DNSサーバがオープンリゾルバ(*1)状態であるか確認方法を教えてください。
また、オープンリゾルバー状態の場合は、対策設定方法を教えてください。

(*1)オープンリゾルバとは
 
　第三者からのMWが管理するドメイン以外の名前解決要求に対して応答する状態を
　示します。
　このような状態の場合、DNSキャッシュポイズニングやDNSリフレクター攻撃を受ける
  危険性が高くなります。

■オープンリゾルバー状態の確認

再帰問い合わせの制限状態を以下の画面（項目）で確認してください。
---------------------------------------------------------------
Management Console(システム管理者) > サービス > ネームサーバ(named)
「■ DNSサーバの設定」欄中の[オプション設定] > 問い合わせ許可(allow-query)
---------------------------------------------------------------
問い合せ許可設定に"any;"や本来再帰問い合わせを許可すべきでないアドレスの 登録がある場合は、オープンリゾルバー状態の設定になっている可能性が 考えられます。

また、未設定（登録がない）場合、再帰問い合わせ動作（既定動作）は、
以下のようになります。既定動作は、ご利用の製品によって異なります。
未設定の場合、ご利用の製品によってはオープンリゾルバ状態となっている
可能性があります。

製品	既定値
Express5800/MW300g	any;
Express5800/MW500g	any;
Express5800/MW400g	any;
Express5800/MW400h	localnets および 自己ホスト
Express5800/R110d-1M(MW400h2)	localnets および 自己ホスト
InterSec/MW400i	localnets および 自己ホスト
InterSec/MW400i2	localnets および 自己ホスト
InterSec/MW400j	localnets および 自己ホスト
InterSecVM/MW V1.0	any;
InterSecVM/MW V2.0 for VMware/Hyper-V	localnets および 自己ホスト
InterSecVM/MW V2.1 for Hyper-V	localnets および 自己ホスト
InterSecVM/MW V3.0 for VMware/Hyper-V	localnets および 自己ホスト
InterSecVM/MW V4.0 for VMware/Hyper-V	localnets および 自己ホスト

※localnets

MWのネットワークインタフェース設定されているアドレスが所属する
ネットワークアドレスを指します。
たとえば、 eth0に192.168.1.0/255.255.255.0が設定されている場合は、 192.168.1.0に属するすべてのアドレスが対象になります。

製品毎の設定内容におけるオープンリゾルバ状態の判定は以下の通りです。

・Express5800/MW300g、MW500g、MW400g、InterSecVM/MW V1.0

設定内容	オープンリゾルバ判定	備考
any;	オープンリゾルバ状態です	再問合わせを許可すべきではないIPアドレスからの リクエストに対しても応答する設定です。 利用状況に合わせて、至急設定を変更してください。 (再帰問い合わせを許可すべきではないアドレスからの リクエストは受けない場合は問題ありません）
空白(デフォルト)
再帰問い合わせを許可すべきIPアドレス以外がある
再帰問い合わせを許可すべきIPアドレスのみ	オープンリゾルバ状態ではありません	許可すべきIPアドレスからのリクエストに対してのみ応答します。

・Express5800/MW400h、Express5800/R110d-1M（MW400h2)、
・InterSec/MW400i、MW400i2、MW400j
・InterSecVM/MW V2.0、V2.1、V3.0、V4.0

設定内容	オープンリゾルバ判定	備考
any;	オープンリゾルバ状態です	再帰問合わせを許可すべきではないIPアドレスからの リクエストに対しても応答する設定です。 利用状況に合わせて、至急設定を変更してください。 (再起問い合わせを許可すべきではないアドレスからの リクエストは受けない場合は問題ありません）
空白(デフォルト)	オープンリゾルバ状態の可能性があります	localnets および 自己ホストからのみ再帰問い合わせが可能です。 localnetsの範囲において、再帰問い合わせを許可すべきでない 機器が存在する場合は、設定を変更してください。
再帰問い合わせを許可すべきIPアドレス以外がある	オープンリゾルバ状態です。	再帰問合わせを許可すべきではないIPアドレスからの リクエストに対しても応答する設定です。 利用状況に合わせて、至急設定を変更してください。 (許可すべきではないアドレスからのリクエストは受けない場合は問題ありません）
再帰問い合わせを許可すべきIPアドレスのみ	オープンリゾルバ状態ではありません	許可すべきIPアドレスからのリクエストに対してのみ応答します。

