ネットワークスペシャリスト 2022年 午前2 問18
問題文
DNSサーバで管理されるネットワーク情報の中で、外部に公開する必要がない情報が攻撃者によって読み出されることを防止するための、プライマリDNSサーバの設定はどれか。
選択肢
ア:SOAレコードのシリアル番号を更新する。
イ:外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ:ゾーン転送を許可するIPアドレスを限定する。(正解)
エ:ラウンドロビンを設定する。
DNSサーバのプライマリ設定による情報漏洩防止【午前2 解説】
要点まとめ
- 結論:プライマリDNSサーバのゾーン転送を許可するIPアドレスを限定することで、外部への不要な情報漏洩を防げます。
- 根拠:ゾーン転送はDNS情報の複製を行う機能であり、許可されていない第三者に情報が渡ると攻撃に利用される恐れがあります。
- 差がつくポイント:ゾーン転送の制御設定を理解し、単にキャッシュ時間やラウンドロビン設定を変えるだけでは防げないことを押さえることが重要です。
正解の理由
ウ: ゾーン転送を許可するIPアドレスを限定する。
ゾーン転送はプライマリDNSサーバからセカンダリDNSサーバへDNS情報を複製するための機能です。これを許可するIPアドレスを限定しないと、攻撃者がゾーン転送を利用して内部のDNS情報を取得し、ネットワーク構成やサーバ情報を把握されてしまいます。したがって、外部に公開する必要のない情報を守るためには、ゾーン転送の許可範囲を厳密に制限することが最も効果的です。
ゾーン転送はプライマリDNSサーバからセカンダリDNSサーバへDNS情報を複製するための機能です。これを許可するIPアドレスを限定しないと、攻撃者がゾーン転送を利用して内部のDNS情報を取得し、ネットワーク構成やサーバ情報を把握されてしまいます。したがって、外部に公開する必要のない情報を守るためには、ゾーン転送の許可範囲を厳密に制限することが最も効果的です。
よくある誤解
- SOAレコードのシリアル番号更新は情報漏洩防止には直接関係ありません。
- キャッシュ時間の短縮は情報の鮮度に関わりますが、ゾーン転送による情報漏洩防止には効果がありません。
解法ステップ
- DNSサーバの役割とゾーン転送の意味を理解する。
- ゾーン転送がどのようにDNS情報を複製するかを確認する。
- 情報漏洩のリスクがある操作を特定する。
- 選択肢の中でゾーン転送の制御に関するものを選ぶ。
- 他の選択肢が情報漏洩防止に直接関係しないことを確認する。
選択肢別の誤答解説
- ア: SOAレコードのシリアル番号はゾーン情報の更新管理に使われ、情報漏洩防止には関係ありません。
- イ: キャッシュ時間を短くするとDNS情報の更新が早く反映されますが、ゾーン転送による情報漏洩は防げません。
- ウ: ゾーン転送を許可するIPアドレスを限定することで、攻撃者による不正な情報取得を防止できます。
- エ: ラウンドロビンは負荷分散のためのDNS応答順序の設定であり、情報漏洩防止とは無関係です。
補足コラム
ゾーン転送には主にAXFR(フルゾーン転送)とIXFR(増分ゾーン転送)があります。特にAXFRは全ゾーン情報を転送するため、許可範囲の管理が重要です。最近ではDNSSECなどのセキュリティ技術も導入され、DNS情報の改ざん防止や認証強化が進んでいます。
FAQ
Q: ゾーン転送を完全に無効にしても問題ありませんか?
A: セカンダリDNSサーバが存在する場合はゾーン転送が必要です。無効にすると冗長性が失われるため、許可IPの限定が推奨されます。
A: セカンダリDNSサーバが存在する場合はゾーン転送が必要です。無効にすると冗長性が失われるため、許可IPの限定が推奨されます。
Q: キャッシュ時間を短く設定すると情報漏洩防止になるのですか?
A: いいえ。キャッシュ時間はDNS応答の有効期限を決めるだけで、ゾーン転送による情報漏洩には影響しません。
A: いいえ。キャッシュ時間はDNS応答の有効期限を決めるだけで、ゾーン転送による情報漏洩には影響しません。
関連キーワード: DNS, ゾーン転送、プライマリDNS, 情報漏洩防止、ネットワークセキュリティ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!