2.44. NetMeister DNSセキュリティ機能の設定

注意

UNIVERGE IX-V シリーズでは、NetMeister DNSセキュリティ機能は利用できません。

2.44.1. NetMeister DNSセキュリティ機能概要

NetMeister DNSセキュリティ機能(以降 DNSセキュリティ とする)を利用すると、
DNSリクエストから取得したURLを、外部サーバーへ問い合わせることでカテゴリ分類し、
カテゴリによってはDNSレスポンスを行わないことで、通信の許可・拒否が行えます。

DNSセキュリティを有効にするには、有償のNetMeister Primeライセンスが必要です。
ライセンスの登録やDNSセキュリティの設定変更は、NetMeister上で行う必要があります。

NetMeisterでの画面表示や設定方法につきましては、NetMeisterのマニュアルを参照してください。

2.44.2. 機能一覧

以下の機能が利用できます。

機能

説明

ドメイン脅威判定

外部サーバーから取得したカテゴリをもとに、各ドメインへの通信を許可・拒否します。

許可拒否リスト指定

例外的に通信を許可・拒否するドメインを指定します。

ローカルドメインリスト指定

外部サーバーではなく、ローカルDNSサーバーへ問い合わせを行うドメインを指定します。

DNSセキュリティレポート

NetMeisterでDNSセキュリティの統計情報を閲覧することができます。

2.44.3. 注意事項

2.44.3.1. NetMeisterとの接続について

DNSセキュリティを利用するには、NetMeisterとの接続を常時維持する必要があります。
NetMeisterとの接続状況は、NetMeisterサービス上で確認可能です。

2.44.3.2. 解析対象について

Query TypeがANYのDNSリクエストについてはドメイン脅威判定を行いません。

2.44.3.3. プロキシDNS併用について

DNSセキュリティを有効にした場合、
プロキシDNSを有効にしていても、プロキシDNSで設定したDNSサーバーへはDNS問い合わせを行いません。

2.44.4. 外部サーバが利用不可の場合の動作

外部サーバーがネットワーク障害などで利用できない場合、
デフォルトではローカルドメイン用に設定されたDNSサーバーがあれば、それにDNS問い合わせを行います。
障害時でも通信を継続することができますが、その反面、カテゴリなどの情報が得られないため注意が必要です。

nm-dnssec no-available action no-response 設定を行うことで、
外部サーバーがネットワーク障害などで利用できない場合に、DNS問い合わせを行わない設定も可能です。

  • グローバルコンフィグモード

    項目

    説明

    nm-dnssec no-available action

    外部サーバーが利用不可の場合の動作設定

2.44.5. 受信インタフェースの指定

基本的にLANインタフェースで受信するトラフィックに対してDNSセキュリティ機能が利用されます。
LANインタフェース以外で利用したい場合は、そのインタフェースで proxy-dns ip enable や proxy-dns ipv6 enable の設定を行ってください。

2.44.5.1. DNSセキュリティ機能におけるLANインタフェース

../_images/013.svg

図 2.44.1 LANインタフェース

図のように、DNSセキュリティ機能においてLANインタフェースは以下のように定義します。
LANインタフェースは複数設定することができます。

  • クライアントとの通信に使用するインタフェース

    • 指定したインタフェースで受信するトラフィックに対してDNSセキュリティ機能を利用できるようになります。

2.44.5.2. LANインタフェースの確認方法

装置のどのインタフェースがLANに指定されているかは、
show running-configコマンドで表示されるsystem information情報で確認が可能です。

デフォルト設定の場合、system informationの設定は表示されません。

2.44.5.3. LAN対象インタフェース

  • デフォルト設定

    • デフォルト設定では、LANインタフェースにはGigaEthernetX.0(X:対象プラットフォームで一番大きいインタフェース番号)が割り当てられます。

    • 個別にインタフェースを指定する場合、system informationコマンドで設定が必要になります。

  • 個別設定

    • system informationコマンドを設定することで、個別に対象インタフェースを設定することができます。詳細な設定については次項「設定方法」を参照してください。

2.44.5.4. 設定方法

DNSセキュリティ機能の適用対象にする場合、以下のコマンドで設定する必要があります。

設定可能なLANインタフェース番号は最大20までになります。

  • グローバルコンフィグモード

    項目

    説明

    system information

    LANインタフェース割り当て設定
    リスト 2.44.1 表示例
    Router(config)# show running-config
          :
system information lan 1 GigaEthernet2.0

