目次
問題文
DNSサーバで管理されるネットワーク情報の中で,外部に公開する必要のない情報が攻撃者に読み出されることを防止するための,プライマリDNSサーバの設定はどれか。
ア SOAレコードのシリアル番号を更新する。
イ 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ ゾーン転送を許可するDNSサーバを限定する。
エ ラウンドロビン設定を行う。
解説
解答
ウ
この問題は DNSサーバのゾーン転送制御 に関する出題です。
ア:SOAレコードのシリアル番号を更新する
SOA(Start of Authority)レコードのシリアル番号は、ゾーン情報の更新状況を示すものです。
セカンダリDNSサーバはシリアル番号を見て、プライマリとの情報が古くなっていれば更新を行います。
これはあくまで同期管理のための情報であり、攻撃者への情報漏えい防止には直接関係しません。
イ:外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する
リソースレコードのキャッシュ時間(TTL値)を短くすると、キャッシュDNSサーバが外部へ返す情報の有効期限が短くなります。
これは情報更新の反映を早める効果はありますが、ゾーン転送による外部への不必要な情報漏えいを防ぐ対策にはなりません。
ウ:ゾーン転送を許可するDNSサーバを限定する
これが正解です。
ゾーン転送は、プライマリDNSサーバがセカンダリDNSサーバに対してネットワーク情報(ドメイン内の全リソースレコード)をまとめて渡す仕組みです。
本来、セカンダリDNSとの冗長化のために使われますが、制御しないと攻撃者がゾーン転送を要求して内部のネットワーク構造やホスト情報を丸ごと取得できてしまいます。
したがって、プライマリDNSサーバでは ゾーン転送を許可する相手を正規のセカンダリDNSサーバのみに制限する設定 が必須です。
エ:ラウンドロビン設定を行う
ラウンドロビンは、1つのホスト名に対して複数のIPアドレスを割り当て、問い合わせがあるたびに順番に異なるアドレスを返す方式です。
負荷分散のための手法であり、情報漏えい防止策とは無関係です。
