HOME»情報処理安全確保支援士掲示板»H29春・午後Ⅱ・問2・設問2(3)
投稿する
はい、そうなります。まあ、再帰というか、再帰になるのは外部DNSに元々存在する、またはDNSキャッシュとしてあるかどうかにおいて、なかった場合の結果であって、プロキシサーバはそれが再帰かどうかは考えていない(取ってこれればそれでいい)です。
H29春・午後Ⅱ・問2・設問2(3) [1890]
あきむさん(No.1)
表題の設問について、有識者の方にご教示いただけますと幸いです。
https://www.sc-siken.com/pdf/29_haru/pm2_2.pdf
ページ番号22の図2(3)に記載がありますが、マルウェアYはマルウェア中に多数のFQDN(C&Cサーバのものと推測)を保持しており、そのFQDNの名前解決をしてTXTレコードにより命令を取得する、という機能があります。
当該設問はマルウェアY対策として、外部/内部DNSサーバについてどのように設定変更すべきか、という問題です。
IPA公式解答は以下の通りです。
外部DNSサーバ:内部DNSサーバからのDNS問合せを拒否する。
内部DNSサーバ:インターネット上のサーバ名についてのDNS問合せを拒否する。
私の知識不足で恐縮ですが、上記解答の通りに設定した場合、社内の各機器がインターネット上のドメインについて名前解決ができなくなると解釈していますが、認識合っていますでしょうか?
また、仮に私の認識が合っている場合、こういった「社内の各機器がインターネット上のドメインについて名前解決ができなくなる」ようなDNS設定は企業・組織の運用として一般的な話なのでしょうか?
本問では業務として「インターネットに接続して何かをする」という記述がない(と思われる)ので上記解答の通り、と言われれば納得はできますが、社内LANからインターネット上のドメインの名前解決ができない、というのが私の感覚だとあまりしっくり来ず、「本当にこんな設定をして良いのか?」という疑問を抱いております。
お詳しい方、ご教示いただけますと幸いです。
よろしくお願いいたします。
https://www.sc-siken.com/pdf/29_haru/pm2_2.pdf
ページ番号22の図2(3)に記載がありますが、マルウェアYはマルウェア中に多数のFQDN(C&Cサーバのものと推測)を保持しており、そのFQDNの名前解決をしてTXTレコードにより命令を取得する、という機能があります。
当該設問はマルウェアY対策として、外部/内部DNSサーバについてどのように設定変更すべきか、という問題です。
IPA公式解答は以下の通りです。
外部DNSサーバ:内部DNSサーバからのDNS問合せを拒否する。
内部DNSサーバ:インターネット上のサーバ名についてのDNS問合せを拒否する。
私の知識不足で恐縮ですが、上記解答の通りに設定した場合、社内の各機器がインターネット上のドメインについて名前解決ができなくなると解釈していますが、認識合っていますでしょうか?
また、仮に私の認識が合っている場合、こういった「社内の各機器がインターネット上のドメインについて名前解決ができなくなる」ようなDNS設定は企業・組織の運用として一般的な話なのでしょうか?
