令和3年春期  午後1問2設問1(3)

AIさん  
(No.1)
令和3年春期  午後1問2設問1(3)

模範解答では下記になっています。
(3) a : ア b : イ

私は逆に下記の解答をしました。
(3) a : イ b : ア

模範解答の場合、送信元がインターネットで送信先が権威DNSサーバとなっていますが権威DNSサーバがDNSクエリを直接受け付けています。なぜですか?
2021.05.06 09:05
あっぷるさん 
(No.2)
リゾルバからインターネットに名前解決の問い合わせ
権威DNSにインターネットからドメイン名の問い合わせがくる

それなのでア イにしましたが
私も最初DNSクエリは違和感ありましたが
こういったケースもあるのかなと思いました

2021.05.06 18:28
どんぐりさん 
(No.3)
私も(3) a : イ   b : ア  としました。

フルサービスリゾルバ(キャッシュDNSサーバ)は再帰問い合わせの応答を行います。
権威DNSサーバへは非再帰問い合わせの応答を行います。

模範解答ではスタブリゾルバが直接、非再帰問い合わせを行う方法ですが、
その方法が良いという事だと、IPAは世界中のDNSの構造を覆す事になります。
2021.05.06 19:08
特急さん 
(No.4)
模範解答だとキャッシュDNSサーバの必要性がわからなくなるのかな?
2021.05.06 20:33
AIさん  
(No.5)
やはり模範解答が間違っているんですね。
なんででしょう。
調べてもそんな構成書かれていません。
2021.05.08 04:25
おしえてくださいさん 
(No.6)
わたしは以下のように解釈してア、イを選択したのですが、間違いを教えていただけませんか。

フルサービスリゾルバはプロキシサーバとメールサーバが使用している。なので、外部へ問い合わせをしたいからDNS-F -> インターネットへの通信を許可する。
2021.05.08 08:49
どんぐりさん 
(No.7)
私は(3) a : イ   b : ア  としました。
しかし、よくよく考えた所、正解は(3) a : ア   b : ア  では?
これなら話は通じます。権威DNSサーバはFWの設定をする必要はありません。

誤答  (3) a : ア   b : イ
誤答  (3) a : イ   b : ア
正解、(3) a : ア   b : ア
2021.05.08 16:35
333さん 
(No.8)
私は、a:ア、b:イとしました。
元々あった外部DNSサーバが権威DNSとリゾルバの両方の機能を持っていたことがセキュリティ上良くなかったので、権威DNS(イ:DNS-K)、リゾルバ(ア:DNS-F)に分けたんですよね?リゾルバがインターネット向けにDNSの問い合わせを行い、インターネットからのDNS問い合わせを権威DNSが受けるので、模範解答は間違っていないじゃないかなーと思います。
2021.05.08 19:54
あっぷるさん 
(No.9)
333さん

試験中に感じた違和感がすっきりしました!
両方の機能を持っていたことがセキュリティ上良くなかったってことですね

今までリゾルバとコンテンツで分離した問題しか見たことなかったので
原則通り分離するって感じでア イと回答しました
2021.05.08 22:57
AIさん  
(No.10)
権威DNS(イ:DNS-K)、リゾルバ(ア:DNS-F)に分けたのであれば、権威DNSサーバは直接、スタブリゾルバのDNSクエリ(再帰問い合わせ)の受付はしないと思いますが?
分けたのであれば権威DNSサーバは非再帰問い合わせの応答を行います。

a:ア、b:イの場合、再帰問い合わせの受付はリゾルバではなく権威DNSサーバとなります。IPAがそのように構成を推奨するサイトがあるのでしょうか?聞いたことがありません。
2021.05.09 03:47
333さん 
(No.11)
私もAIさんがおっしゃられる「分けたのであれば権威DNSサーバは非再帰問い合わせの応答を行います。」は正しいと思います。
「a:ア、b:イ」にすれば、A社内部のPCからの再帰問い合わせの受付はリゾルバ(DNS-F)となり、外部からのa-sha.co.jpに関する非再帰問い合わせを権威DNSサーバ(DNS-K)が受け付けると解釈しております。
2021.05.09 09:36
スイカさん 
(No.12)
333さん
スタブリゾルバのDNSクエリどこで受け付けるのですか?
権威DNSサーバですか?
2021.05.09 11:30
おしえてくださいさん 
(No.13)
スイカさん

