP)ポート53で流れ、ポート53でフィルタリングする

ことによって抽出できます。Cubro Packetmasterでは、OSIレイヤ4までのフィルタリングが可能です。また、Cubro Sessionmasterは、レイヤ4以上のフィルタリングが可能です。 Cubroは必要なトラフィックを分析ツールに転送するだけなので、分析ツールに負荷をかけません。

一般的なアプリケーションシナリオ

Cubro PacketmasterおよびSessionmaster製品は、トラフィックがIPv4IPv6、またはVXLANGRE、またはGTPトンネル内でカプセル化されているかに関係なく、DNSトラフィックにアクセスするのに最適な選択肢です。

このソリューションの対応製品


Newsletter

日本語
Contact technical expert