和太鼓情報ドットコム

＊＊＊例題＊＊＊
　ＤＮＳのゾーン転送においては、セカンダリＤＮＳサーバが、プライマリＤＮＳサーバになりすました「偽装サーバ」から偽のＤＮＳ情報を受け取ってしまう危険性がある。この危険性を排除する方法について述べた以下の文のうち、有効なものをすべて選びなさい。

ａ　プライマリＤＮＳサーバにおいて、ゾーン転送を許可するセカンダリＤＮＳサーバを限定する。

ｂ　ＤＮＳサーバをchroot環境で実行する。

ｃ　ＤＮＳＳＥＣを利用する。

ｄ　ＤＮＳラウンドロビンを利用する。

ｅ　ＤＮＳ ＮＯＴＩＦＹを利用する。

[解説]
ａ　ゾーン転送を許可するＤＮＳサーバを限定することは、第三者がセカンダリＤＮＳサーバになりすまして、ゾーン転送を受ける危険性を回避するためのセキュリティ。しかし、悪意のある第三者がプライマリＤＮＳサーバになりすますことへの防止策にはならない。

ｂ　chroot環境＝実行中のＢＩＮＤから参照できる最上位のパスを、下位のディレクトリに変更した環境のこと。この環境では、ＢＩＮＤを経由して外部から攻撃を受けた場合でも、主要なファイルが格納されている上位のディレクトリが見えないため、被害を限定的に止めることができる。
→第三者がプライマリＤＮＳサーバになりすますことを直接的に排除するための対策法にはならない。

ｃ　ＤＮＳＳＥＣ・・・ゾーン転送にデジタル署名の技術を組み込むための機能。
[1]ゾーン転送の送信元であるプライマリＤＮＳサーバが、秘密鍵と公開鍵を作成。
[2]プライマリＤＮＳサーバは、作成した公開鍵をセカンダリＤＮＳサーバへ渡す。
[3]送信側のプライマリＤＮＳサーバは、自分が作成した秘密鍵を使ってゾーン情報に署名。
[4]プライマリＤＮＳサーバは、署名したゾーン情報を、セカンダリＤＮＳサーバ宛に送信。
[5]公開鍵で検証できたら、正規のプライマリＤＮＳサーバから送信されたことが照明されたことになる。
→受信したゾーン情報に基づいて、セカンダリＤＮＳサーバが管理しているＤＮＳ情報を更新する。

ｄ　ＤＮＳラウンドロビンは、1つのホストに対して複数のIPアドレスを割り当てることであり、複数のサーバへの負荷分散を行うために使用される。

ｅ　ＤＮＳ　ＮＯＴＩＦＹ
・・・ダイナミックＤＮＳで利用される機能
[1]プライマリＤＮＳサーバは、ＤＮＳ情報を更新した場合、変更を行った旨をそのつどセカンダリＤＮＳサーバに通知する。
[2]プライマリＤＮＳサーバからの変更通知を受け取ったセカンダリＤＮＳサーバは、リフレッシュ期間を待たずに、プライマリＤＮＳサーバに対してゾーン転送を行うことを要求する。
[3]セカンダリＤＮＳサーバからのゾーン転送要求を受け取ると、プライマリＤＮＳサーバは、ただちに変更したＤＮＳ情報をゾーン転送する。
[4]セカンダリＤＮＳサーバは、受け取ったゾーン情報に基づいて、管理しているＤＮＳ情報を更新する。
→ＤＮＳ　ＮＯＴＩＦＹは、ダイナミックＤＮＳを効率よく実現するための機能であるため、偽のＤＮＳ情報を転送する危険性を排除する方法としては、有効ではない。

[解答] ｃ