外部からの再帰問い合わせですよね。それを遮断するために設定変更するのかと思いました。
2021.05.09 12:20
スイカさん 
(No.14)
おしえてくださいさん

わからないのは、フルサービスリゾルバが外部に問い合わせて、その応答を権威DNSサーバが受けていることです。
権威DNSサーバの仕事はゾーン情報の応答だけですよね?
2021.05.09 19:01
おしえてくださいさん 
(No.15)
スイカさん

お返事ありがとうございます。

>フルサービスリゾルバが外部に問い合わせて、その応答を権威DNSサーバが受けていることです。
勉強不足で申し訳ないのですが、フルサービスの社外への問い合わせの応答はフルサービスが受けるのでは無いのでしょうか。今回のFWはステートフルインスペクションなので、帰りの通信は許可されると思いました。
2021.05.09 19:40
333さん 
(No.16)
スイカさん

>フルサービスリゾルバが外部に問い合わせて、その応答を権威DNSサーバが受けていることです。
フルサービスリゾルバが外部に問い合わせて、その応答はフルサービスリゾルバが受けます。おしえてくださいさんがおっしゃるように帰りの通信をFWで許可する必要はないです。実際に帰りの通信まで許可しなければならないFW製品は無いと思います。自分が知らないだけかもですが。

今回のFWルールの許可は、以下2つの全く別物の通信を実現するためのものではないでしょうか。
①外部のリゾルバがa-sha.co.jpゾーンのDNSレコードをDNS-Kに問い合わせる
②A社内部の機器がDNS-Fを使って外部の権威DNSで管理されるゾーンのDNSレコードを問い合わせる

現実の例で言うと、Whois情報に書いてあるDNSサーバがDNS-Kで、端末のネットワーク設定で指定するDNSサーバDNS-Fになると思います。
2021.05.09 21:50
AIさん  
(No.17)
333さん

>①外部のリゾルバがa-sha.co.jpゾーンのDNSレ>コードをDNS-Kに問い合わせる

DNS-Kの応答は外部のリゾルバへ返せるのですか?
送信は遮断していますけど?

2021.05.10 05:54
333さん 
(No.18)
問題文にもあるように「ステートフルインスペクション」方式のFWなので、戻り通信を許可する必要はないと思われます。ちなみに「ステートフルインスペクション」は午前問題でもよく見かけます。
【ご参考】https://www.sc-siken.com/kakomon/27_aki/am2_3.html
2021.05.10 07:43
どんぐりさん 
(No.19)
おしえてくださいさん
333さん

聞きたいことは内部からの問い合わせではなく外部からの問い合わせの事だと思います。
(3) a : ア   b : イの場合、内部からはプロキシサーバ経由でDNS-Fに問い合わせることができFWのステートフルインスペクションの機能も有効です。
しかし外部からの問い合わせは権威DNSサーバしか受付できないから問題になっていると思います。
2021.05.10 10:33
shuさん 
(No.20)
a?:?イ?b?:?ア  にすると、No.6でおしえてくださいさんが既に仰っていますが、
外に出られなくなるため、インターネット閲覧とかメール送信がとか出来なくなっちゃうと思うのでダメだと思います。

この問題は  a?:?ア?b?:?イ  でいいと思います。
外部のスタブリゾルバがDNS-Kに直接非再帰的問い合わせを行うのではなく、外部のフルサービスリゾルバがDNS-Kに非再帰的~をしてくるんですよね。

リンク載せられないのでアレですが、『ネットワークエンジニアとして』の『DNSとは』のページがわかりやすいと思います。

戻りの通信については既に触れられてるとおりですかね。
2021.05.10 10:46
333さん 
(No.21)
どんぐりさん

>しかし外部からの問い合わせは権威DNSサーバしか受付できないから問題になっていると思います。 
これは問題にならないと思います。フルサービスリゾルバ(DNS-F)が外部からの問い合わせを受けてしまうと、DNSリフレクション攻撃に利用されるため、外部からの問い合わせを受けないようにするのがこの問題の趣旨だったと思います。
2021.05.10 11:37
どんぐりさん 
(No.22)
みなさん、ありがとうございます。
外部の問い合わせからもFWのステートフルインスペクションが有効になっている事に気づきませんでした。勉強になりました。ありがとうございます。
2021.05.10 14:13
AIさん  
(No.23)
私も理解できました。
ありがとうございました。

現在、社内用のDNSサーバしかないため公開用のDNSサーバを構築する際の参考になりました。

ありがとうございました。
2021.05.10 19:59

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop