情報処理安全確保支援士2021年(令和3年)春午後1問2(2,058 文字)

イナ

2023年8月29日 06:04

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)は外部DNSサーバが死んだら公開Webサーバはどうなるか。表1の注記2に公開Webサーバの名前解決は外部DNSサーバに問い合わせると書いてあるので、これができなくなる=公開Webサーバの名前解決ができなくなります。
別につながらなくなるわけじゃないですよ IPアドレス直打ちなら繋がるはず
答え A社公開Webサーバの名前解決ができなくなる。
(2)は送信元IPを偽装して外部DNSに名前解決要求を大量に送ることで、攻撃対象にDNSパケットを送り付けるDoS攻撃の名称。DNS リフレクションです。DNSアンプでもいいような
答え DNSリフレクション攻撃

(3)は今の外部DNSは消して、権威DNSサーバのDNS-KとフルサービスリゾルバのDNS-Fに移行するときにFWの設定も変える。元の外部DNSサーバとインターネットの通信を記載してた項番5,6の入替なので、この入替先も外部DNS関係じゃないと名前解決ができませんということでアとイがどちらに入るか。これは知識と言えば知識ですがインターネットからの要求を受けて他DNSサーバに問い合わせを行うのがフルサービスリゾルバで、問い合わせを受けて回答するのが権威DNSサーバなので、aが権威DNSのアでbがフルサービスリゾルバのイです。
答え a : ア, b : イ
(4)はDNSキャッシュポイズニングということでリソースレコードのうちメールサーバの[c]レコードのIPが変わると他のところにメールが飛ぶ話。完全に知識ですが、Aレコードが答えです。
CNAME含めてこの手のレコードは他でも出てきていたので覚えましょう。参考サイトに一覧を貼りました。~~私はこれから見ます~~
答え A
(5)はDNSキャッシュポイズニング対策として、さっきやったDNSの分割の他に送信元ポート番号を[d]する対策があるの穴埋め。午前にも出てきた気がしますがランダム化が答え。
答え ランダム化
(6)は第3の対策としてDNSサーバから受け取るリソースレコードのディジタル署名を利用して送信者の正当性やらを検証する技術について。DNSについてのセキュリティなんてDNSSECしか知らないと思ったけどあってました。
答え DNSSEC
(7)はDNS通信の盗聴や改ざんリスクへの対応としてDNS over TLS(DoT)があり、[f][g]間の通信を暗号化するものであるの穴埋め。完全に知識
スタブリゾルバのオとフルサービスリゾルバのカが正解です。
答え f, g : オ, カ(順不同)

本文(設問2)

問題文(設問2)

解説(設問2)

(1)は再び出てきた外部DNS分割案。プライマリの権威DNSサーバ機能をDNS-Kに、セカンダリの権威DNSサーバ機能をDNS-Sにするとどうなるか。そもそもセカンダリのサーバは冗長性確保です。要はプライマリ権威DNSが死んでもセカンダリが生きてるからサービス停止するリスクへの対策になります。
答え 権威DNSサーバがサービス停止になるリスク

(2)はh,iの穴埋め。参考サイトのレコードこれ書いてから見ようと思ってたんですが…
NSレコードはDNSサーバのサーバ名を書くところで、IN NS dns-k.a-sha.co.jp.が先のプライマリと思えばhはセカンダリのdns-s.x-sha.co.jp.のカが正解。MXはメールの話で、図1からメールサーバがA社にあることがわかるので、mail.a-sha.co.jp.のクが正解です。
答え h : カ, i : ク

(3)はゾーン転送の話の穴埋め。そもそもゾーン転送とはプライマリ→セカンダリにゾーン情報を伝えることなのでkのみが許可で他は拒否です。
答え j ; 拒否, k : 許可, l : 拒否, m : 拒否

(4)は再登場のFWについて。今回は外部DNSを消してプライマリをDNS-NH、セカンダリをDNS-S、フルサービスリゾルバをDNS-HFにしつつ全部X社のホスティングサービス上に移行するらしい。表1注2(≠注記2)を見ると外部DNSサーバがフルサービスリゾルバとしてプロキシサーバとメールサーバが使用していると書かれています。つまりこの二つであるオとカは新しいDNSサーバに繋いであげないと使えません。よって送信元n, pはオとカです。
じゃあこの二つのDNSの宛先はというとフルサービスリゾルバですからDNS-HSののアです。
答え n : オ, o : ア, p : カ(n, p は順不同)

終わりに

難しい
ただDNSの話がかなり広く出てくるのでいい勉強になると思います。

主な参考サイト

【ドメイン】DNSレコード設定の各レコードの意味を教えてください。
DNSサーバーへの「キャッシュポイズニング攻撃」対策について
 押さえておきたい！基盤技術(2) DNSの基本と最新動向
 【情報処理安全確保支援士試験令和3年度春期午後1 問2 No.2】

この記事が気に入ったらサポートをしてみませんか？