■対策方法

オープンリゾルバ対策は、以下の観点で設定してください。

＊ 公開ゾーンはすべてのクエリーを許可する
＊ 公開ゾーン以外のクエリーは指定したアドレスのみ許可する

以下にそれぞれの設定方法について説明します。
設定は、以下の順で行ってください。先に「公開ゾーン以外のクエリーは指定したアドレスのみ許可する」 を行った場合、一時的に公開ゾーンの名前解決が行えなくなる可能性があります。

・公開ゾーンはすべてのクエリーを許可する

1) ManagementConsole(システム管理者)「サービス>ネームサーバ(named)」画面を開いてください。
2) 「■ ゾーン」欄で作成しているゾーンの[詳細]ボタンをクリックし、「ゾーンのプロパティ」画面を開いてください。
3) 「■ ゾーンのプロパティ」欄の「allow-query」に"any;"を記述し、[設定]をクリックしてください。
4) ManagementConsole(システム管理者)「サービス」画面を開き、「ネームサーバ(named)」サービスを再起動してください。

・公開ゾーン以外のクエリーは、指定したアドレスのみ許可する

1) ManagementConsole(システム管理者)「サービス>ネームサーバ(named)」画面を開いてください。
2)「■ DNSサーバの設定」欄の[オプション]ボタンをクリックし、オプション」画面を開いてください。
3)「■ オプションの設定」欄の「問い合わせ許可(allow-query)」に問合せを許可するアドレスを記述し、[設定]をクリックしてください。
4) ManagementConsole(システム管理者)「サービス」画面を開き、「ネームサーバ(named)」サービスを再起動してください。

■参考

外部に公開されているDNSサーバでは、オープンリゾルバ対策の有無にかかわらず 多くの名前解決要求を受信します。
オープンリゾルバ対策を行っている場合、名前解決を拒否した旨のログ出力が
増加し、サーバの負荷が高くなり、他の機能への影響が懸念されます。
名前解決の拒否応答等のログ出力を抑制することでサーバの負荷を軽減される
可能性もございますので、以下の設定をご検討ください。

 (1)「named.confの直接編集」画面を開きます。
   「サービス > DNSサーバ」画面から[named.confの直接編集]を
   クリックして開かれる「サービス > DNSサーバ > 直接編集」画面
   で設定を実施します。

 (2)ファイルの編集
   以下の行をloggingディレクティブ内に追記します。
   -----------------------------------
    category security { null; }; 
   ------------------------------------

  (編集例) loggingディレクティブの抜粋
   ------------------------------------------------------
   logging {
           channel syslog {
                   syslog local6;
                   severity info;
           };
           category default {
                   syslog;
           };
           category security { null; };   ←この行を追加
   };
   ------------------------------------------------------

 (3) 設定の変更が完了したら、 ネームサーバ(named) サービスの
      再起動を行います。

------------------------------------------------------

 - Express5800/MW300g
 - Express5800/MW500g
 - Express5800/MW400g
 - Express5800/MW400h
 - Express5800/R110d-1M（MW400h2）
 - InterSec/MW400i 
 - InterSec/MW400i2 
 - InterSec/MW400j 
 - InterSecVM/MW V1.0
 - InterSecVM/MW V2.0 for VMware
 - InterSecVM/MW V2.0 for Hyper-V 
 - InterSecVM/MW V2.1 for Hyper-V
 - InterSecVM/MW V3.0 for VMware 
 - InterSecVM/MW V3.0 for Hyper-V
 - InterSecVM/MW V4.0 for VMware 
 - InterSecVM/MW V4.0 for Hyper-V