令和4年春期試験問題 午前Ⅱ 問18
問18解説へ
DNSサーバで管理されるネットワーク情報の中で,外部に公開する必要のない情報が攻撃者に読み出されることを防止するための,プライマリDNSサーバの設定はどれか。
- SOAレコードのシリアル番号を更新する。
- 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
- ゾーン転送を許可するDNSサーバを限定する。
- ラウンドロビン設定を行う。
正解 ウ問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
DNSサーバが停止すると、外部からのWebアクセスやメール送信などの公開サービスがほぼすべて利用不能になったり、下位ドメインが名前解決できなくなるなどの影響が出ます。
これらの事象を予防するために、DNSサーバは障害対策や負荷分散のためにドメインごとで最低でも2台体制で運用することが求められています。
2台のDNSサーバにはその役割から、実際にゾーン情報が記録されている「プライマリサーバ」、プライマリからゾーン情報のコピーを取得し、その情報をもとに名前解決を行う「セカンダリサーバ」があり、通常、「プライマリサーバ」はユーザー側、「セカンダリサーバ」はISP側に設置されていています。(セカンダリが2台以上となる場合もある)
定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
これらの事象を予防するために、DNSサーバは障害対策や負荷分散のためにドメインごとで最低でも2台体制で運用することが求められています。
2台のDNSサーバにはその役割から、実際にゾーン情報が記録されている「プライマリサーバ」、プライマリからゾーン情報のコピーを取得し、その情報をもとに名前解決を行う「セカンダリサーバ」があり、通常、「プライマリサーバ」はユーザー側、「セカンダリサーバ」はISP側に設置されていています。(セカンダリが2台以上となる場合もある)
定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
- SOA(Start Of Authority)レコードは、DNSサーバの動作を制御するための設定情報が記述されているファイルです。シリアル番号はSOAレコードの改定番号を設定する項目なので対策としては不適切です。
- ゾーン転送には関係ありません。
- 正しい。
- ラウンドロビン設定は、1つのドメイン名に複数のIPアドレスを割り当てる負荷分散技術なので、対策としては不適切です。
広告