平成23年秋期試験問題 午前Ⅱ 問8

DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。

  • SOAレコードのシリアル番号を更新する。
  • 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
  • ゾーン転送を許可するDNSサーバを限定する。
  • ラウンドロビン設定を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
DNSサーバが停止すると、外部からのWebアクセスやメール送信などの公開サービスがほぼすべて利用不能になったり、下位ドメインが名前解決できなくなるなどの影響が出ます。
これらの事象を予防するために、DNSサーバは障害対策や負荷分散のためにドメインごとで最低でも2台体制で運用することが求められています。

2台のDNSサーバにはその役割から、実際にゾーン情報が記録されている「プライマリサーバ」、プライマリからゾーン情報のコピーを取得し、その情報をもとに名前解決を行う「セカンダリサーバ」があり、通常、「プライマリサーバ」はユーザー側、「セカンダリサーバ」はISP側に設置されていています。(セカンダリが2台以上となる場合もある)

定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
  • SOA(Start Of Authority)レコードは、DNSサーバの動作を制御するための設定情報が記述されているファイルです。シリアル番号はSOAレコードの改定番号を設定する項目なので対策としては不適切です。
  • ゾーン転送には関係ありません。
  • 正しい。
  • ラウンドロビン設定は、1つのドメイン名に複数のIPアドレスを割り当てる負荷分散技術なので、対策としては不適切です。

この問題の出題歴


Pagetop