令和3年度 春期 午後1 問2 ネットワークのセキュリティ対策

Uncategorized

設問1
(1)
A社公開Webサーバの名前解決が出来なくなる。(23字)
外部DNSサーバの概要を見ると、A社ドメインの権威DNSサーバの役割を担っていることが分かる
この外部DNSサーバが停止すると、A社公開Webサーバの名前解決ができなくなってしまう。
ちなみに、初見で私は「公開Webサーバに接続できなくなる」的な記述をした
調べてみると、IPアドレスを知っていればアクセス自体はできるとのこと
要は名前解決のシーケンスをすっとばして、直接IPアドレスを指定してアクセスする方法。
(そんな利用者がいるかは別として…)

(2)
DNSリフレクション攻撃(12字)
知識問題だけど超サービス問題。
これが発生する原因として、外部DNSサーバがフルサービス/権威の両方を兼ねていること
この旨の記述が見受けられたら怪しいと思います。
理想はそれらを分離し、フルサービスリゾルバは内部からのリクエストのみ応じるようにする。

(3)
a:ア(DNS-F)
b:イ(DNF-K)
外部DNSサーバを廃止し、DNS-F(フルサービス)とDNS-K(権威)に分離するらしい
それに伴いFWのルールも変更する。
廃止前の外部DNSサーバの役割は以下の2点
1インターネットからのA社ドメインの名前解決に応答する(権威DNS)
2インターネット上のWebサーバの名前解決を行う(フルサービス)
aの方は 宛先:インターネット サービス:DNS なのでフルサービスリゾルバ(ア:DNS-F)に関するルールとわかる
bの方は 送信元:インターネットサービス:DNSなので権威DNS(イ:DNS-K)に関するルールとわかる

(4)
c : A
前後の文章を確認すると
メールサーバの[空欄c]レコードのIPアドレスが…とある
この時点でAレコードかAAAAレコードの2択に絞ることができる
文章を読んでいくと図2の直後に「各サーバのIPアドレスはx1.y1.z1.t1(以降省略)」とある
この記述からIPv4形式で設定していることが分かるので、Aレコードとなる
ちなみにAAAAレコードはIPv6形式となる。

(5)
d:ランダム化
DNSキャッシュポイズニングは以下の条件を全て満たすことで成功する
標的となるDNSサーバのキャッシュに登録されていない名前解決要求であること
標的となるサーバが上位サーバに問合せた際の送信元ポート番号あてに応答を返すこと
標的となるDNSサーバが上位サーバに問合せた際のトランザクションIDと応答のIDを一致させること
正当な上位サーバからの応答よりも早く応答を返すこと
送信元ポート番号をランダム化(デフォは53)することで、上記の2番目が発生するリスクを低減できる
ちなみに、送信元ポート番号をランダムにすることを「ソースポートランダマイゼーション」と言う。

(6)
e:DNSSEC
これもラッキー問題
これはDNSサーバが自身の秘密鍵で応答レコードにディジタル署名を付して送信するもの
受信側はDNSサーバの公開鍵を用いて署名を検証することで
応答レコードが正当なDNSサーバからのモノであることと、改ざんを検知することができる。

(7)
f:
g:
DoT(DNSoverTLS)はスタブリゾルバ(クライアント)とフルサービスリゾルバ間の通信を
TLSを用いて暗号化する技術のこと
似た技術としてDoH(DNSoverHTTPS)というのもあるが、調べたら仕組みはほぼ同じ模様
ちなみに、フルサービスリゾルバと権威DNSサーバ間の暗号化は現状できないようですが
IETFが今後、標準化に向けて動いていくようです。

設問2
(1)
権威DNSサーバがサービス停止になるリスク
権威DNSサーバを2台構成にすることによって低減できるリスクを答える
2台にすることで可用性の向上が見込め、例えプライマリが障害等で停止したとしても
セカンダリの方に接続すれば、引き続き権威DNSサーバを利用することができる

(2)
h:
i:
ゾーンファイルの空欄を埋めていく問題
ゾーンファイルは権威DNSサーバが管理するリソースレコードが記載されている
空欄hはNSレコードに関するモノ
NSレコードにはDNSサーバのFQDNを設定する
既にDNS-Kは登録されているのでDNS-Sを登録することになる
DNS-SはX社のホスティングサービスを利用するとの事なので、ドメイン名はX社のものとなる
結果として「dns-s.x-sha.co.jp」(カ)を設定する

空欄iはMXレコードに関するモノ
MXレコードでは、メールサーバのFQDNを設定する
メールサーバは外部に依頼するなどと言った記述がないので、引き続き自社で運用を想定
ホスト名は「mail」でドメインはA社のものなので
「mail.a-sha.co.jp.」(ク)となる

(3)
j:拒否
k:許可
l:拒否
m:拒否
ゾーン転送とはプライマリが保持するソーンファイルをセカンダリにそのコピーを送って
ゾーン情報を同期することを言う
基本はゾーン転送はセカンダリがプライマリに対して要求を送る
(逆もできるようですが、基本しないようです)
プライマリはセカンダリ以外からのゾーン転送要求は拒否するように設定する。
ゾーン情報はその組織のネットワーク構成が記載されている重要な情報なので
ゾーン転送の要求には制限を設ける必要がある。

(4)
n:
o:
p:(n,pは順不同)
外部DNSサーバの代わりに、DNS-HK,DNS-S,DNS-HFの3つを
X社のホスティングサービス上に新設する、その際のFWフィルタリングルールを答える
表1の注2)を見ると、プロキシサーバとメールサーバが外部DNSサーバのフルサービスリゾルバ機能を利用する旨の記述がある
FWでプロキシサーバとメールサーバがX社ホスティングサービス上のDNS-HFの通信を許可することで
従来通りの運用が可能となる。



感想
DNSがメインの問題、個人的にはサービス問題だった。
午前Ⅱの知識である程度解けると思います
DoTの仕様に関しては知らなかったので、この問題での学び。

コメント

タイトルとURLをコピーしました