目次
とある日
春期の情報処理安全確保支援士に合格するために勉強したアウトプットを記録した記事です。
令和三年度春期情報処理安全確保支援士試験午後1問2
問題
解答
設問1
(1)
A社公開Webサーバの名前解決ができなくなる
解説
表1で外部DNSサーバの概要が記述されている。
また、注記2に公開Webサーバ及びインターネット上のWebサーバの名前解決は、プロキシサーバーが外部DNSサーバに問い合わせるとあるので、シンプルに考えて名前解決ができなくなると回答する。
DNSサーバの用途を知っていれば無難に解けると思われる。
(2)
DNSリフレクション攻撃
解説
知っているか知らないかの問題である。
DNSリフレクション攻撃
DNSリフレクション攻撃とは?仕組みや注意点、対策方法について徹底解説|サイバーセキュリティ.com
DNSリフレクション攻撃とは、送信元のIPアドレスを偽装してDNSサーバにDNSリクエストを送信し、偽の送信元(攻撃対象)に大量のDNSパケットを送信して、攻撃対象をダウンさせる攻撃のことです。「DNSアンプ攻撃」や「DNSリフレクター攻撃」と呼ばれることもあります。
DNSリフレクション攻撃は、攻撃対象を直接攻撃するのではなく、インターネット上で稼働している複数のDNSサーバを経由して間接的に攻撃を仕掛けます。そのため、攻撃元の特定が難しいという特徴があります。
DNSを使った攻撃である程度絞れると思われる。
(3)
a:ア
b:イ
解説
権威DNSサーバとフルサービスリゾルバの用途をそれぞれ理解していれば解けると思われる。
権威DNSサーバは、自分のもつDNS情報をインターネットから問い合わせに答えるため、送信元がインターネットになる。
フルサービスリゾルバは、外部に問い合わせを行うため、宛先がインターネットになる。
権威DNSサーバ
権威DNSサーバとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
権威DNSサーバとは
自分の管理している情報を教えてあげるのがお仕事のDNSサーバさんこと。
フルサービスリゾルバ
フルサービスリゾルバ (full-service resolver)とは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
フルサービスリゾルバ(英:full-service resolver)とは
(4)
A
解説
「c」レコードのIPアドレスが、とあるのでIPアドレスを明記するレコードタイプを記述すればいい。
Aレコード
Aレコード(address record)とは - IT用語辞典 e-Words
Aレコードとは、DNSで定義されるそのドメインについての情報の種類の一つで、特定のホスト名に対応するIPアドレス(IPv4アドレス)を定義するもの。IPv6の場合は「AAAAレコード」を用いる。
(5)
ランダム化
解説
DNSキャッシュポイズニング攻撃について理解していればよい。
一般的な対策としてポートをランダムにするのがある。
送信元ポート番号とあるので上記の対策が適応できる確証が得れる。
DNSキャッシュポイズニング攻撃
DNSキャッシュポイズニングの実現手法 偽の再帰的な問合せ(①)に対して、本物のコンテンツサーバの回答(⑤) よりも先に偽の回答(③)を送り込むことで、キャッシュサーバに偽の情報 (④)を覚えこませる(キャッシュさせる)攻撃です。
DNSサーバーへの「キャッシュポイズニング攻撃」対策について | 法人向けOCN
対策方法:ソースポートランダマイゼーション
ソースポートランダマイゼーションとは、DNSキャッシュサーバーにおける問い合わせ用通信ポート番号を固定化せず、ランダムになるように設定することを指しており、カミンスキー型攻撃の有効な対策法の一つとされています。通信ポート番号をランダム化することによって、キャッシュポイズニング攻撃が成功する確率を、ポートが固定化している場合に比べ、大幅に低下させることができます。カミンスキー型攻撃手法の発表後にリリースされたほとんどのキャッシュDNSサーバーには ソースポートランダマイゼーションが標準実装されています。
(6)
DNSSEC
解説
これも知っているか知らないかだけの問題である。
DNSサーバ、リソースレコード、ディジタル署名、正当性、完全性、鍵管理などのキーワードで答えを導き出せると思われる。
DNSSEC
インターネット用語1分解説~DNSSECとは~ - JPNIC
