今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
①ゾーン転送機能によって第三者に登録情報が不正利用される可能性がある。
②不正な情報をキャッシュに登録することができる可能性がある。
③不正なリクエストによってサービス不能状態となる可能性がある。
【Q2】Q1で挙げた脆弱性を狙った攻撃を受けた場合の影響について述べよ。
①DNSサーバの初期設定ではゾーン転送要求に制限がないため、悪意ある第三者からゾーン転送要求を受けることで登録情報を第三者に返却され情報を取得されてしまう。
②名前解決要求への応答の際に、悪意あるサイトへ誘導するために不正な名前解決情報を返すことができる。DNSキャッシュポイズニング攻撃と呼ばれる。
③BOF攻撃やDos攻撃を受けることで、正常なサービス提供ができなくなる可能性がある。
【Q3】DNSSECの仕組みと導入による効果について述べよ。
DNSのセキュリティ拡張方式であり、名前解決要求に対して応答を返すDNSサーバが自身の秘密鍵を用いて応答レコードにディジタル署名を付加して送信し、応答を受け取った側は応答を返すDNSサーバの公開鍵を使ってディジタル署名を検証することで応答レコード正当性・完全性を確認できる。
DNSキャッシュポイズニング攻撃への有効な対策となる。
【Q4】セキュリティを考慮したDNSサーバの構成、設定について述べよ。
<構成>
・外部向けゾーン情報と内部向けゾーン情報の分離
公開DNSサーバには内部ゾーン情報を一切登録しない
・コンテンツサーバとキャッシュサーバの分離
<設定>
・ゾーン転送の制限
セカンダリDNSサーバにのみ許可し、ゾーン転送するデータを最小限に設定する
・キャッシュサーバを利用可能なホストの範囲を制限
・キャッシュサーバへの問い合わせ数を制限
適切な値を設定することで、DoS攻撃に備える
・DNSサーバプログラムのバージョン情報を隠蔽
【Q5】DNSの512オクテット制限とEDNS0について述べよ。
通常DNSの名前解決ではUDP53番ポートを使用するが、この際1つのパケットに格納できるデータは512オクテットに制限されており、512オクテットを超える場合はDNSサーバはTruncationビットをセットして返信することにより、データが切り捨てられたことを問い合わせ元のホストに伝える。
それを受けとった問い合わせ元のホストはTCP53番ポートを使用して再度問い合わせを行う。コネクション型のTCPを使用するため、DNSサーバへの負荷が高まると共に応答時間が遅くなるという問題がある。
その問題を解決するためにDNSの拡張機構であるEDNS0を用いる。EDNS0ではUDPのパケットサイズを最大65535オクテットまで拡張することができる。ただし、問い合わせ元のホストおよびDNSサーバがEDNS0に対応している必要がある。
私が使っているのは2022年版のテキストですが、2023年版も出ています。
