令和3年春期試験問題 午後Ⅰ 問1
広告
sorablueさん
(No.1)
令和3年春期試験問題 午後Ⅰ 問1の(2) P11について教えてください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d5ru-att/2021r03h_sc_pm1_qs.pdf
なぜ外部DNSサーバを「フルサービスリゾルバ」と「権威DNSサーバ」に
分けることがDNSリフレクション攻撃を防ぐことになるのでしょうか。
問合せに対して、まずはフルサービスリゾルバに問い合わせが行き、
フルサービスリゾルバが答えられるなら回答し、
フルサービスリゾルバが分からない問い合わせに対しては権威DNSサーバに聞いて
フルサービスリゾルバが回答するという理解です。
ルール変更をすると以下となります。
送信元 宛先 動作
DNS-F インターネット 許可
インターネット DNS-K 許可
その理解とは違い、今回の場合は以下の流れで合っていますでしょうか。
偽のリクエストをインターネットからバンバン
送信されたら攻撃が成功してしまうように思えました。
①外部利用者がインターネットからDNS-Kに問い合わせる
②DNS-KはDNS-Fに名前解決の情報を与える
③DNS-Fは外部利用者に名前解決の情報を返す。
また、プロキシサーバからDNSサーバに対する
送信ルールがないのは同じDMZに属しているからで合っていますでしょうか。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d5ru-att/2021r03h_sc_pm1_qs.pdf
なぜ外部DNSサーバを「フルサービスリゾルバ」と「権威DNSサーバ」に
分けることがDNSリフレクション攻撃を防ぐことになるのでしょうか。
問合せに対して、まずはフルサービスリゾルバに問い合わせが行き、
フルサービスリゾルバが答えられるなら回答し、
フルサービスリゾルバが分からない問い合わせに対しては権威DNSサーバに聞いて
フルサービスリゾルバが回答するという理解です。
ルール変更をすると以下となります。
送信元 宛先 動作
DNS-F インターネット 許可
インターネット DNS-K 許可
その理解とは違い、今回の場合は以下の流れで合っていますでしょうか。
偽のリクエストをインターネットからバンバン
送信されたら攻撃が成功してしまうように思えました。
①外部利用者がインターネットからDNS-Kに問い合わせる
②DNS-KはDNS-Fに名前解決の情報を与える
③DNS-Fは外部利用者に名前解決の情報を返す。
また、プロキシサーバからDNSサーバに対する
送信ルールがないのは同じDMZに属しているからで合っていますでしょうか。
2024.02.03 20:22
sorablueさん
(No.2)
すみません問2でした。
2024.02.03 20:23
pixさん
★SC ダイヤモンドマイスター
(No.3)
今回の質問には、以下のスレッドが参考になると思われます。
https://www.sc-siken.com/bbs/1208.html
[1208] DNSの初歩的な質問です。
申し訳ありませんが、全体的に質問者様の質問の意図をくみ取れませんでした。
全体的にDNSへの理解が不足しているようです。
DNSリフレクション攻撃はDDoS攻撃の手法の一種です。踏み台にされるのは、
オープンリゾルバとなっているフルサービスリゾルバです。
フルサービスリゾルバはいかなるDNSクエリも受け付けて問合せを行ってしまう点で
DNSリフレクション攻撃の踏み台となってしまいます。
本環境の最初の構成では、フルサービスリゾルバ機能を持った外部DNSサーバが
インターネットからアクセスできるようになっており、オープンリゾルバとして
動作してしまっています。
そのため、外部DNSサーバを
・権威DNSサーバとフルサービスリゾルバに分離
・フィルタリングルールを変更し、フルサービスリゾルバはDMZからしか
(公開Webサーバ、プロキシサーバ、メールサーバ)
アクセスできないように設定する
という対応を取っています。
この対応により、オープンリゾルバは停止されたことになります。
オープンリゾルバは停止されましたが、まだ権威DNSサーバがDNSリフレクションの
踏み台にされる可能性は残っています。
