データベーススペシャリスト 2016年 午前2 問21
問題文
DNSサーバに格納されるネットワーク情報のうち、外部に公開する必要がない情報が攻撃者によって読み出されることを防止するための、プライマリDNSサーバの設定はどれか。
選択肢
ア:SOAレコードのシリアル番号を更新する。
イ:外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ:ゾーン転送を許可するDNSサーバを限定する。(正解)
エ:ラウンドロビン設定を行う。
DNSサーバのプライマリ設定による情報漏洩防止【午前2 解説】
要点まとめ
- 結論:プライマリDNSサーバのゾーン転送を許可する相手を限定する設定が情報漏洩防止に有効です。
- 根拠:ゾーン転送はDNS情報の全体を複製するため、無制限に許可すると攻撃者に全情報が渡るリスクがあります。
- 差がつくポイント:ゾーン転送の制限設定を理解し、他のDNS設定(SOA更新やキャッシュ時間、ラウンドロビン)との違いを正確に把握することが重要です。
正解の理由
ゾーン転送はプライマリDNSサーバからセカンダリDNSサーバへDNS情報を複製する仕組みです。もしこの転送を無制限に許可すると、攻撃者がDNS情報を丸ごと取得できてしまいます。したがって、ゾーン転送を許可するDNSサーバを限定する設定を行うことで、外部に公開する必要のない情報の漏洩を防止できます。これが正解の「ウ」です。
よくある誤解
SOAレコードのシリアル番号更新やキャッシュ時間の調整はDNSの運用効率や応答速度に関係しますが、情報漏洩防止には直接効果がありません。ラウンドロビンは負荷分散の手法であり、セキュリティ対策とは異なります。
解法ステップ
- 問題文から「外部に公開する必要がない情報の漏洩防止」が目的であることを確認する。
- DNSの基本機能(SOA、キャッシュ、ゾーン転送、ラウンドロビン)を整理する。
- ゾーン転送がDNS情報の複製であり、無制限に許可すると情報漏洩リスクが高いことを理解する。
- 選択肢の中でゾーン転送の許可範囲を限定する設定が漏洩防止に直結することを判断する。
- 「ウ」を正解とする。
選択肢別の誤答解説
- ア: SOAレコードのシリアル番号更新はゾーン情報のバージョン管理であり、情報漏洩防止には直接関係しません。
- イ: キャッシュ時間を短くすると情報の鮮度は上がりますが、外部への情報漏洩防止には効果がありません。
- ウ: ゾーン転送を許可するDNSサーバを限定することで、不要な情報の外部流出を防げます。
- エ: ラウンドロビンは複数のサーバに負荷を分散する技術であり、情報漏洩防止とは無関係です。
補足コラム
ゾーン転送には主にAXFR(フルゾーン転送)とIXFR(増分ゾーン転送)があります。どちらもDNS情報の複製を目的としますが、攻撃者に悪用されるとDNS情報の全取得や改ざんの足掛かりになるため、転送先のIPアドレス制限やTSIG(Transaction Signature)による認証設定が推奨されます。
FAQ
Q: ゾーン転送を許可しないとDNSは正常に動作しませんか?
A: プライマリとセカンダリDNS間で情報を同期するために必要ですが、許可先を限定すれば正常動作とセキュリティの両立が可能です。
A: プライマリとセカンダリDNS間で情報を同期するために必要ですが、許可先を限定すれば正常動作とセキュリティの両立が可能です。
Q: SOAレコードのシリアル番号は何のために更新しますか?
A: ゾーン情報の変更を示すために更新し、セカンダリDNSが最新情報を取得するトリガーとなります。
A: ゾーン情報の変更を示すために更新し、セカンダリDNSが最新情報を取得するトリガーとなります。
関連キーワード: DNSセキュリティ、ゾーン転送制限、プライマリDNS設定、DNS情報漏洩防止、AXFR, IXFR
\ せっかくなら /
データベーススペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!