社内DNS環境下でのArtemisテクノロジの運用について
製品 VirusScan Enterprise / McAfee AntiSpyware Enterprise Version 8.7i
OS ALL 問題番号 VE08122501
詳細:

企業内で稼動している内部DNSサーバに社内マシンがMcAfee Artemis Technologyを使った問い合わせを許可するメカニズムについて説明しています。

接続テスト

テストマシンからMcAfee Artemis Technologyサーバに接続できることを確かめるには、nslookupを実行し確認します。

接続テスト手順例
  1. Windows OS 上の [スタート] ボタンをクリック後、 [ファイル名を指定して実行]をクリックし、“名前”欄に「cmd」と入力。[Enter] キーを押下します。
  2. 「nslookup 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com」と入力。[Enter] キーを押下します。接続成功の場合、以下のように表示されます。

    Server: <mylocaldnsserver.org>
    Address: 161.69.135.201

    Name: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com
    Address: 127.0.4.8

上記2の手順にてnslookupが失敗もしくはタイムアウトエラーする場合は接続失敗となります。

お客様環境下での運用シナリオ

組織内部でDNSサーバを利用する企業では、論理的にインターネットからこのDNSサーバを分離しており、マイクロソフトISAサーバのようなサーバを経由して社内からインターネットへの接続を実現しています。このようなDNSサーバの環境は「split DNS」や「split horizon」と呼ばれます。これらの用語は外部ネットワークと内部ネットワークで別々のDNS環境を構成することを意味します。

この構成例としては以下にも紹介されています。
http://technet.microsoft.com/en-gb/library/cc302590.aspx

以下の説明は組織内部にあるすべての端末に対してDNSトラフィックのルーティング設定をすることなく、安全にArtemisの問合せを実現する回避策です。

安全にフォワーディングを可能にする

McAfee Artemis Technologyが動作するためには、リアルタイムにDNSクエリができる環境でなくてはなりせん。このため、プロキシサーバが使用するDMZ上のDNSサーバのように、内部DNSサーバは外部にあるArtemis Technologyドメインを解決するためのDNSクエリができるようにしなければなりません。

解決策

外部のリゾルバへ直接McAfee Artemis Technologyが使用するドメイン名のみフォワーディングすることにより、他のドメインをルーティングすることなく安全にルックアップを実施できます。安全に環境を構成するため、管理者は外部のリゾルバへMcAfee Artemis Technologyが使用するドメイン名のみ内部のDNSサーバがリクエストをフォワードするように設定しなければなりません。以下に一般的なDNSサーバのフォワーディング設定を記述しておりますので確認ください。

マカフィーでは直接マカフィーのArtemisクエリクラスタにクエリを送るのではなく、あなたの最も近くにあるインターネットDNSリゾルバにクエリをフォワードすることを強く推奨します。

設定サンプル

以下の設定例はWindows DNSサービスと BIND 9(*nix/Linux)向けです。

  • Windows DNS マネージャ
    1. Windows DNSマネージャを表示。
    2. 対象のDNSサーバを右クリックし、[プロパティ]を選択。
    3. [フォワーダ]タブを選択し、「DNSドメイン」の[新規作成]ボタンをクリック。
    4. リクエストのフォワード用に新しくDNSゾーンを追加。
    5. 「選択したドメインのフォワーダIPアドレスリスト」にて、ゾーンを解決できるサーバのIPアドレスを入力し[追加]ボタンをクリック。
    6. 設定終了後[OK]ボタンをクリック。
  • Windows / Linux BIND 9
    1. BIND 9を*nix/Linux上で使用する場合、named.confファイルに適切なIPアドレスを以下のように設定します。

      // --- Zone forwarding for McAfee Artemis features NB: The servers below are open resolvers.

      zone "avqs.mcafee.com" IN {
      type forward;
      forward first;
      forwarders { 10.10.128.135; 10.10.128.136;};
      };
      // ---

    2. 関連製品ガイドの指示に従って、コンフィグをリロードします。

※上記の設定内容につきましては、当社製品上での設定ではございません。一般的なネットワーク環境をモデルに設定例として、情報を提供しております。よって、設定の詳細に関しましては、お客様の環境によって調整が必要な場合がございます。調整に関する問い合わせにつきましてはお受けできない場合がございますのでご了承ください。

掲載日 2008/12/25
更新日 2009/11/11

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間