HOME»情報処理安全確保支援士掲示板»R元秋PM1問2の表1の項番1?
投稿する

R元秋PM1問2の表1の項番1? [0584]

 こりんさん(No.1) 
設問には関係しませんが、どなたかた教えてください。
表1の項番1のサービスに【DNS】が入っています。
PCから外部DNSサーバにDNSクエリを送ることがあるのでしょうか。
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」とある。
・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」とあり、プロキシサーバが名前解決DNSクエリを発します。
  以上の理由からです。
2021.01.09 13:06
斎藤さん(No.2) 
この設問では多分、透過型のプロキシサーバを使っているんじゃないんでしょうか?
httpプロキシサーバの場合は名前解決をPCではなくプロキシサーバが行いますが、透過型プロキシサーバの場合はPC側が名前解決クエリを発行します。
PCが名前解決の要求クエリをプロキシサーバに送信し、それをプロキシサーバが外部DNSサーバに中継しているような形です。
2021.01.09 23:06
こりんさん(No.3) 
斎藤さんありがとうございます。
【透過型のプロキシサーバ】を知らなかったので調べてみました。
ですがこのタイプだとしたら、
・図1注1)に「外部DNSサーバはメールサーバまたはプロキシサーバからDNSクエリを受ける」は
  「外部DNSサーバはメールサーバまたはPCからDNSクエリを受ける」だし、

・表2のPCの1)に「インターネットへの通信は全てプロキシサーバを経由するように設定され」の
  設定されは「特にプロキシサーバの設定はしていない」となります。

だから、この問題では非透過型(明示型)のプロキシサーバだと思います。

出題者は回答者のミスリードを誘うため【DNS】を入れたのかしら。
2021.01.10 12:50
hisashiさん(No.4) 
SC ブロンズマイスター
DMZ上のサーバと通信するためのクエリと考えてみてはいかがでしょうか?
公開Webに関してはPCから内部DNSサーバにクエリーを送出しているようですが、
メールサーバに関しては記述がありません。

おそらくここに指定しているのではないかと。

あとは、DNSトンネリング(表3の項番3)との矛盾を避けるためと考えられます。
2021.01.11 08:46
こりんさん(No.5) 
hisashiさんありがとうございます。
>あとは、DNSトンネリング(表3の項番3)との矛盾を避けるためと考えられます。
ははーん、たしかに、これ賛成です。
表3の項番3は項番1でDNSを指定しておかないと、矛盾しますね。
本当は設問2(3)の対策の際に、できれば表3の項番1のDNSを削除するのも必用なのかと思います。

>メールサーバに関しては記述がありません。おそらくここに指定しているのではないかと。
もう少し流れを説明していただけるとありがたいのですが。
2021.01.11 11:58
hisashiさん(No.6) 
SC ブロンズマイスター
>こりんさん

(注2より)公開Webサーバを除き、DMZ上のサーバに関しては、外部DNSサーバが
内部向けに権威DNSサーバを担っている可能性を考えました。

例えば、メールソフトのサーバ指定に「mail01.z-sha.co.jp」などの
ドメインでの指定があれば、PCから外部DNSサーバへのクエリが発生します。

ブラウザのプロキシサーバにドメインで指定している場合も同様です。

因みに注1)は、リゾルバに関する記述ですので、上記とは矛盾しません。
2021.01.11 16:13
こりんさん(No.7) 
この投稿は投稿者により削除されました。(2021.01.12 00:38)
2021.01.12 00:38
こりんさん(No.8) 
図1注1)にあるように確かに、フルサービスリゾルバとして機能する、ですね。外部DNSサーバがPCからDNSクエリを受け、権威DNSサーバとして機能する場合のことは触れていないですね。

hisashiさんの補足説明から以下の様に考えてみました。
まず、PCがDMZの公開Webサーバ以外サーバの名前解決を外部DNSサーバに依頼する、にはどうしたらよいのでしょうか。
PCにはプロキシサーバを使用する設定#1と内部DNSサーバの設定#2がされているはずです。
その設定を外部DNSサーバに変更すれば可能かと思いますが、設定変更には管理者権限#3が必要です。
  #1 表2(a)1)に記述あり
  #2 図1注2)からそうだと推測される
  #3 表2(a)1)からそうだと推測される
では、管理者が保守のためにpingでプロキシサーバやメールサーバのFQDNにポート番号を指定して(psping)アクセスするとしたら・・。

当初の疑問【表1の項番1のサービスに【DNS】が入っているのはなぜ】はこの問題のどの設問にも関係しません。だから特殊な場合のケースをあまり深入りしても、問題文の説明が足りないのは当たり前で意味ないかも。

勉強させていただきました。お付き合いくださりありがとうございました。
2021.01.12 00:42
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop