HOME»情報処理安全確保支援士掲示板»平成30年秋午後I問3設問5(3)
投稿する
若干ニュアンスが異なります。
構成から判断するに、外部DNSサーバは権威DNSサーバであり、Eサーバのレコードが
登録されていると判断できます。
その認識は違うと思われます。
クラウドWAFを導入したことにより、B社内からEサーバへのアクセスも一旦
インターネットに出て、クラウドWAFを取って、またDMZのEサーバへ戻ってくる
経路になります。
内部DNSサーバではDMZ上のEサーバのレコードを登録できないので、設定の
変更しようがないと考えられます。
ここは誤解があるようです。
EサーバのDNSレコードは外部DNSサーバにありますので、通るのではなく、
内部DNSサーバからの問合せが外部DNSサーバへ到達するというものです。
内部DNSサーバが外部DNSサーバをフォワーダにしている場合、内部DNSサーバが
解答できないDNSクエリは外部DNSサーバへフォワードされます。
フォワーダならばかならず外部DNSサーバを通るといっても差しつかえないと
思います。
しかし、内部DNSサーバが独自に反復問い合わせをする場合、Eサーバの名前解決は
ルートDNSから問い合わせを開始し、最終的に外部DNSサーバへ至ります。
ですが、内部DNSサーバが社外のまったく関係ないサーバの名前解決をする場合は、
ルートDNSから反復問い合わせを開始しますが、外部DNSサーバを通るわけでは
ありません。
今回のネットワーク構成から考えると内部DNSサーバと外部DNSサーバはフォワーダで
繋がっていると想定しているのではないかと考えています。
システム構成からの推測になりますが、内部DNSサーバは
・サーバセグメントの内部メールサーバ、ログ管理サーバに対して権威DNSサーバ
・PCセグメントのPCに対してキャッシュDNSサーバ
として働いていると想定されます。
内部DNSサーバと外部DNSサーバがフォワーダとして繋がっているのであれあば、
"通る"とも言えます。
しかし、内部DNSサーバと外部DNSサーバ間で何も連携していないのであれば、
内部DNSサーバがEサーバの名前解決する際は、ルートDNSサーバから反復問合せを
行うので、"到達する"という表現になると思われます。
この構成から推測するに、内部DNSサーバも外部DNSサーバも
・自分のゾーンの権威DNSサーバ
・キャッシュDNSサーバ
の2つを兼ねていると想定されます。
セグメントとゾーンが一致しているか否かは、構成によるとしか言えません。
今回の構成ではDMZに外部DNSサーバが存在し、サーバセグメントに内部DNSサーバが
存在しているので、セグメントとゾーンが一致しているほうが構成としてシンプルに
思えた上での想定になります。
DMZに存在する
・NTPサーバ
・外部メールサーバ
・プロキシサーバ
・Eサーバ
がDNS問い合わせする際に、外部DNSサーバが、キャッシュDNSサーバ(フルリゾルバ)
として動作すると想定されます。
平成30年秋午後I問3設問5(3) [1438]
minさん(No.1)
(3)のcについて、解答は外部DNSサーバとなってますが、これはEサーバへのアクセスがインターネットからのアクセスを前提としている理解でしょうか。
例えば、内部からのEサーバへのアクセスについては、内部DNSサーバも同様に設定変更する必要があると思いましたが、認識合いますでしようか。
例えば、内部からのEサーバへのアクセスについては、内部DNSサーバも同様に設定変更する必要があると思いましたが、認識合いますでしようか。
2024.03.23 18:17
pixさん(No.2)
★SC ダイヤモンドマイスター
>(3)のcについて、解答は外部DNSサーバとなってますが、これはEサーバへのアクセスが
>インターネットからのアクセスを前提としている理解でしょうか。
若干ニュアンスが異なります。
構成から判断するに、外部DNSサーバは権威DNSサーバであり、Eサーバのレコードが
登録されていると判断できます。
>例えば、内部からのEサーバへのアクセスについては、内部DNSサーバも同様に
>設定変更する必要があると思いましたが、認識合いますでしようか。
その認識は違うと思われます。
クラウドWAFを導入したことにより、B社内からEサーバへのアクセスも一旦
インターネットに出て、クラウドWAFを取って、またDMZのEサーバへ戻ってくる
経路になります。
内部DNSサーバではDMZ上のEサーバのレコードを登録できないので、設定の
変更しようがないと考えられます。
2024.03.23 18:59
minさん(No.3)
ご回答ありがとうございます。すみません、まだうまく理解できていなく、再度質問させてください。
社内からEサーバへアクセスした場合、図1に則ると、
①PCセグメントのPC→内部DNSサーバ→Eサーバの理解です。
これにクラウド型WAFを経由させるようにした場合は、②PCセグメントのPC→内部DNSサーバ→クラウド型WAF→Eサーバの理解です。
よって、内部DNSサーバにも設定が必要なのではと思いました。
すみません、私の認識が誤っている可能性が高いかもしれませんが、上記解説・ご指摘いただけますと幸いです。
また、下記について、これは異なるセグメントになるので、レコードを登録できないという認識で合いますでしょうか。
すみません、よろしくお願いいたします。
社内からEサーバへアクセスした場合、図1に則ると、
①PCセグメントのPC→内部DNSサーバ→Eサーバの理解です。
これにクラウド型WAFを経由させるようにした場合は、②PCセグメントのPC→内部DNSサーバ→クラウド型WAF→Eサーバの理解です。
よって、内部DNSサーバにも設定が必要なのではと思いました。
すみません、私の認識が誤っている可能性が高いかもしれませんが、上記解説・ご指摘いただけますと幸いです。
また、下記について、これは異なるセグメントになるので、レコードを登録できないという認識で合いますでしょうか。
> 内部DNSサーバではDMZ上のEサーバのレコードを登録できないので、設定の変更しようがないと考えられます。
すみません、よろしくお願いいたします。
2024.03.24 11:43
pixさん(No.4)
★SC ダイヤモンドマイスター
DNSに関する知識が曖昧のようです。
この図にすべての情報が記載されていないので、一部推測となります。
ここのアクセス経路は
①PCセグメントのPC→内部DNSサーバ→外部DNSサーバ→Eサーバ
です。
スレ主様の経路だと内部DNSサーバにEサーバのDNSレコードが登録されており、
IPアドレスを返すことになってしまいます。
そうなるためには内部DNSサーバがDMZのDNSゾーンを管理している必要があります。
DNSなのでセグメントではなく、ゾーンというグループで管理します。
DMZのDNSゾーンを管理しているのは外部DNSサーバです。
内部DNSサーバにEサーバのDNSレコードが登録されているわけではありません。
ちなみにこの図からでは、内部DNSサーバと外部DNSサーバはどのように
連携されてされているかは明確に書かれていません。
想像として
・内部DNSサーバのDNSフォワーダ先が外部DNSサーバ
・内部DNSサーバはインターネットに反復問い合わせして外部DNSサーバへたどり着く
のどちらかと思われます。
可能性として、DNSフォワーダと思われますが、しかし本設問に直接関係ないので、
この点については言及しません。
>社内からEサーバへアクセスした場合、図1に則ると、
>①PCセグメントのPC→内部DNSサーバ→Eサーバの理解です。
この図にすべての情報が記載されていないので、一部推測となります。
ここのアクセス経路は
①PCセグメントのPC→内部DNSサーバ→外部DNSサーバ→Eサーバ
です。
スレ主様の経路だと内部DNSサーバにEサーバのDNSレコードが登録されており、
IPアドレスを返すことになってしまいます。
そうなるためには内部DNSサーバがDMZのDNSゾーンを管理している必要があります。
>また、下記について、これは異なるセグメントになるので、レコードを登録
>できないという認識で合いますでしょうか。
DNSなのでセグメントではなく、ゾーンというグループで管理します。
DMZのDNSゾーンを管理しているのは外部DNSサーバです。
内部DNSサーバにEサーバのDNSレコードが登録されているわけではありません。
ちなみにこの図からでは、内部DNSサーバと外部DNSサーバはどのように
連携されてされているかは明確に書かれていません。
想像として
・内部DNSサーバのDNSフォワーダ先が外部DNSサーバ
