※ 2022 年 6 月 6 日現在の情報をもとに作成しています
1. はじめに
本記事では、Virtual Appliance に実装された DNSSEC 機能について紹介します。なお、以前の記事の中で DNSSEC の簡単な説明と Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) の対応状況について触れていますので、本記事を読む前に確認することをお勧めします。
2. Virtual Appliance の DNSSEC 機能
Virtual Appliance は DNS フォワーダーの一種で、ユーザーから送られてきた DNS リクエストを Umbrella の DNS サーバーへ転送する「DNS フォワーダー」としての役割を持ちます。
送り先である Umbrella の DNS サーバー側には DNSSEC 機能が実装されており、DNSSEC 検証とユーザーから送られてきた DNS リクエストの DO ビット対応 (つまりユーザー側の DNSSEC 検証の支援) が可能です。
Virtual Appliance にも DNSSEC 機能が用意されたわけですが、実際に実装された機能は Umbrella の DNS サーバーが持つ機能のうちの後者 (DO ビット対応) のみとなります。
主な理由としては、Virtual Appliance と Umbrella の DNS サーバー両方で DNSSEC 検証を行うのは冗長であることが挙げられます。
3. DNSSEC 機能の設定
Virtual Appliance の DNSSEC 機能 (DO ビット対応) の設定は Config Mode または SSH 接続による CLI ベースで行います。デフォルトでは無効になっており、有効にするには以下のコマンドを実行します。
config va dnssec enable
現在の設定を確認したい場合は、以下のコマンドを実行します。
config va show
出力結果内に以下のいずれかの記述が含まれています。
DNSSEC : enabled
DNSSEC : disabled
DNSSEC 機能を無効にしたい場合は、以下のコマンドを実行します。
config va dnssec disable
4. DNSSEC における注意点
現在のバージョンの Virtual Appliance では、DNS リクエストや DNS レスポンスに含まれる DNSSEC に関連した flags が解除された状態で転送が行われます。
具体的には、ユーザーからの DNS リクエストの flags に cd (Checking Disabled) が指定されていても、Umbrella の DNS サーバーで DNSSEC 検証は無効化されません。
また、Umbrella の DNS サーバーの DNSSEC 検証で正当性が確認されても、ユーザーが受け取る DNS レスポンスの flags に ad (Authentic Data) は設定されません。