HOME»情報処理安全確保支援士掲示板»2021年度春応用情報のセキュリティの問題
投稿する
2021年度春応用情報のセキュリティの問題 [0657]
今度こそ合格する人さん(No.1)
先日の午後試験の解答速報を見るのが怖いので、
気分転換に応用情報技術者試験のセキュリティの問題(大門1)を解いてました。
解答速報と自分の答えが2点異なるので、認識齟齬あればご教示いただけますと幸いです。
<大門1の設問1について>
自分の見解だと、ア、ウはいずれもDNSコンテンツサーバであり、直接PCに対してIPアドレスを返さない認識でした。そのため、DNSキャッシュサーバであるイ、エが解答かと考えましたが、認識齟齬あればご指摘ください。
模試認識齟齬ございましたら、解答速報では、ウ、エが解答になっており、R社のDNSキャッシュサーバが含まれない理由と、R社の権威DNSサーバが含まれる理由をご教示いただけますと幸いです。
Y社PCがR社サイトのIPアドレスを取得するまでの流れは、下記いずれかだと考えています。おそらくこの名前解決の通信フローを自分が勘違いしているためかと想像しておりますが、こちらも認識齟齬あればご指摘ください。
・名前解決の通信フロー1(R社のDNSキャッシュサーバを経由しない場合)
Y社PC
→Z社のDNSサーバ(フルサービスリゾルバ)
→インターネット上のルートDNSサーバ
→Z社のDNSサーバ(フルサービスリゾルバ)
→(以降、R社の権威DNSサーバのIPアドレスがZ社のDNSサーバに返却されるまで、反復問合せを繰り返す。)
→R社の権威DNSサーバ
→Z社のDNSサーバ(フルサービスリゾルバ)
→Y社PC
・名前解決の通信フロー2(R社のDNSキャッシュサーバを経由する場合)
Y社PC
→Z社のDNSサーバ(フルサービスリゾルバ)
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→インターネット上のルートDNSサーバ
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→(以降、R社の権威DNSサーバのIPアドレスがR社のDNSキャッシュDNSサーバに返却されるまで、反復問合せを繰り返す。)
→R社の権威DNSサーバ
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→Y社PC
<大門1の設問2(3)について>
自分の回答はイとエが両方該当すると思いましたが、解答速報ではエが解答でした。
R社のDNSキャッシュサーバが解答に含まれない理由が分からず、ご教示いただけますと幸いです。
もしかすると、上記の通信フロー2が誤っており、R社のDNSキャッシュサーバはY社PCがR社サイトに接続する際に使用されないからでしょうか。
気分転換に応用情報技術者試験のセキュリティの問題(大門1)を解いてました。
解答速報と自分の答えが2点異なるので、認識齟齬あればご教示いただけますと幸いです。
<大門1の設問1について>
自分の見解だと、ア、ウはいずれもDNSコンテンツサーバであり、直接PCに対してIPアドレスを返さない認識でした。そのため、DNSキャッシュサーバであるイ、エが解答かと考えましたが、認識齟齬あればご指摘ください。
模試認識齟齬ございましたら、解答速報では、ウ、エが解答になっており、R社のDNSキャッシュサーバが含まれない理由と、R社の権威DNSサーバが含まれる理由をご教示いただけますと幸いです。
Y社PCがR社サイトのIPアドレスを取得するまでの流れは、下記いずれかだと考えています。おそらくこの名前解決の通信フローを自分が勘違いしているためかと想像しておりますが、こちらも認識齟齬あればご指摘ください。
・名前解決の通信フロー1(R社のDNSキャッシュサーバを経由しない場合)
Y社PC
→Z社のDNSサーバ(フルサービスリゾルバ)
→インターネット上のルートDNSサーバ
→Z社のDNSサーバ(フルサービスリゾルバ)
→(以降、R社の権威DNSサーバのIPアドレスがZ社のDNSサーバに返却されるまで、反復問合せを繰り返す。)
→R社の権威DNSサーバ
→Z社のDNSサーバ(フルサービスリゾルバ)
→Y社PC
・名前解決の通信フロー2(R社のDNSキャッシュサーバを経由する場合)
Y社PC
→Z社のDNSサーバ(フルサービスリゾルバ)
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→インターネット上のルートDNSサーバ
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→(以降、R社の権威DNSサーバのIPアドレスがR社のDNSキャッシュDNSサーバに返却されるまで、反復問合せを繰り返す。)
→R社の権威DNSサーバ
→R社のDNSキャッシュDNSサーバ(フルサービスリゾルバ)