・内部DNSサーバはインターネットに反復問い合わせして外部DNSサーバへたどり着く
のどちらかと思われます。
可能性として、DNSフォワーダと思われますが、しかし本設問に直接関係ないので、
この点については言及しません。
2024.03.24 12:56
minさん(No.5)
ご回答ありがとうございます。なんとなく理解できたものの、お手数をおかけしてすみません、、再度質問させてください。
→確かにこれであれば、内部dnsサーバの設定は不要で、外部dnsサーバで設定すればいいと思いました。ここで質問となるのですが、一般的には内部DNSサーバ→外部DNSサーバ→Eサーバのように、内部dnsサーバの後は外部dnsサーバを通るのが一般的でしょうか。
また、下記について、内部dnsサーバにEサーバのDNSレコードが登録されないのは、外部dnsサーバがDMZゾーンを管理していて、内部dnsサーバがサーバセグメントのゾーン情報を管理しているということでしょうか。(すみません、結局セグメント単位で考えてしまいました。。)
また、例えば、内部dnsサーバにはどのようなゾーン情報が登録・管理されているのでしょうか。
内部dnsサーバの用途がちょっとわからなくなってきまして。
IPアドレスを返すことになってしまいます。そうなるためには内部DNSサーバがDMZのDNSゾーンを管理している必要があります。>また、下記について、これは異なるセグメントになるので、レコードを登録>できないという認識で合いますでしょうか。DNSなのでセグメントではなく、ゾーンというグループで管理します。DMZのDNSゾーンを管理しているのは外部DNSサーバです。内部DNSサーバにEサーバのDNSレコードが登録されているわけではありません。
また、dnsフォワーダについては、調べてみようと思います。ありがとうございます。
お手隙の際のご返信で大丈夫ですので、ご返信いただけますと幸いです。
> ①PCセグメントのPC→内部DNSサーバ→外部DNSサーバ→Eサーバ
→確かにこれであれば、内部dnsサーバの設定は不要で、外部dnsサーバで設定すればいいと思いました。ここで質問となるのですが、一般的には内部DNSサーバ→外部DNSサーバ→Eサーバのように、内部dnsサーバの後は外部dnsサーバを通るのが一般的でしょうか。
また、下記について、内部dnsサーバにEサーバのDNSレコードが登録されないのは、外部dnsサーバがDMZゾーンを管理していて、内部dnsサーバがサーバセグメントのゾーン情報を管理しているということでしょうか。(すみません、結局セグメント単位で考えてしまいました。。)
また、例えば、内部dnsサーバにはどのようなゾーン情報が登録・管理されているのでしょうか。
内部dnsサーバの用途がちょっとわからなくなってきまして。
> スレ主様の経路だと内部DNSサーバにEサーバのDNSレコードが登録されており、
IPアドレスを返すことになってしまいます。そうなるためには内部DNSサーバがDMZのDNSゾーンを管理している必要があります。>また、下記について、これは異なるセグメントになるので、レコードを登録>できないという認識で合いますでしょうか。DNSなのでセグメントではなく、ゾーンというグループで管理します。DMZのDNSゾーンを管理しているのは外部DNSサーバです。内部DNSサーバにEサーバのDNSレコードが登録されているわけではありません。
また、dnsフォワーダについては、調べてみようと思います。ありがとうございます。
お手隙の際のご返信で大丈夫ですので、ご返信いただけますと幸いです。
2024.03.24 16:38
pixさん(No.6)
★SC ダイヤモンドマイスター
>→確かにこれであれば、内部dnsサーバの設定は不要で、外部dnsサーバで設定すれば
>いいと思いました。
>ここで質問となるのですが、一般的には内部DNSサーバ→外部DNSサーバ→
>Eサーバのように、内部dnsサーバの後は外部dnsサーバを通るのが一般的でしょうか。
ここは誤解があるようです。
EサーバのDNSレコードは外部DNSサーバにありますので、通るのではなく、
内部DNSサーバからの問合せが外部DNSサーバへ到達するというものです。
内部DNSサーバが外部DNSサーバをフォワーダにしている場合、内部DNSサーバが
解答できないDNSクエリは外部DNSサーバへフォワードされます。
フォワーダならばかならず外部DNSサーバを通るといっても差しつかえないと
思います。
しかし、内部DNSサーバが独自に反復問い合わせをする場合、Eサーバの名前解決は
ルートDNSから問い合わせを開始し、最終的に外部DNSサーバへ至ります。
ですが、内部DNSサーバが社外のまったく関係ないサーバの名前解決をする場合は、
ルートDNSから反復問い合わせを開始しますが、外部DNSサーバを通るわけでは
ありません。
今回のネットワーク構成から考えると内部DNSサーバと外部DNSサーバはフォワーダで
繋がっていると想定しているのではないかと考えています。
>内部dnsサーバの用途がちょっとわからなくなってきまして。
システム構成からの推測になりますが、内部DNSサーバは
・サーバセグメントの内部メールサーバ、ログ管理サーバに対して権威DNSサーバ
・PCセグメントのPCに対してキャッシュDNSサーバ
として働いていると想定されます。
2024.03.24 16:59
minさん(No.7)
ご回答ありがとうございます。
⇒通るではなく到達、つまりこの場合は内部DNSサーバにとっては外部DNSサーバに到達するのがゴール(以降は外部DNSサーバに任せる)といったニュアンスですかね。(難しい。。。)
⇒なるほど、インターネット上のドメインの名前解決の場合は、Eサーバにアクセスしたいわけではないので、外部DNSサーバ(Eサーバのゾーンを管理している権威DNSサーバ)を通らないという形ですね。(内部DNSサーバがキャッシュDNSサーバのイメージなのかな。)
⇒なるほど、ありがとうございます。すみません、以前の質問と被ってしまうかもしれませんが、DNSサーバがゾーン情報を管理している範囲は、DNSサーバの属しているセグメント内、という場合が多いのでしょうか。それとも、たまたま今回の問題に関してはそうだったというような形でしょうか。
> ここは誤解があるようです。EサーバのDNSレコードは外部DNSサーバにありますので、通るのではなく、内部DNSサーバからの問合せが外部DNSサーバへ到達するというものです。内部DNSサーバが外部DNSサーバをフォワーダにしている場合、内部DNSサーバが解答できないDNSクエリは外部DNSサーバへフォワードされます。フォワーダならばかならず外部DNSサーバを通るといっても差しつかえないと思います。
⇒通るではなく到達、つまりこの場合は内部DNSサーバにとっては外部DNSサーバに到達するのがゴール(以降は外部DNSサーバに任せる)といったニュアンスですかね。(難しい。。。)
>しかし、内部DNSサーバが独自に反復問い合わせをする場合、Eサーバの名前解決はルートDNSから問い合わせを開始し、最終的に外部DNSサーバへ至ります。ですが、内部DNSサーバが社外のまったく関係ないサーバの名前解決をする場合は、ルートDNSから反復問い合わせを開始しますが、外部DNSサーバを通るわけではありません。
⇒なるほど、インターネット上のドメインの名前解決の場合は、Eサーバにアクセスしたいわけではないので、外部DNSサーバ(Eサーバのゾーンを管理している権威DNSサーバ)を通らないという形ですね。(内部DNSサーバがキャッシュDNSサーバのイメージなのかな。)
> システム構成からの推測になりますが、内部DNSサーバは・サーバセグメントの内部メールサーバ、ログ管理サーバに対して権威DNSサーバ・PCセグメントのPCに対してキャッシュDNSサーバとして働いていると想定されます。
⇒なるほど、ありがとうございます。すみません、以前の質問と被ってしまうかもしれませんが、DNSサーバがゾーン情報を管理している範囲は、DNSサーバの属しているセグメント内、という場合が多いのでしょうか。それとも、たまたま今回の問題に関してはそうだったというような形でしょうか。
2024.03.25 11:03
pixさん(No.8)
★SC ダイヤモンドマイスター
>⇒通るではなく到達、つまりこの場合は内部DNSサーバにとっては外部DNSサーバに
>到達するのがゴール(以降は外部DNSサーバに任せる)といったニュアンスですかね。
>(難しい。。。)
内部DNSサーバと外部DNSサーバがフォワーダとして繋がっているのであれあば、
"通る"とも言えます。
しかし、内部DNSサーバと外部DNSサーバ間で何も連携していないのであれば、
内部DNSサーバがEサーバの名前解決する際は、ルートDNSサーバから反復問合せを
行うので、"到達する"という表現になると思われます。
>⇒なるほど、インターネット上のドメインの名前解決の場合は、Eサーバに
>アクセスしたいわけではないので、外部DNSサーバ(Eサーバのゾーンを
>管理している権威DNSサーバ)を通らないという形ですね。
>(内部DNSサーバがキャッシュDNSサーバのイメージなのかな。)
この構成から推測するに、内部DNSサーバも外部DNSサーバも
・自分のゾーンの権威DNSサーバ
・キャッシュDNSサーバ
の2つを兼ねていると想定されます。
>⇒なるほど、ありがとうございます。すみません、以前の質問と被ってしまう
>かもしれませんが、DNSサーバがゾーン情報を管理している範囲は、
>DNSサーバの属しているセグメント内、という場合が多いのでしょうか。
>それとも、たまたま今回の問題に関してはそうだったというような形でしょうか。
セグメントとゾーンが一致しているか否かは、構成によるとしか言えません。
今回の構成ではDMZに外部DNSサーバが存在し、サーバセグメントに内部DNSサーバが
存在しているので、セグメントとゾーンが一致しているほうが構成としてシンプルに
思えた上での想定になります。
2024.03.25 11:23
minさん(No.9)
ご回答ありがとうございます。大変助かります。概ね理解できました。
すみません、下記だけ深堀りさせてください。
⇒外部DNSサーバをキャッシュDNSサーバとして利用する際の用途がイメージできていなく。。。例えばどのようなことに利用されるのでしょうか。
社内の人(今回でいうとB社の従業員)の場合は、内部DNSサーバをキャッシュDNSサーバとして利用すれば、外部DNSサーバをキャッシュDNSサーバとして利用するタイミングはないのかなと思いまして。
例えば社外の人が、外部DNSサーバをキャッシュDNSサーバとして利用して、インターネット上のドメイン名の名前解決に利用するようなイメージでしょうか。(その場合、この外部DNSサーバはオープンリゾルバとして機能してしまうと思いますが。)
すみません、よろしくお願いいたします。
すみません、下記だけ深堀りさせてください。
> この構成から推測するに、内部DNSサーバも外部DNSサーバも
> ・自分のゾーンの権威DNSサーバ
> ・キャッシュDNSサーバ
> の2つを兼ねていると想定されます。
⇒外部DNSサーバをキャッシュDNSサーバとして利用する際の用途がイメージできていなく。。。例えばどのようなことに利用されるのでしょうか。
社内の人(今回でいうとB社の従業員)の場合は、内部DNSサーバをキャッシュDNSサーバとして利用すれば、外部DNSサーバをキャッシュDNSサーバとして利用するタイミングはないのかなと思いまして。
例えば社外の人が、外部DNSサーバをキャッシュDNSサーバとして利用して、インターネット上のドメイン名の名前解決に利用するようなイメージでしょうか。(その場合、この外部DNSサーバはオープンリゾルバとして機能してしまうと思いますが。)
すみません、よろしくお願いいたします。
2024.03.25 11:35
pixさん(No.10)
★SC ダイヤモンドマイスター
>⇒外部DNSサーバをキャッシュDNSサーバとして利用する際の用途がイメージで
>きていなく。。。例えばどのようなことに利用されるのでしょうか。
DMZに存在する
・NTPサーバ
・外部メールサーバ
・プロキシサーバ
・Eサーバ
がDNS問い合わせする際に、外部DNSサーバが、キャッシュDNSサーバ(フルリゾルバ)
として動作すると想定されます。
2024.03.25 11:49
minさん(No.11)
ご回答ありがとうございます。
なるほど、PCからのDNS問合せ(DNSクエリ)だけを想定していましたが、各サーバからのDNS問合せもあるのですね。色々調べてみようと思います。
ご丁寧にありがとうございました。
なるほど、PCからのDNS問合せ(DNSクエリ)だけを想定していましたが、各サーバからのDNS問合せもあるのですね。色々調べてみようと思います。
ご丁寧にありがとうございました。
2024.03.25 13:27