本問では業務として「インターネットに接続して何かをする」という記述がない(と思われる)ので上記解答の通り、と言われれば納得はできますが、社内LANからインターネット上のドメインの名前解決ができない、というのが私の感覚だとあまりしっくり来ず、「本当にこんな設定をして良いのか?」という疑問を抱いております。
お詳しい方、ご教示いただけますと幸いです。
よろしくお願いいたします。
2025.04.18 12:02
GinSanaさん(No.2)
★SC シルバーマイスター
内部DNSサーバは、社内専用のドメイン(P19の表4)さえ覚えていれば、あとは対応する必要がないということです。そのDNSサーバが知らないから、再帰問い合わせというのが発生するわけで、必要最低限それの情報さえ知っていれば、どこの馬の骨とも知れぬドメインの問い合わせは無視していいのです。
外部DNSを使うのはなんのときなのかをそもそも考えれば、HTTP(TCP/80)、HTTPS(TCP/443)、SMTP(TCP/25)なわけで、P18の表2の説明で再帰問い合わせを許可するのは公開Webサーバ、外部メールサーバ、プロキシサーバとあるわけで、内部からの問い合わせに応答する理由がない(必要最低限内部DNSサーバが応答すればそれでよい)ので、理由のないものを許容していてもしょうがないので、そういう解答になります。
外部DNSを使うのはなんのときなのかをそもそも考えれば、HTTP(TCP/80)、HTTPS(TCP/443)、SMTP(TCP/25)なわけで、P18の表2の説明で再帰問い合わせを許可するのは公開Webサーバ、外部メールサーバ、プロキシサーバとあるわけで、内部からの問い合わせに応答する理由がない(必要最低限内部DNSサーバが応答すればそれでよい)ので、理由のないものを許容していてもしょうがないので、そういう解答になります。
2025.04.18 13:56
GinSanaさん(No.3)
★SC シルバーマイスター
SCだと、レコードが出てこないからピンとこない側面があるかもしれませんので一例を出します。
https://www.nw-siken.com/pdf/05_haru/pm2_2.pdf
ネスペR5午後2問2
のP12、図2の7行目以降を見てください。ns-y-sha.example.lan.というのが出てきます。
.lanというのは、プライベート目的のドメイン名(RFC6762)で、内部向け(社内専用)です。実際、IPアドレスはプライベートIPアドレスが設定されています。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_nw_pm2_ans.pdf
https://www.nw-siken.com/pdf/05_haru/pm2_2.pdf
ネスペR5午後2問2
のP12、図2の7行目以降を見てください。ns-y-sha.example.lan.というのが出てきます。
.lanというのは、プライベート目的のドメイン名(RFC6762)で、内部向け(社内専用)です。実際、IPアドレスはプライベートIPアドレスが設定されています。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_nw_pm2_ans.pdf
2025.04.18 14:11
あきむさん(No.4)
GinSana様
詳細にご教示いただきありがとうございます。
一点理解できていないのですが、例えばPC-LANに接続したPCから当サイト(情報処理安全確保支援士ドットコム)に接続する場合、PC→プロキシサーバに通信し、外部DNSサーバに再帰的クエリを投げた上で、名前解決後にPCから当サイトにアクセス可能、という解釈でよろしいですよね?
詳細にご教示いただきありがとうございます。
一点理解できていないのですが、例えばPC-LANに接続したPCから当サイト(情報処理安全確保支援士ドットコム)に接続する場合、PC→プロキシサーバに通信し、外部DNSサーバに再帰的クエリを投げた上で、名前解決後にPCから当サイトにアクセス可能、という解釈でよろしいですよね?
2025.04.18 15:54
GinSanaさん(No.5)
★SC シルバーマイスター
>例えばPC-LANに接続したPCから当サイト(情報処理安全確保支援士ドットコム)に接続する場合、PC→プロキシサーバに通信し、外部DNSサーバに再帰的クエリを投げた上で、名前解決後にPCから当サイトにアクセス可能、という解釈でよろしいですよね?
はい、そうなります。まあ、再帰というか、再帰になるのは外部DNSに元々存在する、またはDNSキャッシュとしてあるかどうかにおいて、なかった場合の結果であって、プロキシサーバはそれが再帰かどうかは考えていない(取ってこれればそれでいい)です。
2025.04.18 16:00
GinSanaさん(No.6)
★SC シルバーマイスター
こういうのは、なんでしょうかね、実際順序を見てみるには、curlだとdnsに繋いでいる感覚がわかりにくいのでwgetを使いますが・・・
wget -v https://www.sc-siken.com/bbs/1890.html
--2025-04-18 15:56:46-- https://www.sc-siken.com/bbs/1890.html
www.sc-siken.com (www.sc-siken.com) をDNSに問いあわせています... 202.226.36.28
www.sc-siken.com (www.sc-siken.com)|202.226.36.28|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 特定できません [text/html]
‘1890.html’ に保存中
とまあ、このコマンドをやっているのがプロキシサーバと思ってもらえれば、順序性の理解にはつながるとは思います
--2025-04-18 15:56:46-- https://www.sc-siken.com/bbs/1890.html
www.sc-siken.com (www.sc-siken.com) をDNSに問いあわせています... 202.226.36.28
www.sc-siken.com (www.sc-siken.com)|202.226.36.28|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 特定できません [text/html]
‘1890.html’ に保存中
2025.04.18 16:08
あきむさん(No.7)
GinSana様
追加でご解説いただきありがとうございます。
おかげさまで理解できました!
助かりました。
追加でご解説いただきありがとうございます。
おかげさまで理解できました!
助かりました。
2025.04.18 16:16