http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_40.html Revision : 09.00.40 Release : Aug. 2008, ヤマハ株式会社 Rev.9.00.40リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.9.00.37 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■バグ修正 [1] DNS機能におけるキャッシュポイズニングの脆弱性に対応するため、以下の機能追加 を行った。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU800113.html DNS問い合わせパケットを送信する時の始点ポート番号をランダムに変化させること のできる機能を追加した。また、DNSキャッシュの使用の有無、および、キャッシュ として保存するエントリ数を設定するコマンドを追加した。 ○DNS問い合わせパケットの始点ポート番号の範囲を設定する [書式] dns srcport PORT[-PORT] no dns srcport [PORT-[PORT]] [設定値] PORT ... ポート番号、1〜65535 [説明] ルーターが送信するDNS問い合わせパケットの始点ポート番号を設定する。 ポート番号を一つだけしか設定しなかった場合には、指定したポート番号を始点 ポートとして利用する。ポート番号を範囲で指定した場合には、DNS問い合わせ パケットを送信するたびに、範囲内のポート番号をランダムに利用する。 [ノート] DNS問い合わせパケットをフィルタで扱うとき、始点番号がランダムに変化する ということを考慮しておく必要がある。 [初期値] 53 [設定例] dns srcport 10000-10999 # 10000-10999の範囲のポート番号をランダムに利用する ○DNSキャッシュを使用するか否か [書式] dns cache use SW no dns cache use [SW] [設定値] SW ... 'on' or 'off' [説明] DNSキャッシュを利用するか否かを設定する。 SWをonに設定した場合、DNSキャッシュを利用する。すなわち、ルーターが送信 したDNS問い合わせパケットに対する上位DNSサーバーからの返答をルーター内部 に保持し、次に同じ問い合わせが発生したときでも、サーバーには問い合わせず、 キャッシュの内容を返す。 上位DNSサーバーから得られた返答には複数のRRレコードが含まれているが、DNS キャッシュの保持時間は、それらのRRレコードのTTLのうちもっとも短い時間に なる。また、まったくRRレコードが存在しない場合には、60秒となる。 ルーター内部に保持するDNSエントリの数はdns cache max entryコマンドで設定 する。 SWをoffにした場合、DNSキャッシュは利用しない。ルーターが送信したDNS問い 合わせパケットに対する上位DNSサーバからの返答はルーター内部に保持せず、 同じ問い合わせがあっても毎回DNSサーバーに問い合わせを行う。 [初期値] on [設定例] dns cache use off ○DNSキャッシュの最大エントリ数 [書式] dns cache max entry NUM no dns cache max entry [NUM] [設定値] NUM ... 最大エントリ数、1〜1024 [説明] DNSキャッシュの最大エントリ数を設定する。 設定した数だけ、ルーター内部にDNSキャッシュとして上位DNSサーバーからの返 答を保持できる。設定した数を超えた場合、最も参照されていないものから破棄 される。 上位DNSサーバーから得られた返答には複数のRRレコードが含まれているが、DNS キャッシュの保持時間は、それらのRRレコードのTTLのうちもっとも短い時間に なる。また、まったくRRレコードが存在しない場合には、60秒となる。返答が得 られてから保持時間を経過したエントリは、DNSキャッシュから削除される。 [初期値] 256 [設定例] dns cache max entry 16 ■更新履歴 Aug. 2008, Rev.9.00.40 リリース 以上