HOME»情報処理安全確保支援士掲示板»R元秋PM1問2の表1の項番1?
投稿する
(注2より)公開Webサーバを除き、DMZ上のサーバに関しては、外部DNSサーバが
内部向けに権威DNSサーバを担っている可能性を考えました。
例えば、メールソフトのサーバ指定に「mail01.z-sha.co.jp」などの
ドメインでの指定があれば、PCから外部DNSサーバへのクエリが発生します。
ブラウザのプロキシサーバにドメインで指定している場合も同様です。
因みに注1)は、リゾルバに関する記述ですので、上記とは矛盾しません。
»[0582] 平成25年度秋午後1問1設問2(5)-(7) 投稿数:1
»[0581] 平成28年秋午後2問1設問4(2) 投稿数:6
[0584] R元秋PM1問2の表1の項番1?
こりんさん(No.1)
設問には関係しませんが、どなたかた教えてください。
表1の項番1のサービスに【DNS】が入っています。
PCから外部DNSサーバにDNSクエリを送ることがあるのでしょうか。
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」とある。
・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」とあり、プロキシサーバが名前解決DNSクエリを発します。
以上の理由からです。
表1の項番1のサービスに【DNS】が入っています。
PCから外部DNSサーバにDNSクエリを送ることがあるのでしょうか。
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」とある。
・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」とあり、プロキシサーバが名前解決DNSクエリを発します。
以上の理由からです。
2021.01.09 13:06
斎藤さん(No.2)
この設問では多分、透過型のプロキシサーバを使っているんじゃないんでしょうか?
httpプロキシサーバの場合は名前解決をPCではなくプロキシサーバが行いますが、透過型プロキシサーバの場合はPC側が名前解決クエリを発行します。
PCが名前解決の要求クエリをプロキシサーバに送信し、それをプロキシサーバが外部DNSサーバに中継しているような形です。
httpプロキシサーバの場合は名前解決をPCではなくプロキシサーバが行いますが、透過型プロキシサーバの場合はPC側が名前解決クエリを発行します。
PCが名前解決の要求クエリをプロキシサーバに送信し、それをプロキシサーバが外部DNSサーバに中継しているような形です。
2021.01.09 23:06
こりんさん(No.3)
斎藤さんありがとうございます。
【透過型のプロキシサーバ】を知らなかったので調べてみました。
ですがこのタイプだとしたら、
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」は
「外部DNSサーバはメールサーバまたはPCからDNSクエリを受ける」だし、
・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」の
設定されは「特にプロキシサーバの設定はしていない」となります。
だから、この問題では非透過型(明示型)のプロキシサーバだと思います。
出題者は回答者のミスリードを誘うため【DNS】を入れたのかしら。
【透過型のプロキシサーバ】を知らなかったので調べてみました。
ですがこのタイプだとしたら、
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」は
「外部DNSサーバはメールサーバまたはPCからDNSクエリを受ける」だし、
・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」の
設定されは「特にプロキシサーバの設定はしていない」となります。
だから、この問題では非透過型(明示型)のプロキシサーバだと思います。
出題者は回答者のミスリードを誘うため【DNS】を入れたのかしら。
2021.01.10 12:50
hisashiさん(No.4)
DMZ上のサーバと通信するためのクエリと考えてみてはいかがでしょうか?