2.44.5.4.1. 注意事項

  • Webコンソール利用時

    Webコンソールで設定をしている場合、以下のsystem informationコマンドが設定されている場合があります。

    system information lan 1
    system information wan 1
    system information wan 2

    この設定を変更した場合、Webコンソールが動作しなくなる可能性がありますのでご注意ください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。

  • NetMeisterサービス利用時

    一部のNetMeisterサービスでは以下のsystem informationコマンドの設定を参照して機能が動作しています。

    NetMeisterサービス機能

    該当コマンド

    ダイナミックVPN
    system information wan 1
    system information lan 1

    リモートログイン

    system information lan 1

    そのため、手動設定する際は使用する環境に合わせてsystem informationコマンドの設定をしてください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。

2.44.6. ドメイン判定の優先度

ドメインの判定は以下の順序で行われます。
ドメイン脅威判定と許可拒否リストのどちらを優先するかは、NetMeisterで設定します。

2.44.6.1. ドメイン脅威判定優先の場合

  1. ローカルドメインリスト判定
    該当する場合、DNSリクエストを許可する
    該当しない場合、次の判定へ進む

  2. ドメイン脅威判定
    拒否に該当する場合、DNSリクエストを拒否する
    許可に該当する場合、または許可・拒否のどちらにも該当しない場合、次の判定へ進む

  3. 許可拒否リスト判定
    拒否に該当する場合、DNSリクエストを拒否する
    許可に該当する場合、または許可・拒否のどちらにも該当しない場合、DNSリクエストを許可する

2.44.6.2. 許可拒否リスト優先の場合

  1. ローカルドメインリスト判定
    該当する場合、DNSリクエストを許可する
    該当しない場合、次の判定へ進む

  2. 許可拒否リスト判定
    拒否に該当する場合、DNSリクエストを拒否する
    許可に該当する場合、DNSリクエストを許可する
    許可・拒否のどちらにも該当しない場合、次の判定へ進む

  3. ドメイン脅威判定
    拒否に該当する場合、DNSリクエストを拒否する
    許可に該当する場合、または許可・拒否のどちらにも該当しない場合、DNSリクエストを許可する

2.44.7. DNSセキュリティレポート・ログの通知

NetMeisterでDNSセキュリティのレポートやログが確認できます。

レポートの送信は、毎時0分に行われます。
ログの送信は、5分毎もしくは1MB毎に行われます。

以下のコマンドでそれぞれの送信を行わないようにできます。

  • グローバルコンフィグモード

    項目

    説明

    nm-dnssec report disable

    DNSセキュリティレポートの送信無効化

    nm-dnssec log disable

    DNSセキュリティログの送信無効化

2.44.8. 情報の確認

以下のコマンドでDNSセキュリティ機能関連の状態を確認できます。

  • グローバルコンフィグモード

    項目

    説明

    show nm-dnssec status

    DNSセキュリティ機能の統計情報表示

以下のように、DNSセキュリティ機能の統計情報が確認できます。

リスト 2.44.2 表示例
Router(config)# show nm-dnssec status
Nm-dnssec Client:
  Mode    : Enable
  Status  : Activated
Statistics:
  Receive request:
    0 receive, 0 success, 0 failure
      0 query, 0 allow, 0 deny, 0 local, 0 memory error
  Sent request:
    0 request, 0 success, 0 failure
      0 connect error, 0 authentication error, 0 internal error, 0 memory error
      0 send guard
  Log statistics:
    0 request, 0 success, 0 failure
  Profile Update:
    28 request, 0 success, 0 failure
      0 connect error, 0 internal error, 0 memory error
    Last Update: -
  Policy Update:
    28 request, 0 success, 0 failure
      0 connect error, 0 internal error, 0 memory error
    Last Update: -

表示

内容

Nm-dnssec Client

Mode
DNSセキュリティ状態
Enable:有効
Enable(grace period):有効(装置登録失敗)
Disable:無効

Status
DNSセキュリティ稼働状態
Activated:稼働中
Activated(grace period):稼働中(装置登録失敗)
Inactive:非稼働

Statistics

Receive request

端末からのDNSリクエスト受信回数

Sent request

外部サーバーへのDNSリクエスト送信回数

Log statistics

レポート送信の統計情報

Profile Update

装置プロファイル・ライセンスの更新情報

Policy Update

NetMeisterから取得するポリシーの更新情報