【SC*過去問解説】令和3年度 春期 午後Ⅰ 問2

IT
2021.10.24

こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和3年度 春期 午後Ⅰ 問2を解説していきたいと思います!

※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。

下記より問題文と解答を引用しております。

問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_sc_pm1_ans.pdf

出典:令和3年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問2


では早速解説してまいります!

設問1


(1)A社公開Webサーバの名前解決ができなくなる。

解説
表1の外部DNSサーバの機能を参照すると、A社ドメインの権威DNSサーバとあります。
例えば外部の端末BからA社公開Webサーバへアクセスしようとした場合、まず、A社の外部DNSサーバにて名前解決を行い、A社の公開WebサーバのIPアドレスを取得することで、B端末はA社の公開Webサーバにアクセスできます。しかし外部DNSサーバがサービス停止してしまうと名前解決が不可能になります。

(2)DNSリフレクション攻撃

解説
DNSリフレクション攻撃とは、攻撃者が送信元を偽装して(例えばBサーバになりすまし)、とあるキャッシュサーバへ大量に問い合わせ、問い合わせを受けたキャッシュサーバはBサーバへこれまた大量に応答します。一般的に、問い合わせよりも応答の方がパケットのサイズが大きいため、Bサーバは大きなダメージを受けます。
このときとあるキャッシュサーバは踏み台で、踏み台に反射して攻撃が増幅しているように見えるため、反射を意味するリフレクション攻撃や増幅を意味するアンプ攻撃とも呼ばれます。

(3)a. ア b. イ

解説
表2より、項番5,6は下記の通りです。
5. 外部DNSサーバ→インターネットのDNS通信を許可
6. インターネット→外部DNSサーバのDNS通信を許可
5はクライアントからの要求に対して、インターネットを経由して他の権威サーバとやりとりを行うフルサービスリゾルバとして、6はインターネットを経由した問い合わせに応答を返す権威DNSサーバとしての通信を実現するためのルールであることが分かります。

そのため、a にはフルサービスリゾルバであるDNS-F、b には権威サーバであるDNS-Kが入ります。

(4)c. A

解説
ドメイン名とIPアドレス(IPv4)を紐づけるのはAレコードになります。


(5)d. ランダム化

解説
送信元ポート番号を固定すると攻撃者がひたすらに試せば特定されてしまいます。ランダム化することで、攻撃者がポートを特定することが困難になります。


(6)e. DNSSEC

解説
DNSSECではディジタル署名を用いて、DNSサーバのなりすましやレコードの改竄を検証します。


(7)f. オ g. カ

解説
DoTとはDNS over TLSの略ですが、DNS通信に対しTLSで暗号化、セキュリティを強化しています。ユーザ(スタブリゾルバ(※))とキャッシュサーバ(フルサービスリゾルバ)の間の通信を暗号化しています。

(※)スタブリゾルバとはDNSクライアントのことです。

設問2


(1)権威DNSサーバがサービス停止になるリスク

解説
セカンダリの権威DNSサーバを設置するということは、言い換えると権威DNSサーバを冗長化しています。また、今回プライマリの権威DNSサーバ(DNS-K)をDMZに、セカンダリの権威DNSサーバ(DNS-S)をX社のホスティングサービス上に設置しているため、どちらかの環境が停止しても業務が継続できます。

(2)h. カ i. ク

解説
まず h から見ていきます。NSレコードはネームサーバレコードの略で、そのゾーンの権威サーバを指定します。図2の4行目にはNSレコードとしてdns-k.a-sha.co.jpが記述されています。これはプライマリの権威DNSサーバで、セカンダリの権威DNSサーバを記述する必要があります。セカンダリの権威DNSサーバはX社のホスティングサービス上にあることから、h に入れるドメイン名はdns-s.x-sha.co.jpであることが分かります。

次に i ですが、MXレコードではメールサーバを指定します。そのため、i にはA社のメールサーバのドメイン名であるmail.a-sha.co.jpを入れます。

(3)j. 拒否 k. 許可 l. 拒否 m. 拒否

解説
ゾーン転送ではプライマリに設定したゾーン情報をセカンダリに転送します。そのため、ゾーン転送要求に対する許可を必要最小限するには、要求元がセカンダリであるDNS-S、要求先がDNS-Kのときのみ許可、それ以外を拒否します。


(4)n. オ o. ア p. カ ※nとpは順不同

解説
設問1の問3の解説の繰返しになりますが、表2より、項番5,6は下記の通りです。
5. 外部DNSサーバ→インターネットのDNS通信を許可
6. インターネット→外部DNSサーバのDNS通信を許可
5はフルサービスリゾルバとして、6は権威DNSサーバとしての通信を実現するためのルールであることが分かります。

それぞれの通信について具体的に見ていくと、下記のような流れです。
(ⅰ)プロキシサーバもしくはメールサーバ(※)→外部DNSサーバ→FW→インターネット
(ⅱ)インターネット→FW→外部DNSサーバ

いずれもFWを経由するので、FWにフィルタリングルール5,6が必要でした。

(※)ちなみに、表1の注2)に以下の記述があるため、外部DNSサーバをフルリゾルバとして使用しているのはプロキシサーバとメールサーバのみとなります。

2) フルサービスリゾルバとしては, プロキシサーバとメールサーバが使用している。

令和3年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問2


今回、二つ目の案では下記のような流れになります。
(ⅰ)プロキシサーバもしくはメールサーバ→FWフルサービスリゾルバ(DNS-HF)→インターネット
(ⅱ)インターネット→権威DNSサーバ(DNS-HK、DNS-S)

(ⅱ)では権威DNSサーバ(DNS-HK、DNS-S)はFWの外側にあるため、表2の6は必要なくなります。
(ⅰ)ではプロキシサーバもしくはメールサーバからFWを通ってホスティングサービス上のフルサービスリゾルバへ通信するので、FWのフィルタリングルールが必要になります。

そのため、n, p にはプロキシサーバもしくはメールサーバ、o にはDNS-HFが入ることが分かります。

コメント