スプリットホライズンDNS

この記事は、大部分または完全に単一の情報源に依存しています。関連する議論はトークページでご覧いただけます。追加の情報源を引用して、この記事の改善にご協力ください。情報源を探す: 「Split-horizo​​n DNS」  – ニュース·新聞·書籍·学者· JSTOR      ( 2009年6月)

コンピュータ ネットワーキングにおいて、スプリット ホライズン DNS (スプリット ビュー DNS、スプリット ブレイン DNS、スプリット DNS、ミラージュとも呼ばれる) は、通常 DNS 要求の送信元アドレスによって選択される、異なる DNS 情報セットを提供するためのドメイン ネーム システム(DNS) 実装 の機能です。

この機能は、ネットワーク内部アクセス（管理ドメイン、たとえば会社内）と安全でないパブリックネットワーク（たとえばインターネット）からのアクセス用の DNS 情報を論理的または物理的に分離することにより、セキュリティとプライバシー管理のメカニズムを提供できます。

スプリットホライズンDNSの実装は、ハードウェアベースの分離またはソフトウェアによって実現できます。ハードウェアベースの実装では、関係するネットワーク内で必要なアクセス粒度に応じて、個別のDNSサーバーデバイスが実行されます。ソフトウェアソリューションでは、同一ハードウェア上で複数のDNSサーバープロセスを実行するか、DNSゾーンレコードへのアクセスを識別する機能が組み込まれた特別なサーバーソフトウェアを使用します。後者は、DNSプロトコルの多くのサーバーソフトウェア実装に共通する機能であり（「DNSサーバーソフトウェアの比較」を参照）、他のすべての実装形式は任意のDNSサーバーソフトウェアで実現できるため、 「スプリットホライズンDNS」という用語の暗黙の意味である場合もあります。

スプリット ホライズン DNS は、ネットワーク内部アクセス (管理ドメイン、たとえば会社内) と安全でないパブリック ネットワーク (インターネットなど) からのアクセスの DNS 情報を論理的または物理的に分離することにより、セキュリティとプライバシー管理のメカニズムを提供できます。

スプリットホライズンDNSの一般的な使用例の一つは、サーバーがローカルエリアネットワーク上のプライベートIPアドレス（インターネットの大部分からはアクセスできない）とパブリックアドレス（インターネット全体でアクセス可能なアドレス）の両方を持っている場合です。スプリットホライズンDNSを使用すると、同じ名前でも、クエリを送信するクライアントに応じて、プライベートIPアドレスまたはパブリックIPアドレスのいずれかにアクセスできます。これにより、重要なローカルクライアントマシンは、ルーターを経由することなく、ローカルネットワークを介して直接サーバーにアクセスできるようになります。経由するネットワークデバイスの数が少なくなるため、ネットワークのレイテンシが改善されます。

例えば、DNSサーバーは、企業ネットワークの内部と外部のリクエストに対して、 ホストhost1.example.netの異なるレコードセットを返すように設定できます。内部レスポンスは次のようになります。

@ IN SOA ns.example.net admin.example.net. (  2010010101 ; シリアル 1D ; 更新 1H ; 再試行 1W ; 有効期限 3H ) ; 最小@ IN NS ns ns IN A 203.0.113.2 host1 IN A 10.0.0.10

外部からの反応は次のようになります。

@ IN SOA ns.example.net admin.example.net. (  2010010101 ; シリアル 1D ; 更新 1H ; 再試行 1W ; 有効期限 3H ) ; 最小@ IN NS ns ns IN A 203.0.113.2 host1 IN A 203.0.113.10

スプリットホライズンDNSは、同一のクエリに対して異なる権威ある回答を提供するように設計されており、DNSSECはDNSから返されるデータの信頼性を確保するために使用されます。これらの一見矛盾する目的は、適切に構築されていないネットワークにおいて混乱や誤ったセキュリティアラートを引き起こす可能性があります。これらの2つのDNS機能を適切に組み合わせるための推奨事項が研究によって示されています。^{[ 1 ]}

このセクションは拡張が必要です。不足している情報を追加していただければ幸いです。 （2020年6月）

スプリットホライズンDNSの実装は、ハードウェアベースの分離またはソフトウェアソリューションによって実現できます。ハードウェアベースの実装では、関係するネットワーク内で必要なアクセス粒度に合わせて、個別のDNSサーバーデバイスを実行します。ソフトウェアソリューションでは、同一ハードウェア上で複数のDNSサーバープロセスを実行するか、DNSゾーンレコードへのアクセスを識別する機能が組み込まれた特別なサーバーソフトウェアを使用します。後者は、DNSプロトコルの多くのサーバーソフトウェア実装に共通する機能であり（「DNSサーバーソフトウェアの比較」を参照）、他のすべての実装形式は任意のDNSサーバーソフトウェアで実現できるため、 「スプリットホライズンDNS」という用語の暗黙の意味である場合があります。

• DNSサーバーソフトウェアの比較
• スプリットホライズンルート広告

• 「スプリット ホライズン」DNS サービスを提供- サイトは動作していません。
• BIND 9 外部および内部 DNS 情報を分割するためのビューの構成
• OS X Server システムで「スプリット ホライズン」DNS サービスを提供する(OS X Server バージョン 10.6.2 以降)
• Bind 9 の DNS ビューの詳細な手順