しかし、権威DNSサーバは再帰問い合わせは行いません。そのため、権威DNSサーバに
登録されていないレコード以外のクエリは問い合わせ結果を返さないため、
DDoS攻撃として無作為に行われるDNSリフレクション攻撃の踏み台として利用できなく
なります。
仮に権威DNSサーバに登録されているレコードへの問合せを利用したDNSリフレクション
攻撃が行われることを想定した場合は対策として
・レートリミットを適用する
・IPレピュテーションを利用する
などの設定を行うことによって、攻撃を防ぐことができます。
https://www.sc-siken.com/bbs/1208.html
[1208] DNSの初歩的な質問です。
申し訳ありませんが、全体的に質問者様の質問の意図をくみ取れませんでした。
全体的にDNSへの理解が不足しているようです。
>なぜ外部DNSサーバを「フルサービスリゾルバ」と「権威DNSサーバ」に
>分けることがDNSリフレクション攻撃を防ぐことになるのでしょうか。
DNSリフレクション攻撃はDDoS攻撃の手法の一種です。踏み台にされるのは、
オープンリゾルバとなっているフルサービスリゾルバです。
フルサービスリゾルバはいかなるDNSクエリも受け付けて問合せを行ってしまう点で
DNSリフレクション攻撃の踏み台となってしまいます。
本環境の最初の構成では、フルサービスリゾルバ機能を持った外部DNSサーバが
インターネットからアクセスできるようになっており、オープンリゾルバとして
動作してしまっています。
そのため、外部DNSサーバを
・権威DNSサーバとフルサービスリゾルバに分離
・フィルタリングルールを変更し、フルサービスリゾルバはDMZからしか
(公開Webサーバ、プロキシサーバ、メールサーバ)
アクセスできないように設定する
という対応を取っています。
この対応により、オープンリゾルバは停止されたことになります。
オープンリゾルバは停止されましたが、まだ権威DNSサーバがDNSリフレクションの
踏み台にされる可能性は残っています。
しかし、権威DNSサーバは再帰問い合わせは行いません。そのため、権威DNSサーバに
登録されていないレコード以外のクエリは問い合わせ結果を返さないため、
DDoS攻撃として無作為に行われるDNSリフレクション攻撃の踏み台として利用できなく
なります。
仮に権威DNSサーバに登録されているレコードへの問合せを利用したDNSリフレクション
攻撃が行われることを想定した場合は対策として
・レートリミットを適用する
・IPレピュテーションを利用する
などの設定を行うことによって、攻撃を防ぐことができます。
2024.02.03 21:36
sorablueさん
(No.4)
pix様
ご教授ありがとうございます。
オープンリゾルバとなっているフルサービスリゾルバを
DMZからしか通信できなくすることで、外部からアクセスできない
ようにするということですね。
では、外部利用者が公開Webサーバにアクセスして、名前解決が必要な時は
どのように問い合わせを返すのでしょうか。
ルールを見ると、
インターネットからDNS権威サーバの通信のみ許可されており、
DNS権威サーバからインターネットの通信は許可されていないです。
表2 項番5,6を見て
ステートフルパケットインスペクションでもDNSの通信は
双方向で設定する必要があると思いました。
ご教授ありがとうございます。
オープンリゾルバとなっているフルサービスリゾルバを
DMZからしか通信できなくすることで、外部からアクセスできない
ようにするということですね。
では、外部利用者が公開Webサーバにアクセスして、名前解決が必要な時は
どのように問い合わせを返すのでしょうか。
ルールを見ると、
インターネットからDNS権威サーバの通信のみ許可されており、
DNS権威サーバからインターネットの通信は許可されていないです。
表2 項番5,6を見て
ステートフルパケットインスペクションでもDNSの通信は
双方向で設定する必要があると思いました。
2024.02.03 22:55
pixさん
★SC ダイヤモンドマイスター
(No.5)
度々すみません。引き続き質問者様の質問の意図を汲み取れませんでした。
「外部利用者が公開Webサーバにアクセスして、名前解決が必要な時」
という場合は何を意味しているのでしょうか?
外部利用者はすでに公開Webサーバへアクセスできているので、それ以上に
名前解決をするというのがいまひとつ意図する点が不明瞭です。
敢えて考えるのであれば、以下のような回答になります。
・公開WebサーバがHTTPレスポンスで返してきたHTML内に他のWebサーバの
FQDNがリンクとして記載されていた場合
その場合は、名前解決するのは外部利用者ですが、他のFQDNなので、その
FQDNは外部利用者が利用するフルサービスリゾルバが適切に問い合わせを
行うだけです。
・公開Webサーバ内部のコンテンツがプロキシ設定されており、外部へ
アクセスしに行く必要がある。
その場合は、公開WebサーバがDMZのフルサービスリゾルバへ問い合わせに
行き、名前解決を行います。
>では、外部利用者が公開Webサーバにアクセスして、名前解決が必要な時は
>どのように問い合わせを返すのでしょうか。
>ルールを見ると、
>インターネットからDNS権威サーバの通信のみ許可されており、
>DNS権威サーバからインターネットの通信は許可されていないでいないです。
「外部利用者が公開Webサーバにアクセスして、名前解決が必要な時」
という場合は何を意味しているのでしょうか?
外部利用者はすでに公開Webサーバへアクセスできているので、それ以上に
名前解決をするというのがいまひとつ意図する点が不明瞭です。
敢えて考えるのであれば、以下のような回答になります。
・公開WebサーバがHTTPレスポンスで返してきたHTML内に他のWebサーバの
FQDNがリンクとして記載されていた場合
その場合は、名前解決するのは外部利用者ですが、他のFQDNなので、その
FQDNは外部利用者が利用するフルサービスリゾルバが適切に問い合わせを
行うだけです。
・公開Webサーバ内部のコンテンツがプロキシ設定されており、外部へ
アクセスしに行く必要がある。
その場合は、公開WebサーバがDMZのフルサービスリゾルバへ問い合わせに
行き、名前解決を行います。
2024.02.03 23:14
sorablueさん
(No.6)
pix様
ご回答ありがとうございます。
確かにそうですね。webサーバにアクセスできているなら名前解決は必要ありません。
通信の方向について確認したかったです。
インターネットからDNS権威サーバの通信のみ許可されており、
DNS権威サーバからインターネットの通信は許可されていないです。
それではDNS権威サーバはどのように問い合わせの通信を返すのでしょうか。
フルサービスリゾルバからインターネットへの通信はできるようですが、
DMZからしかフルサービスリゾルバへはアクセスできないですし。
ご回答ありがとうございます。
確かにそうですね。webサーバにアクセスできているなら名前解決は必要ありません。
通信の方向について確認したかったです。
インターネットからDNS権威サーバの通信のみ許可されており、
DNS権威サーバからインターネットの通信は許可されていないです。
それではDNS権威サーバはどのように問い合わせの通信を返すのでしょうか。
フルサービスリゾルバからインターネットへの通信はできるようですが、
DMZからしかフルサービスリゾルバへはアクセスできないですし。
2024.02.03 23:51
pixさん
★SC ダイヤモンドマイスター
(No.7)
FWのステートフルパケットインスペクションについて一部誤解があるようです。
P8 表2 注記1「FWは、ステートフルパケットインスペクション型である。」とあります。
FWで「送信元:インターネット、宛先:DNS-K、サービス:DNS、動作:許可」と
設定されていれば、
「DNS問合せ:インターネット->DNS-K」はFWで許可されていますので、
戻りの「DNS応答:DNS-K->インターネット」もステートフルパケットインスぺクション
によって、自動的に許可されることになります。
>インターネットからDNS権威サーバの通信のみ許可されており、
>DNS権威サーバからインターネットの通信は許可されていないです。
>それではDNS権威サーバはどのように問い合わせの通信を返すのでしょうか
P8 表2 注記1「FWは、ステートフルパケットインスペクション型である。」とあります。
FWで「送信元:インターネット、宛先:DNS-K、サービス:DNS、動作:許可」と
設定されていれば、
「DNS問合せ:インターネット->DNS-K」はFWで許可されていますので、
戻りの「DNS応答:DNS-K->インターネット」もステートフルパケットインスぺクション
によって、自動的に許可されることになります。
2024.02.04 00:00
sorablueさん
(No.8)
pix様
ご回答ありがとうございます。
DNSの場合も方方向の通信だけ許可すればよいのですね。
p8 表2 項番5,6を見て
送信元と宛先を方方向ずつそれぞれ記載しています。
機能を分ける前の外部DNSサーバの場合はそうしないといけないのでしょうか。
ご回答ありがとうございます。
DNSの場合も方方向の通信だけ許可すればよいのですね。
p8 表2 項番5,6を見て
送信元と宛先を方方向ずつそれぞれ記載しています。
機能を分ける前の外部DNSサーバの場合はそうしないといけないのでしょうか。
2024.02.04 00:04
pixさん
★SC ダイヤモンドマイスター
(No.9)
>p8 表2 項番5,6を見て
>送信元と宛先を方方向ずつそれぞれ記載しています。
>機能を分ける前の外部DNSサーバの場合はそうしないといけないのでしょうか。
P8 表2 項番5:
「外部DNSサーバがフルサービスリゾルバとして動作するために必要な設定」
P8 表2 項番6:
「外部DNSサーバが権威DNSサーバとしてとして動作するために必要な設定」
しかし、この設定には不備があり、
P8 表2 項番6:
「外部DNSサーバが権威DNSサーバとしてとして動作するために必要な設定」
のFW許可を利用して、外部から外部DNSサーバをフルサービスリゾルバとして
利用されしまうというのが、本問の最初の状況でした。
この問題を発端として、以降で外部DNSサーバをフルサービスリゾルバと
権威DNSサーバに分離し、かつFWの設定を適切に修正するといった対応を
行っていくことになります。
2024.02.04 00:20
soranlueさん
(No.10)
pix様
ご回答ありがとうございます。
重ね重ねすみません
では項版5のルールで
フルサービスリゾルバとして
・インターネットから外部DNSサーバ
・外部DNSサーバからインターネット
項版6のルール
権威DNSサーバとして
・インターネットから外部DNSサーバ
・外部DNSサーバからインターネット
として動作するということでしょうか。
仮に
項版5、6のいずれかひとつしか設定しなかった場合、
送信元と宛先の条件は同じ為、上記の動作はするのでしょうか。
ご回答ありがとうございます。
重ね重ねすみません
では項版5のルールで
フルサービスリゾルバとして
・インターネットから外部DNSサーバ
・外部DNSサーバからインターネット
項版6のルール
権威DNSサーバとして
・インターネットから外部DNSサーバ
・外部DNSサーバからインターネット
として動作するということでしょうか。
仮に
項版5、6のいずれかひとつしか設定しなかった場合、
送信元と宛先の条件は同じ為、上記の動作はするのでしょうか。
2024.02.04 02:46
pixさん
★SC ダイヤモンドマイスター
(No.11)
>では項版5のルールで
>フルサービスリゾルバとして
>・インターネットから外部DNSサーバ
>・外部DNSサーバからインターネット
>項版6のルール
>権威DNSサーバとして
>・インターネットから外部DNSサーバ
>・外部DNSサーバからインターネット
>として動作するということでしょうか。
この点に関しては厳密に言えば、一部語弊があります。それについては後程
説明いたします。
>仮に
>項版5、6のいずれかひとつしか設定しなかった場合、
>送信元と宛先の条件は同じ為、上記の動作はするのでしょうか。
すみません。「送信元と宛先の条件は同じ為」という意図を汲み取れませんでした。
スレ主様はステートフルパケットインスペクションの動作において、
【通信の開始方向】が不明ということでしょうか?
ステートフルパケットインスペクションは【通信の開始方向】を設定しておけば
戻りの通信も自動的に許可されるというものです。
【通信の開始方向】に一致しない通信は禁止されます。
項番5は:通信の開始方向「外部DNSサーバ->インターネット」を許可します。
項番6は:通信の開始方向「インターネット->外部DNSサーバ」を許可します。
もし
・項番5しか設定されてない場合
通信の開始方向「外部DNSサーバ->インターネット」は許可されているため
〇DMZからフルサービスリゾルバ機能の利用はOK
フルサービスリゾルバの再帰問い合わせが許可されるから
(〇DMZから権威DNSサーバ機能へのアクセスはFWを経由しないためOK)
×インターネットから権威DNSサーバ機能へのアクセスは禁止
×インターネットからフルサービスリゾルバ機能へのアクセスは禁止
・項番6しか設定されてない場合
通信の開始方向「インターネット->外部DNSサーバ」は許可されているため
〇インターネットから権威DNSサーバ機能へのアクセスは許可
×インターネットからフルサービスリゾルバ機能へのアクセスは部分的にNG
インターネットからフルサービスリゾルバ機能へのアクセスは
許可されているが、その後の再帰問い合わせは許可されていない
×DMZからフルサービスリゾルバ機能の利用は部分的にNG
DMZからフルサービスリゾルバ機能へのアクセスはFWを経由しないためOK
その後の再帰問い合わせは許可されていない
(〇DMZから権威DNSサーバ機能へのアクセスはFWを経由しないためOK)
となります。
2024.02.04 09:07
sorablueさん
(No.12)
pix様
ご回答ありがとうございます。
送信元と宛先の条件は同じ為、と申しましたのは
送信元が外部DNSサーバ、宛先がインターネットであり、
項番5と6のどちらか1方を設定すれば、
通信開始:外部DNSサーバ→インターネット
通信開始:インターネット→外部DNSサーバ
どちらも設定されると思いました。
しかし、項番5と6は通信の開始方向が異なる為、ルール設定が必要なのですね。
ありがとうございます。理解しました。
インターネットからフルサービスリゾルバ機能へのアクセスは許可されるのに
なぜその後の処理の再帰問合せは許可されないのでしょうか。
インターネットから外部DNSサーバへアクセスは許可されているので、
外部DNSサーバからインターネットへの再帰問合せ通信は応答できると思いました。
ご回答ありがとうございます。
>すみません。「送信元と宛先の条件は同じ為」という意図を汲み取れませんでした。
送信元と宛先の条件は同じ為、と申しましたのは
送信元が外部DNSサーバ、宛先がインターネットであり、
項番5と6のどちらか1方を設定すれば、
通信開始:外部DNSサーバ→インターネット
通信開始:インターネット→外部DNSサーバ
どちらも設定されると思いました。
しかし、項番5と6は通信の開始方向が異なる為、ルール設定が必要なのですね。
ありがとうございます。理解しました。
>・項番6しか設定されてない場合
>通信の開始方向「インターネット->外部DNSサーバ」は許可されているため
>〇インターネットから権威DNSサーバ機能へのアクセスは許可
>×インターネットからフルサービスリゾルバ機能へのアクセスは部分的にNG
> インターネットからフルサービスリゾルバ機能へのアクセスは
> 許可されているが、その後の再帰問い合わせは許可されていない
インターネットからフルサービスリゾルバ機能へのアクセスは許可されるのに
なぜその後の処理の再帰問合せは許可されないのでしょうか。
インターネットから外部DNSサーバへアクセスは許可されているので、
外部DNSサーバからインターネットへの再帰問合せ通信は応答できると思いました。
2024.02.04 12:38
boyonboyonさん
(No.13)
横から失礼します。
自分では、この問題のDNSについて下記のような解釈をしていますが、
スレ主様の解釈と違うような気がしますが。如何でしょう。
DNS-K:A社ドメインの名前解決用
DNS-F:A社のプロキシサーバとメールサーバ用(A社のみ使用)
外部利用者が、A社の公開ウェブサーバにアクセスしたい時
外部利用者のフルサービスリゾルバ(DNS-Fではありません)が、最終的にDNS-Kで名前解決する。
A社から外部インターネットにアクセスする時
プロキシサーバとメールサーバが、DNS-Fを使って名前解決をする。
自分では、この問題のDNSについて下記のような解釈をしていますが、
スレ主様の解釈と違うような気がしますが。如何でしょう。
DNS-K:A社ドメインの名前解決用
DNS-F:A社のプロキシサーバとメールサーバ用(A社のみ使用)
外部利用者が、A社の公開ウェブサーバにアクセスしたい時
外部利用者のフルサービスリゾルバ(DNS-Fではありません)が、最終的にDNS-Kで名前解決する。
A社から外部インターネットにアクセスする時
プロキシサーバとメールサーバが、DNS-Fを使って名前解決をする。
2024.02.04 12:44
pixさん
★SC ダイヤモンドマイスター
(No.14)
>インターネットからフルサービスリゾルバ機能へのアクセスは許可されるのに
>なぜその後の処理の再帰問合せは許可されないのでしょうか。
>インターネットから外部DNSサーバへアクセスは許可されているので、
>外部DNSサーバからインターネットへの再帰問合せ通信は応答できると思いました。
インターネット->フルサービスリゾルバへの通信は以下のようなものと想定されます。
1.インターネット(外部の第三者)->フルサービスリゾルバへ問い合わせする
この通信はFWによって許可されている
2.フルサービスリゾルバは再帰問い合わせによって名前解決を試みる
この通信は、1.からの継続ではなく以下のように
「フルサービスリゾルバ->名前解決のためのルートDNSサーバ」
という1.とは別個のフルサービスリゾルバから開始される新規の通信である
そのため、FWのルールで許可されていない場合、禁止されることになる
単純にいえば、1.の問合せと2.の再帰問い合わせは独立したものであり、
ステートフルパケットインスペクションでは対になった通信とはみなされない
からです。
2024.02.04 13:02
sorablueさん
(No.15)
pix様
ご回答ありがとうございます。
「フルサービスリゾルバ->名前解決のためのルートDNSサーバ」
という1.とは別個のフルサービスリゾルバから開始される新規の通信である
これは送信元がフルサービスリゾルバ→インターネット上にあるDNSサーバに
通信をするため、FWのルールで拒否されるのですね。
理解しました。
ご回答ありがとうございます。
「フルサービスリゾルバ->名前解決のためのルートDNSサーバ」
という1.とは別個のフルサービスリゾルバから開始される新規の通信である
これは送信元がフルサービスリゾルバ→インターネット上にあるDNSサーバに
通信をするため、FWのルールで拒否されるのですね。
理解しました。
2024.02.04 20:02
sorablueさん
(No.16)
boyonboyon様
ご回答ありがとうございます。
通信の開始がインターネットからDNS-Kの為、外から来た
A社ドメインの再帰問合せを解決する。ただし権威サーバなので
自身の知らないアドレスについては応答を返さない。
通信の開始がDNS-Fからの為、社内の人しか使わない為。
という理解でよいでしょうか。
ご回答ありがとうございます。
>DNS-K:A社ドメインの名前解決用
通信の開始がインターネットからDNS-Kの為、外から来た
A社ドメインの再帰問合せを解決する。ただし権威サーバなので
自身の知らないアドレスについては応答を返さない。
>DNS-F:A社のプロキシサーバとメールサーバ用(A社のみ使用)
通信の開始がDNS-Fからの為、社内の人しか使わない為。
という理解でよいでしょうか。
2024.02.04 21:05
boyonboyonさん
(No.17)
sorablue様
返信遅くなりすみません。
私も同じように理解しています。
返信遅くなりすみません。
私も同じように理解しています。
2024.02.06 17:53
soranlueさん
(No.18)
boyonboyon様
ご教授ありがとうございます。
今後も学習を頑張ります。
ご教授ありがとうございます。
今後も学習を頑張ります。
2024.02.07 04:13
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告