情報処理安全確保支援士　令和３年春　午後Ⅰ問２について

DNS関連の総合的な問題になります。

DNSの各種リソースレコードの設定やキャッシュDNSサーバ（フルサービスリゾルバ）や権威DNSサーバの役割など　DNS関連の知識の詰め合わせの様な問題です。

DNS関連が苦手な方はこの問題を理解できれば、色んなDNS関連の問題に対応できるようになる良問です。

本文は一通り読んでいることを前提に問題解説をしていきます。

◆◆解説動画（期間限定）◆◆

設問１（１）

下線①の箇所を確認しましょう。

外部DNSサーバの役割が書かれている箇所を確認します。

外部DNSサーバは、a-sya.co.jpのドメインとA社公開Webサーバを紐づける権威DNSサーバの役割があります。フルサービスリゾルバ（キャッシュDNSサーバ）の役割もありますが、この設問では直接関係ないので読み飛ばします。

本来の流れはのイメージは以下になります。

A社の公開Webサーバに格納されたWebページを参照したいユーザーはブラウザにhttps://a-sya.co.jpのアドレスを入力します。
名前解決の為、権威DNSサーバであるA社ネットワークの外部DNSサーバにa-sya.co.jpに対応するWebサーバのIPアドレスを返却します。

A社の公開WebサーバのIPアドレスを手に入れた問い合わせ元は、そのIPアドレスで、A社の公開WebサーバにアクセスしWebページのデータを取得します。

今回の問題は、外部DNSサーバが停止になった場合の「公開Webサーバ」への影響を問われています。

説明したフローでいうと名前解決が出来ずにA社の公開Webサーバへのアクセスができなくなります。

設問１（２）

該当箇所を確認していきます。

これは、知っていれば解ける知識問題になります。
過去の動画でも詳しく説明しています。

上記の通り「DNSリフレクション攻撃」が正解になります。

設問１（３）

該当箇所を確認していきます。

先ほどのDNSリフレクション攻撃の対応として外部DNSサーバを廃止して、DNS-K（権威DNS)とDNS-F（フルサービスリゾルバ）を新設した時のFWの許可ルールの設定が問われています。

DNSリフレクション攻撃の問題点としては、外部DNSサーバに対してどんな名前解決も許可してしまっていることです。

必要最低限の名前解決に絞るのが必要で、DNS-Kにはa-sya.co.jpの名前解決だけ行う権威DNSサーバの機能、DNS-Fは、社内から社外へ名前解決を行うキャッシュDNSサーバ（フルサービスリゾルバ）の機能とします。

DNS-KはWebサーバの名前解決の為外部ユーザからの問い合わせがあるので、インターネットからの経路をあける必要があります。
よって、送信元がインターネットの項番６の送信先（空欄b)にはDNS-K（イ）が入ります。

DNS-Fは、キャッシュにない場合はインターネット側の権威DNSサーバに問い合わせに行くので、インターネット側へのアクセスをあける必要があります。
よって、送信先がインターネットの項番５の送信元（空欄a)にはDNS-F(ア）が入ります。

設問１（４）

該当箇所を確認していきます。

メールサーバ名とIPアドレスを紐づけるものは「Aレコード」になります。

多分、MXレコードと答えた方も多いと思いますが、ドメイン名とメールサーバ名の紐づけがMXレコードで、MXレコードで得たメールサーバ名をキーにAレコードからIPアドレスを取得する流れとなるのでAレコードになります。

こちらの過去動画でも流れを説明しています。

設問１（５）

DNSキャッシュポイズニングに対する対策です。

以下の予想問題演習でも扱った内容です。

送信元のポート番号が分かってしまうとそれが、セキュリティホールとなってしまうので、送信元ポート番号は「ランダム化」する必要があります。

設問１（６）

これも予想問題演習で出したので見た方は容易に答えられたと思います。

設問１（７）

該当箇所を見てみます。

これも、知っているか知っていないかの知識になります。

以前の動画でDoHとDoTについて説明しています。

キャッシュDNSサーバと問合せ元との間の通信を暗号化するということです。（権威DNSサーバとキャッシュDNSの間ではないということ）

まず、キャッシュDNSサーバである　フルサービスリゾルバ（カ）の選択肢が当てはまります。

フルサービスリゾルバに問い合わせるのはスタブリゾルバ（オ）になります。

「スタブリゾルバ」は パソコンの中にいて、DNSサーバさんに問い合わせをしてくれるプログラムのことになります。

用語の意味と、上記の動画を見ていれば容易に答えられるサービス問題です。

設問２（１）

下線③の部分を確認していきます。

登場DNSサーバが多くなって混乱するところなので役割をもう一度整理しましょう。

DNS-K→a-sya.co.jpの名前解決行う権威DNSサーバの機能　
DNS-F→社内から社外へ名前解決を行うキャッシュDNSサーバ（フルサービスリゾルバ）　

＝＝＝

DNS-K→プライマリ権威DNSサーバ

DNS-S→X社のホスティングサービス　で　セカンダリ権威DNSサーバ

DNS-F→フルサービスリゾルバ（キャッシュDNSサーバ）

※プライマリが持っているDNSゾーン情報をセカンダリDNSサーバにZONE転送し同期をとります。
プライマリDNSサーバがダウンしたときなどに、セカンダリがあると可用性が保てる利点があります。

今回はDNS-F（プライマリ）→DNS-S（セカンダリ　X社サービス）へZONE転送が行われます。

２系統あるのと同じなので正解は以下となります。

設問２（２）

空欄hについて
NSレコードは、ドメインのゾーン情報を管理するDNSサーバを定義するものとなります。今回はX社のホスティングサービスでセカンダリDNSサービスを構築したのでX社でもゾーン情報を管理することになったので、x-sya.co.jpのドメインになり、DNS-S上にあるのでサブドメインを付加して、dns-s.x-sya.co.jp（カ）が正解となります。

空欄iについて
MXレコードつまりメールサーバ名になります。
メールサーバはA社内のネットワークに設置している（X社ではない）ので、mail.a-sya.co.jp（ク）になります。

設問２（３）

DNS-K→プライマリ権威DNSサーバ
DNS-S→セカンダリ権威DNSサーバ
ゾーン転送はプライマリ→セカンダリの流れなのでそれが分かっていれば容易に解けます。「要求先」が「転送元」となるので注意してください。

空欄j  は　DNS-S（セカンダリ）→DNS-K（プライマリ）　なので「拒否」
空欄k は　DNS-K（プライマリ）→DNS-S(セカンダリ）　なので「許可」
空欄lは　DNS-K（プライマリ）→上記以外のIPなので「拒否」
空欄ｍは　上記以外のＩＰ→ＤＮＳ－Ｓ（セカンダリ）なので「拒否」となります。※プライマリ以外とはゾーン転送しない。

設問２（４）

またまた、登場DNSサーバが多くなりましたがDNS機能のすべてをX社に移管するということです。

DNS-HK→プライマリ権威DNSサーバ（DNS-KをA社内から移管）
DNS-S→セカンダリ権威DNSサーバ（今までと同じ）
DNS-HF→フルサービスリゾルバ（DNS-FをA社内から移管）

いままで、DNS-Fへは社内からのみアクセスだったのが社外のDNS-HFへとかわるので、宛先oはDNS-HF（ア）となります。

いままでフルサービスリゾルバにアクセスしていたのは、メールの送受信とWebアクセスでDNSサーバを利用しますが、Webアクセスは以下よりプロキシサーバ経由となります。

さらにズバリな文言が以下になります。

よって、送信元のnとpは
プロキシサーバ（オ）とメールサーバ（カ）になります。