DNSSEC(Domain Name System Security Extensions)とは、 DNSに対し、データ作成元の認証やデータの完全性を確認できるように仕様を拡張するものです。 DNSSECによって、データの偽装を検知することができるようになり、 DNSキャッシュポイズニング(*)のような攻撃を防ぐことができます。
(7)
f:オ
g:カ
解説
各用語を理解していないと厳しい。
「リスクと対策の検討」の2つ目のリスクDNSキャッシュポイズニング攻撃について少し記載がある。
「攻撃対象のフルサービスリゾルバが管理するリソースレコードのうち」という文章から攻撃対象が認識できる。
そして、この攻撃の対策を行うのである程度通信の対象について推測が行える。
片方は上記の通り、フルサービスリゾルバである。
もう片方は問い合わせ元のクライアントサイド側になる。
となると、フルサービスリゾルバに対して問い合わせを行うスタブリゾルバが対象となる。
スタブリゾルバー(DNSクライアント)
自身で名前解決ができないため、通常、フルサービスリゾルバー(キャッシュDNSサーバー)に名前解決の実行を委ねるリゾルバーです。プログラムをコンパクトにできることから主として利用者側の端末で動作し、アプリケーションとの橋渡しを行います。 例えば、Webブラウザーがドメイン名に対応するIPアドレスを調べる場合、そのWebブラウザーがスタブリゾルバーを呼び出します。スタブリゾルバーは、フルサービスリゾルバー(キャッシュDNSサーバー)に対して問い合わせを行い、得られた応答結果をWebブラウザーに返します。
設問2
(1)
権威DNSサーバがサービス停止になるリスク
解説
そもそもなんのために権威DNSサーバを二台用意するかを考えれば必然的に答えにたどり着く。
プライマリサーバー(マスターサーバー)
ゾーン転送の転送元となる権威サーバー(権威DNSサーバー)です。 権威サーバーは、多重化することで負荷分散や冗長化を図ることができます。多重化する際には、扱うゾーンデータのマスターを管理する権威サーバーを用意し、そのゾーンデータをコピーして別の権威サーバーを動かします。この時、コピー元の権威サーバーが「プライマリサーバー」で、コピー先の権威サーバーが「セカンダリサーバー」となります。
さらに、設問1(1)であるように本リスクは外部DNSサーバが停止することである。
それらを踏まえて課題として挙げれられることを記述する。
(2)
h:カ
i:ク
解説
DNS-Sはセカンダリの権威で、X社のホスティングサービス上に新設すると書いてあるので、ドメインがx-sha.co.jp
となる。
MXレコードはメールサーバのドメイン情報となる。
mailサーバは社内でそのまま持つので、ドメインはa-sha.co.jp
となる。
それらを総合して選択肢を考える。
dns-kのレコード情報があるので必然的にdns-sのレコードが登録することが考えつく。
(3)
j:拒否
k:許可
l:拒否
m:拒否
解説
プライマリとセカンダリの位置関係と用途を考えると答えにたどり着く。
このアクセス権限はゾーン転送を行うためのものである。
そして、ゾーン転送についてしっかりと理解する必要がある。
ゾーン転送(zone transfer) 権威サーバー間でゾーン情報を同期するための手法の一つです。 ゾーン転送は、以下の手順で実行されます。
- コピー先がコピー元にゾーンデータをリクエストする
- コピー元となる構成サーバーがコピー先に必要な情報を送る
手順を見るとコピー先(セカンダリ権威サーバ)がリクエストを投げるため、送信元がセカンダリの場合は許可が必要となる。
あとは最小限と定義してあるのでそれ以外を拒否する選択が考えられる。
(4)
n:オ
o:ア
p:カ
解説
各サーバの役割とDNSのサーバが外部に移動したことを理解する。
まずは宛先を考えると楽である。
宛先は、外部にDNSサーバが移動したのでDNSがつくアまたはイの二択になる。
そこで、各DNSサーバの用途を考えればDNSの名前解決を受け取るのはフルサービスリゾルバのためアとなる。
次が送信元だが、これは今までDNSに問い合わせを行っていたサーバから当てはめるのが簡単である。
表1の注2にあるように、フルサービスリゾルバを使用しているのはプロキシサーバーとメールサーバなのでそれを明記するだけ。
構成自体はDNS以外は変わらないのでそのまま選択して大丈夫。
落ち着いて探せば答えにたどり着ける問題である。
また、他の候補を見るとウはPC単体で設定する項目ではないことが自明なので不適切。
内部DNSサーバは、表2を見てわかるように今までは通信を行っていないため設定が不要だとわかる。