HOME»情報処理安全確保支援士掲示板»平成30年春  午後1問2 設問2 (1)について
投稿する

[0457] 平成30年春  午後1問2 設問2 (1)について

 ぽこさん(No.1) 
表4のチェックリストによると、DNSサーバが許可するのはDMZ上の他のサーバからだけ「インターネット上のドメイン名の名前解決を行う問合せ」(カッコはIPA回答)とのことですが、表2のDNSサーバの機能の概要によると、インターネット上のドメイン名の名前解決を行う機能がある。と書いてあります。つまりDMZからだけでなく、インターネットから名前解決を行うと書いてあるように見えます。表4が表2の仕様と変わっていておかしいと思うのですがどうなんでしょうか。
2020.02.27 23:54
助け人さん(No.2) 
表2には、
「オープンリゾルバ防止機能がある」
ともあります。

オープンリゾルバとは、自ドメインからだけでなくインターネットからの再帰問合せにも応答するようになっている脆弱性のことですから、これを防止しているということは、インターネットからの再帰問合せには応答しないということです。
2020.02.28 10:53
わっつさん(No.3) 
ちょっとだけ補足します。

T社のDNSサーバには表2において以下の機能があるとあります。
(1) インターネット向けのT社ドメインを管理する機能
(2) インターネット上のドメイン名の名前解決を行う機能
(3) オープンリゾルバ防止機能

(1)はインターネット側から「T社ドメイン(FQDN)」の問い合わせに応答する機能です。
(2)は表4に書かれている機能です。
(3)は助け人さんが回答されている機能です。

もう少し具体的に書くと...
インターネットからの問い合わせについては,"t-sha.co.jp"のドメイン以外は応答しません。
社内からインターネットに存在するドメインについてのの問い合わせはDMZ上の他サーバから以外は受け付けません。
つまり,DNSサーバにとってインターネット側,社内側それぞれの条件が書かれているので相反するものではありません。

さらに(1)を実現するためにDNSサーバはインターネット上に公開されますが,同時にそれはDNS関連攻撃の踏み台にされる可能性があるため,(3)を設定しています。
2020.02.28 11:56
 ぽこさん(No.4) 
助け人様、わっつ様、丁寧に説明していただきありがとうございました。
矛盾がないことがよく理解できました、まだまだ勉強不足でした。
2020.02.28 21:18

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop