HOME»情報セキュリティスペシャリスト平成22年春期»午前Ⅱ 問8
情報セキュリティスペシャリスト平成22年春期 午前Ⅱ 問8
問8
DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。
- SOAレコードのシリアル番号を更新する。
- 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
- ゾーン転送を許可するDNSサーバを登録する。
- ラウンドロビン設定を行う。
- [出題歴]
- 情報セキュリティ H23秋期 問8
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ウ
解説
DNSサーバが停止すると、外部からのWebアクセスやメール送信などの公開サービスがほぼすべて利用不能になったり、下位ドメインが名前解決できなくなるなどの影響が出ます。
これらの事象の発生を予防するために、DNSサーバはドメインごとで最低でも2台体制で運用することが求められています。それぞれのDNSサーバは、様々な障害に対応するために距離的、地理的に十分離れた場所に分散して配置されます。
2台のDNSサーバにはその役割から、実際にゾーン情報が記録されている「プライマリサーバ」、プライマリからゾーン情報のコピーを取得し、その情報をもとに名前解決を行う「セカンダリサーバ」があり、通常「プライマリサーバ」はユーザー側、「セカンダリサーバ」はISP側に設置されています。(セカンダリが2台以上となる場合もある)
定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
これらの事象の発生を予防するために、DNSサーバはドメインごとで最低でも2台体制で運用することが求められています。それぞれのDNSサーバは、様々な障害に対応するために距離的、地理的に十分離れた場所に分散して配置されます。
2台のDNSサーバにはその役割から、実際にゾーン情報が記録されている「プライマリサーバ」、プライマリからゾーン情報のコピーを取得し、その情報をもとに名前解決を行う「セカンダリサーバ」があり、通常「プライマリサーバ」はユーザー側、「セカンダリサーバ」はISP側に設置されています。(セカンダリが2台以上となる場合もある)
定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
- SOA(Start Of Authority)レコードは、DNSサーバの動作を制御するための設定情報が記述されているファイルです。シリアル番号はSOAレコードの改定番号を設定する項目なので対策としては不適切です。
- ゾーン転送には関係ありません。
- 正しい。
- ラウンドロビン設定は、1つのドメイン名に複数のIPアドレスを割り当てる負荷分散技術なので、対策としては不適切です。