【情報処理安全確保支援士】午後問題の頻出分野「サーバセキュリティ」の攻略ポイントと過去問

情報処理安全確保支援士(登録セキスペ)の午後問題の頻出分野「サーバセキュリティ」の攻略ポイントと過去問についてまとめました。

【令和3年度・春・午後Ⅰ問1】DNSサーバのセキュリティ対策

項目 答え
公式 午後Ⅰ問題解答(公式)講評
設問1(1) A社公開Webサーバの名前解決ができなくなる。
設問1(2) DNSリフレクション攻撃
設問1(3)a ア:DNS-F(フルサービスリゾルバ機能)
設問1(3)b イ:DNS-K(権威DNS機能)
設問1(4)c A ※問題文でIPv4で記載されているので『A』レコードであると判断できます。
設問1(5)d ランダム化 ※フルサービスリゾルバからインターネットにある権威サーバ宛にDNS問い合わせで通信する際、宛先ポート番号はデフォルトだとDNSなので53が用いられます。問い合わせ結果を受信する際は宛先ポート番号と送信元ポート番号が反転となります。よって、送信元ポート番号が固定の場合は容易に推測されてしまうtまえ、送信元ポートをウェルノウンポート以外の1024~65535のいずれかをランダムに使用します。
設問1(6)e DNSSEC
設問1(7)f オ:スタブリゾルバ
設問1(7)g カ:フルサービスリゾルバ
設問2(1) 権威DNSサーバがサービス停止になるリスク
設問2(2)h カ:dns-s.x-sha.co.jp. ※問題文中からA社のドメイン(a-sha.co.jp.)とDNS-Kのホスト名(dns-k)がわかります。同じように考えると、hもNSレコードなので、セカンダリのDNS-Sについて記載する必要があるとわかります。DNS-SはA社内ではなく、X社のホスティングサービス(ドメインがx-sha.co.jp.)でDNS-Sのホスト名(dns-s)なので「dns-s.x-sha.co.jp.」であるとわかります。
設問2(2)I ク:mail.a-sha.co.jp. ※MXレコード(メールサーバを指す)であり、問題文中からメールサーバのホスト名は「mail」でメールサーバはA社に帰属するもので、ドメインは「a-sha.co.jp」なので、「mail.a-sha.co.jp.」だとわかる。記述問題だと、末尾に「.」を付け忘れるので注意。
設問2(3)j 拒否
設問2(3)k 許可 ※ゾーン転送は基本的にはプライマリからセカンダリに対して同期を行います。プライマリは要求先、セカンダリは要求元となります。よって、kだけ許可。ほかは拒否。
設問2(3)l 拒否
設問2(3)m 拒否
設問2(4)n オ:プロキシサーバ ※表1で「フルサービスリゾルバとしては、プロキシサーバとメールサーバが使用している」と記載されています。フルサービスリゾルバ、プロキシサーバ、メールサーバはA社のDMZ内からX社のホスティングサービス上に移動されたので、通信のためにFWのルールを変更します。
設問2(4)o ア:DNS-HF
設問2(4)p カ:メールサーバ
用語 解説
DNS Domain Name Systemの略で、ドメイン名をIPアドレスに変換できる仕組みです。変換することを名前解決といいます。
DDNS ダイナミックドメインネームシステム (Dynamic Domain Name System、ダイナミックDNS、DDNS)といいます。プロバイダから動的(ダイナミック)に割り当てられるIPアドレスが変更になった場合、新しいIPアドレスをDNSサーバに通知し、事前に登録した固定のホスト名(ドメイン名)につないでくれるサービスです。
NAPT プライベートIPアドレスに接続されている複数の端末が、1つのグローバルIPアドレスを使ってインターネットに接続する仕組みです。
外部DNSサーバ 自身が所属するドメイン以外(インターネット)からの名前問い合わせに応答する。
オープンリゾルバ 外部DNSサーバのうち、キャッシュ機能をもつもの。悪用されやすいため、権威DNSサーバ(外部からの反復問い合わせに回答するが、キャッシュ機能をもたないもの)とキャッシュDNSサーバ(コンテンツ機能をもたないもの)に分割し、FW等で外部からキャッシュDNSサーバのアクセスを拒否するよう設定するのが一般的。
内部DNSサーバ 内部ネットワーク用に独自のゾーン情報を保持し、内部ネットワークのホストからの名前問い合わせに応答する。
権威DNSサーバ 自身が管理するゾーン及び委任情報(委任先の権威サーバーに関する情報)を保持し、他のサーバに問い合わせることなく、て自身が管理している情報のみを応答するDNSサーバ。
プライマリ権威DNSサーバとセカンダリ権威DNSサーバ 権威DNSサーバをゾーン情報を管理するプライマリサーバと、プライマリサーバからゾーン情報の複製を受け取るセカンダリサーバの2種類に分割する。どちらも権威DNSサーバとして機能し、同じ問い合わせを受ければ同じ内容の応答を返すよう設定される。そのため、DNSクライアント(PCやフルリゾルバ、キャッシュDNSサーバなど)から見た場合には、両者は区別されない。このように分割すると、冗長性(耐障害性)を高めたり、負荷分散を行うことができる。
スタブルリゾルバ(DNSクライアント) DNSリクエストを送信するだけのクライアントPC、またはDNSサーバ。