→Y社PC
<大門1の設問2(3)について>
自分の回答はイとエが両方該当すると思いましたが、解答速報ではエが解答でした。
R社のDNSキャッシュサーバが解答に含まれない理由が分からず、ご教示いただけますと幸いです。
もしかすると、上記の通信フロー2が誤っており、R社のDNSキャッシュサーバはY社PCがR社サイトに接続する際に使用されないからでしょうか。
2021.04.24 09:30
さまーさん(No.2)
スレ違いです。
応用情報の掲示板で質問して下さい。
応用情報の掲示板で質問して下さい。
2021.04.24 12:16
早く2か月経ってくれさん(No.3)
別に他にもスレ違いだと思しきものはあったし、良いんじゃないですかね。
あっちと違ってこっちはセキュリティに関する話題なわけだし。
せっかくなので私も解いてみます。解いたらまた書き込みします。
あっちと違ってこっちはセキュリティに関する話題なわけだし。
せっかくなので私も解いてみます。解いたらまた書き込みします。
2021.04.24 13:27
早く2か月経ってくれさん(No.4)
解きました。自分なりの解釈で説明してみます。
問1 設問1について
①
通常DNSを用いて名前解決を行う場合、再起問い合わせによって目的の情報を知っている
権威DNSサーバ(スレ主さんが言うところのDNSコンテンツサーバ)がその回答を返します。
なのでY社がR社サイトへアクセスしようと思ったとき、以下の順に問い合わせが行われるはずです
Y社が利用しているZ社のDNSサーバ
↓
ルートDNSサーバ
↓
R社の権威DNSサーバ(ここでIPアドレスが回答される)
②
次にZ社は、先ほどの問い合わせ結果を一時的にキャッシュに保存しておきます。
これによって、Y社から再度同じ名前解決を求められたときに、わざわざ権威DNSサーバまで
問い合わせをする事なくIPアドレスを回答することが出来ます。
以上①、②から、R社の権威DNSサーバのAレコードが書き換えられたときに、
その情報を回答する可能性があるのは、
ウ.R社の権威DNSサーバ
エ.Z社のDNSサーバ
の2つとなります。
では回答にR社のキャッシュDNSサーバが含まれないのは何故か、という質問に関してですが
通常、外部からキャッシュサーバを利用しないからです。
R社のキャッシュDNSサーバを利用するのはR社内部にいる人たちだけです。
今回の問題では、当初キャッシュDNSサーバはインターネットからもアクセスできるように
なっていましたが、[セキュリティ対策の検討]でこの部分が修正されている事からも読み取ることが出来るかと思います。
つまり、攻撃者が悪意を持ってキャッシュDNSにアクセスしてくることはあっても、通常利用する人が外部からキャッシュDNSを利用して名前解決はしないので、回答として不適であると言えます。
問1 設問2(3)について
上記の内容と重複になりますね。
Y社の人が利用するZ社のキャッシュDNSに、誤った情報が残っているからという事になります。
問1 設問1について
①
通常DNSを用いて名前解決を行う場合、再起問い合わせによって目的の情報を知っている
権威DNSサーバ(スレ主さんが言うところのDNSコンテンツサーバ)がその回答を返します。
なのでY社がR社サイトへアクセスしようと思ったとき、以下の順に問い合わせが行われるはずです
Y社が利用しているZ社のDNSサーバ
↓
ルートDNSサーバ
↓
R社の権威DNSサーバ(ここでIPアドレスが回答される)
②
次にZ社は、先ほどの問い合わせ結果を一時的にキャッシュに保存しておきます。
これによって、Y社から再度同じ名前解決を求められたときに、わざわざ権威DNSサーバまで
問い合わせをする事なくIPアドレスを回答することが出来ます。
以上①、②から、R社の権威DNSサーバのAレコードが書き換えられたときに、
その情報を回答する可能性があるのは、
ウ.R社の権威DNSサーバ
エ.Z社のDNSサーバ
の2つとなります。
では回答にR社のキャッシュDNSサーバが含まれないのは何故か、という質問に関してですが
通常、外部からキャッシュサーバを利用しないからです。
R社のキャッシュDNSサーバを利用するのはR社内部にいる人たちだけです。
今回の問題では、当初キャッシュDNSサーバはインターネットからもアクセスできるように
なっていましたが、[セキュリティ対策の検討]でこの部分が修正されている事からも読み取ることが出来るかと思います。
つまり、攻撃者が悪意を持ってキャッシュDNSにアクセスしてくることはあっても、通常利用する人が外部からキャッシュDNSを利用して名前解決はしないので、回答として不適であると言えます。
問1 設問2(3)について
上記の内容と重複になりますね。
Y社の人が利用するZ社のキャッシュDNSに、誤った情報が残っているからという事になります。
2021.04.24 14:14