令和3年度(春期)午後1問2の分析|情報処理安全確保支援士
riss
問題・解答は情報処理推進機構(IPA)のページからダウンロードできます。
概要
問題の要約
- A社のネットワーク構成及びFWのフィルタリングルールを示す。
- DNSにおけるリスクと対応の検討を行う。
- 外部DNSサーバがサービス停止になった場合の影響及び攻撃を受けた場合のリスクを検討した。
- 1つ目のリスクとして、DNSリフレクション攻撃とその対策を検討した。
- 2つ目のリスクとして、DNSキャッシュポイズニング攻撃とその対策を検討した。
- 3つ目のリスクとして、中間者攻撃とその対策を検討した。
- 外部DNSサーバにおけるその他のリスクへの対策として、DNSサーバの構成について、2つの案を考えた。
- 1つ目の案は、外部DNSサーバを廃止し、セカンダリの権威DNSサーバをホスティングサービス上に移行し、プライマリの権威DNSサーバとフルサービスリゾルバの機能をDMZに移行するものである。
- 2つ目の案は、外部DNSサーバを廃止し、プライマリの権威DNSサーバ、セカンダリの権威DNSサーバ及びフルサービスリゾルバをホスティングサービス上に移行するものである。
主な論点
- DNSリフレクション攻撃
- DNSキャッシュポイズニング攻撃
- 中間者攻撃
- 権威DNSサーバとフルサービスリゾルバ(キャッシュDNSサーバ)
- プライマリDNSサーバとセカンダリDNSサーバ
- ゾーンファイルとゾーン転送
着眼点
| 問題文 |
| P7表1 A社ドメインの権威DNSサーバ及び再帰的な名前解決を行うフルサービスリゾルバとして使用されている。 類似:令和6年度(春期)問2 |
| 脆弱性 |
| フルサービスリゾルバ(キャッシュDNSサーバ)が外部からの問合せを受け付ける設定になっていると(オープンリゾルバ)、不正な応答レコードがキャッシュされ、DNSキャッシュポイズニングの標的となる。 |
| 対策 |
| ・権威DNSサーバとフルサービスリゾルバ(キャッシュDNSサーバ)は分離し、権威DNSは社外から、フルサービスリゾルバは社内からの通信だけそれぞれ許可する。 ・分離できない場合であっても、外部からの問合せは自社ドメインのみを対象とする再帰的問合せだけに応答するよう設定する。 |
| 問題文 |
| P8 A社の外部DNSサーバがサービス停止になった場合の影響を確認した。 P7表1 外部DNSサーバは、公開Webサーバ及びインターネット上のWebサービスの名前解決を行う。 |
| 脆弱性 |
| A社公開Webサーバの名前解決ができなくなる。(設問1(1)) |
| 対策 |
| プライマリDNSサーバとセカンダリDNSサーバを設置し、一方のDNSサーバのサービスが停止した場合であっても、他方のDNSサーバを利用できるようにする。 |
| 問題文 |
| P6 攻撃者は、送信元のIPアドレスを偽装した名前解決要求を外部DNSサーバに送ることによって、外部DNSサーバを踏み台とし、攻撃対象となる第三者サーバに対し大量のDNSパケットを送り付けるというDoS攻撃を行える(DNSリフレクション攻撃、設問1(2))。 |
| 対策 |
| ・外部DNSサーバを廃止し、DMZに権威DNSサーバとフルサービスリゾルバを移行する(P8)。 ・FWのフィルタリングルールについて、フルサービスリゾルバからインターネットに向けての通信及びインターネットから権威DNSサーバに向けての通信をそれぞれ許可する(説明1(3))。 |
| 問題文 |
| P9 DNSキャッシュポイズニング攻撃が成功すると、攻撃対象のフルサービスリゾルバが管理するリソースレコードのうち、メールサーバのAレコードのIPアドレスが、例えば攻撃者のメールサーバのものに書き換えれれてしまい、電子メールが攻撃者のサーバに送信されてしまう。 |
| 対策 |
| ・インターネットからフルサービスリゾルバへの再帰的な名前解決を拒否する。 ・送信元ポート番号をランダム化する(設問1(5))。 ・DNSSECを導入する(設問1(6))。 |
| 問題文 |
| P9 中間者攻撃によるDNS通信内容の盗聴、改ざんのリスクがある。 |
| 対策 |
| スタブリゾルバとフルサービスリゾルバ間のDNS通信を暗号化するDNS over TLS(DoT)を導入する(設問1(7))。 |
| 問題文 |
| P10 外部DNSサーバを廃止し、外部のホスティングサービス上にDNSサービスを新設して利用することを検討した。 |
| 具体的内容 |
| ・セカンダリの権威DNSサーバをホスティングサービス上に移行し、プライマリの権威DNSサーバとフルサービスリゾルバの機能をDMZに移行する。 ・プライマリの権威DNSサーバ、セカンダリの権威DNSサーバ及びフルサービスリゾルバをホスティングサービス上に移行する。 |
| 問題文 |
| P10 ゾーン転送では、ゾーン情報が流出するリスクがある。 |
| 対策 |
| プライマリDNSサーバからセカンダリDNSに向けた通信及びセカンダリDNSサーバからプライマリDNSに向けた通信を許可し、それ以外は拒否する(設問2(3))。 |
情報処理推進機構(IPA)の講評
出題趣旨
昨今、DoS攻撃を始めとするサイバー攻撃は増加しており、DNSを含めたネットワークのセキュリティの重要性が増している。一方で、DNSサーバには、まだ適切に対策が施されていないものも多く、サイバー攻撃を受け津ケースが増えている。
本問では、ネットワークのセキュリティ対策を題材に、DNSのセキュリティ対策における基本的な知識、及びDNSを適切に設計する能力を問う。
採点講評
問2では、ネットワークのセキュリティ対策を題材に、DNSのセキュリティ対策について出題した。全体として正答率は平均的であった。
設問1(4)は、正答率が低かった、DNSに対する攻撃の仕組みやDNSの仕組みをよく理解してほしい。
設問1(7)は、正答率が低かった。DNS通信を暗号化するDNS over TLSは、DNSのセキュリティ対策にとって重要な技術の一つである。この仕組みを学習してほしい、
設問2(1)は、正答率がやや高かった。DNSサーバをホスティングサービス上に新設した後のシステム構成について正しく理解した上で解答できていたと思われる。
設問2(3)は、正答率がやや高かったが、j~m全てが正答となる解答は少なかった。ゾーン転送要求に対する許可を必要最小限にするためには、そのようなアクセス制御にすればよいかを、ゾーン情報の流れを理解した上で考えるようにしてほしい。