フルサービスリゾルバ(キャッシュDNSサーバ) 再帰問い合わせ(Recursive)によって完全にDNS解決を行えるDNSサーバ。スタブリゾルバー(DNSクライアント)から送られる「名前解決要求」を受けて、他の権威DNSサーバーに対して再帰問い合わせを行い、その結果をスタブリゾルバーに応答として返す。内部にキャッシュを持っているものを「フルサービスリゾルバー」という。
再帰問い合わせ リゾルバーからの問い合わせ要求を受けたDNSサーバが、他のDNSサーバに問い合わせを行い、その最終的な結果をリゾルバに応答する必要のある問い合わせ。
反復問い合わせ リゾルバから再帰問い合わせを受けたDNSサーバ(DNSキャッシュサーバ)が、再帰問い合わせの結果を返すために、答えを得られるまで繰り返し他のDNSサーバへ行う問い合わせのことであり、その反復問い合わせを受けたDNSサーバは、 自身が管理するゾーン情報(またはキャッシュ情報、または情報がないと)だけを応答するだけでよく、他のDNSサーバに問い合わせをする必要がない。
DNS Changer 感染したコンピュータのDNS設定をユーザに気づかれず勝手に変更してしまうトロイの木馬型マルウェア。
DMZ インタネットなどの外部ネットワークと社内ネットワークの中間につくられるネットワーク上のセグメント(区域)のこと。 外部ネットワークからも内部ネットワークからもファイアウォールなどによって隔離されている。
リソースレコード DNS(ドメインネームシステム)で、あるドメイン名やホスト名の設定を定義したひとまとまりのデータ。そのドメインの権威DNSサーバで管理され、問い合わせに応じて外部に提供される。
ソースポートランダマイゼーション(送信元ポートのランダム化) DNSサーバが問い合わせごとに、フルサービスリゾルバー(キャッシュDNSサーバー)が権威サーバー(権威DNSサーバー)に送る問い合わせパケットのソースポート番号(発信元のポート番号)をランダムに変化させることで、DNSキャッシュポイズニングの攻撃成功率を下げます。多数のポート番号をランダムに使うことにより、攻撃者が偽の応答を注入しにくくなります。
DNSSEC DNSのドメイン応答に電子署名を付加することで正当性や改ざんされていないことを保証するための拡張仕様。DNS Security Extensionsの略で、DNSキャッシュポイズニング攻撃への対策となる。
DNSリフレクション DNSサーバにわざとアクセスを反射(リフレクション)させて攻撃する手法です。送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかけます。送信元IPアドレスを攻撃対象の物に偽装し、DNSサーバに対してアクセスします。このとき、DNSサーバは問い合わせる時よりも、大きなパケットを攻撃対象宛(偽装したIPアドレスの本来の所有者)に返します。このように、DNSの問い合わせにより、送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける手法です。パケットが増幅されて返ってくることからDNSアンプ攻撃とも呼ばれます。
DNSキャッシュポイズニング攻撃 DNSサーバからの名前解決要求があった場合、正常な応答に加えて偽の名前解決情報を付加して送信することで、そのサーバのキャッシュに偽の情報を登録させる攻撃手法。PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する際などに悪用される。DNSSEC導入などの対策がある。
DNS水責め攻撃 開キャッシュサーバ(オープンリゾルバ)、ホームルータに対して、存在しない幾つものサブドメインに対するDNSクエリを発行し、権威DNSサーバへの問合せを意図的に大量発生させて過負荷状態にしてサービス停止に陥いらせる攻撃です(ランダムサブドメイン攻撃)。
サブドメインテークオーバ攻撃 CDNサービス、クラウドサービスを利用する場合にDNSサーバのCNAMEレコードを使って転送することがある。サービス停止後もDNSサーバのCNAMEレコードを削除せずに残しておくと、そのサブドメインを使って攻撃者が詐欺サイトを立ち上げてユーザを誘導してしまう。対策としては、CDNサービス、クラウドサービスの利用を停止したら速やかにCNAMEレコードやAレコードを削除する。
MXレコード Mail eXchangeの略で、そのDNSで管理しているドメイン宛てのメールの配送先となるメールサーバを登録するレコード。
DNS over HTTPS/TLS DNSクエリ(スタブリゾルバーフルサービスリゾルバでやり取りされえる)をHTTPSやTLSのプロトコルで暗号化することで、悪意ある第三者からの盗聴、傍受を防ぐことができる。

【令和0年度・春・午後Ⅰ問1】メールサーバのセキュリティ対策

情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法についてまとめました。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の出題分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、ITパスポート、基本情...

コメント

タイトルとURLをコピーしました