ホーム > データベーススペシャリスト試験 > 2016年
データベーススペシャリスト試験 2016年 午前2 問21
DNSサーバに格納されるネットワーク情報のうち, 外部に公開する必要がない情報が攻撃者によって読み出されることを防止するための, プライマリDNSサーバの設定はどれか。
ア:SOAレコードのシリアル番号を更新する。
イ:外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ:ゾーン転送を許可するDNSサーバを限定する。(正解)
エ:ラウンドロビン設定を行う。
解説
解説:プライマリDNSサーバの設定と情報漏洩防止について
DNS(Domain Name System)は、ドメイン名とIPアドレスを対応付ける重要なインターネットサービスです。DNSサーバには、ドメインの様々な情報(リソースレコード)が格納されていますが、その中には外部に公開したくない情報も存在します。
問題のポイント
- 外部に公開する必要がない情報が攻撃者に読み出されるのを防ぐにはどうするか?
- プライマリDNSサーバの設定により不必要な情報漏洩を阻止する方法は?
選択肢の解説
ア: SOAレコードのシリアル番号を更新する。
- SOA(Start of Authority)レコードはゾーン情報のバージョンを示し、シリアル番号の更新はゾーン転送時の整合性を保つために重要です。
- しかし、シリアル番号の更新自体は情報漏洩防止とは直接関係ありません。
イ: 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
- TTL(Time To Live)を短く設定すれば、情報のキャッシュ期間を短縮できますが、情報が一度外部に公開されること自体は防げません。
- 情報漏洩の根本的な防止にはならず、またキャッシュが頻繁に切れることでDNS負荷が増加します。
ウ: ゾーン転送を許可するDNSサーバを限定する。
- ゾーン転送(AXFR)は、DNSゾーンファイルの全データを別のDNSサーバにコピーする操作です。
- 未許可の第三者にゾーン転送を許すと、プライベートなDNS情報(例:内部のホスト名やIPアドレス)が丸見えになってしまい、情報漏洩のリスクが非常に高まります。
- よって、ゾーン転送先を信頼できるDNSサーバだけに限定し、外部からの不正なゾーン転送要求をブロックすることで情報漏洩を防止できます。
エ: ラウンドロビン設定を行う。
- ラウンドロビンは負荷分散のためにDNS返信を複数のIPアドレス間で順番に切り替える方式です。
- これは情報の公開/非公開とは直接関係なく、防御策としては不適切です。
まとめ
DNSサーバに格納されるプライベートな情報を外部に漏らさないためには、ゾーン転送を許可する相手を限定し、信頼できるDNSサーバ以外からのゾーン転送を禁止する設定が最も効果的です。
したがって、正解は
ウ: ゾーン転送を許可するDNSサーバを限定する。
となります。
数式的イメージ(参考)
ゾーン転送許可設定は、IPアドレスやサーバ名のリストで制限をかけます。
ゾーン転送リクエスト の送信元IPが
のときのみ転送を許可し、そうでなければ拒否するというポリシーを設定します。
これにより、攻撃者による情報収集を効果的に防止できます。