|
カテゴリ:カテゴリ未分類
***例題***
DNSのゾーン転送においては、セカンダリDNSサーバが、プライマリDNSサーバになりすました「偽装サーバ」から偽のDNS情報を受け取ってしまう危険性がある。この危険性を排除する方法について述べた以下の文のうち、有効なものをすべて選びなさい。 a プライマリDNSサーバにおいて、ゾーン転送を許可するセカンダリDNSサーバを限定する。 b DNSサーバをchroot環境で実行する。 c DNSSECを利用する。 d DNSラウンドロビンを利用する。 e DNS NOTIFYを利用する。 [解説] a ゾーン転送を許可するDNSサーバを限定することは、第三者がセカンダリDNSサーバになりすまして、ゾーン転送を受ける危険性を回避するためのセキュリティ。しかし、悪意のある第三者がプライマリDNSサーバになりすますことへの防止策にはならない。 b chroot環境=実行中のBINDから参照できる最上位のパスを、下位のディレクトリに変更した環境のこと。この環境では、BINDを経由して外部から攻撃を受けた場合でも、主要なファイルが格納されている上位のディレクトリが見えないため、被害を限定的に止めることができる。 →第三者がプライマリDNSサーバになりすますことを直接的に排除するための対策法にはならない。 c DNSSEC・・・ゾーン転送にデジタル署名の技術を組み込むための機能。 [1]ゾーン転送の送信元であるプライマリDNSサーバが、秘密鍵と公開鍵を作成。 [2]プライマリDNSサーバは、作成した公開鍵をセカンダリDNSサーバへ渡す。 [3]送信側のプライマリDNSサーバは、自分が作成した秘密鍵を使ってゾーン情報に署名。 [4]プライマリDNSサーバは、署名したゾーン情報を、セカンダリDNSサーバ宛に送信。 [5]公開鍵で検証できたら、正規のプライマリDNSサーバから送信されたことが照明されたことになる。 →受信したゾーン情報に基づいて、セカンダリDNSサーバが管理しているDNS情報を更新する。 d DNSラウンドロビンは、1つのホストに対して複数のIPアドレスを割り当てることであり、複数のサーバへの負荷分散を行うために使用される。 e DNS NOTIFY ・・・ダイナミックDNSで利用される機能 [1]プライマリDNSサーバは、DNS情報を更新した場合、変更を行った旨をそのつどセカンダリDNSサーバに通知する。 [2]プライマリDNSサーバからの変更通知を受け取ったセカンダリDNSサーバは、リフレッシュ期間を待たずに、プライマリDNSサーバに対してゾーン転送を行うことを要求する。 [3]セカンダリDNSサーバからのゾーン転送要求を受け取ると、プライマリDNSサーバは、ただちに変更したDNS情報をゾーン転送する。 [4]セカンダリDNSサーバは、受け取ったゾーン情報に基づいて、管理しているDNS情報を更新する。 →DNS NOTIFYは、ダイナミックDNSを効率よく実現するための機能であるため、偽のDNS情報を転送する危険性を排除する方法としては、有効ではない。 [解答] c お気に入りの記事を「いいね!」で応援しよう
Last updated
2006.08.01 22:40:09
|