公開Webに関してはPCから内部DNSサーバにクエリーを送出しているようですが、
メールサーバに関しては記述がありません。
おそらくここに指定しているのではないかと。
あとは、DNSトンネリング(表3の項番3)との矛盾を避けるためと考えられます。
公開Webに関してはPCから内部DNSサーバにクエリーを送出しているようですが、
メールサーバに関しては記述がありません。
おそらくここに指定しているのではないかと。
あとは、DNSトンネリング(表3の項番3)との矛盾を避けるためと考えられます。
2021.01.11 08:46
こりんさん(No.5)
hisashiさんありがとうございます。
ははーん、たしかに、これ賛成です。
表3の項番3は項番1でDNSを指定しておかないと、矛盾しますね。
本当は設問2(3)の対策の際に、できれば表3の項番1のDNSを削除するのも必用なのかと思います。
もう少し流れを説明していただけるとありがたいのですが。
>あとは、DNSトンネリング(表3の項番3)との矛盾を避けるためと考えられます。
ははーん、たしかに、これ賛成です。
表3の項番3は項番1でDNSを指定しておかないと、矛盾しますね。
本当は設問2(3)の対策の際に、できれば表3の項番1のDNSを削除するのも必用なのかと思います。
>メールサーバに関しては記述がありません。おそらくここに指定しているのではないかと。
もう少し流れを説明していただけるとありがたいのですが。
2021.01.11 11:58
hisashiさん(No.6)
>こりんさん
(注2より)公開Webサーバを除き、DMZ上のサーバに関しては、外部DNSサーバが
内部向けに権威DNSサーバを担っている可能性を考えました。
例えば、メールソフトのサーバ指定に「mail01.z-sha.co.jp」などの
ドメインでの指定があれば、PCから外部DNSサーバへのクエリが発生します。
ブラウザのプロキシサーバにドメインで指定している場合も同様です。
因みに注1)は、リゾルバに関する記述ですので、上記とは矛盾しません。
2021.01.11 16:13
こりんさん(No.7)
この投稿は投稿者により削除されました。(2021.01.12 00:38)
2021.01.12 00:38
こりんさん(No.8)
図1注1)にあるように確かに、フルサービスリゾルバとして機能する、ですね。外部DNSサーバがPCからDNSクエリを受け、権威DNSサーバとして機能する場合のことは触れていないですね。
hisashiさんの補足説明から以下の様に考えてみました。
まず、PCがDMZの公開Webサーバ以外サーバの名前解決を外部DNSサーバに依頼する、にはどうしたらよいのでしょうか。
PCにはプロキシサーバを使用する設定#1と内部DNSサーバの設定#2がされているはずです。
その設定を外部DNSサーバに変更すれば可能かと思いますが、設定変更には管理者権限#3が必要です。
#1 表2(a)1)に記述あり
#2 図1注2)からそうだと推測される
#3 表2(a)1)からそうだと推測される
では、管理者が保守のためにpingでプロキシサーバやメールサーバのFQDNにポート番号を指定して(psping)アクセスするとしたら・・。
当初の疑問【表1の項番1のサービスに【DNS】が入っているのはなぜ】はこの問題のどの設問にも関係しません。だから特殊な場合のケースをあまり深入りしても、問題文の説明が足りないのは当たり前で意味ないかも。
勉強させていただきました。お付き合いくださりありがとうございました。
hisashiさんの補足説明から以下の様に考えてみました。
まず、PCがDMZの公開Webサーバ以外サーバの名前解決を外部DNSサーバに依頼する、にはどうしたらよいのでしょうか。
PCにはプロキシサーバを使用する設定#1と内部DNSサーバの設定#2がされているはずです。
その設定を外部DNSサーバに変更すれば可能かと思いますが、設定変更には管理者権限#3が必要です。
#1 表2(a)1)に記述あり
#2 図1注2)からそうだと推測される
#3 表2(a)1)からそうだと推測される
では、管理者が保守のためにpingでプロキシサーバやメールサーバのFQDNにポート番号を指定して(psping)アクセスするとしたら・・。
当初の疑問【表1の項番1のサービスに【DNS】が入っているのはなぜ】はこの問題のどの設問にも関係しません。だから特殊な場合のケースをあまり深入りしても、問題文の説明が足りないのは当たり前で意味ないかも。
勉強させていただきました。お付き合いくださりありがとうございました。
2021.01.12 00:42
その他のスレッド
»[0583] H26秋PM1問2設3(1)Qシステムにアクセス? 投稿数:4»[0582] 平成25年度秋午後1問1設問2(5)-(7) 投稿数:1
»[0581] 平成28年秋午後2問1設問4(2) 投稿数:6