DNSSEC
DNSSECの特徴、過去問例です。
特徴
- DNSSEC(DNS Security Extensions)とは、DNSの正当性を保証するための拡張仕様であり、DNSサーバからの応答にディジタル署名を付加することで、正当な管理者によって生成され(真正性)、改ざんされていない(完全性)ことを検証することが可能となる
- ディジタル署名はRRSIGレコード、公開鍵はDNSKEYレコード、などリソースレコードに格納される。
- DNSキャッシュサーバが権威DNSサーバ(DNSコンテンツサーバ)に問合せを行い、ディジタル署名を用いて正当性を検証する
- DNSキャッシュポイズニング攻撃などの対策として有効
過去問
情報処理安全確保支援士試験 令和2年度 秋期 午前2 問15
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午前2 問15(一部、加工あり)】
DNSSECで実現できることはどれか。
- DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
→正解 - 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止
→DNSSECには暗号化の仕組みはありません。
ゾーン情報の暗号化には、DNS over TLS(DoT)やDNS over HTTPS(DoH)が用いられます。 - 長音”ー”と漢数字”一”などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止
→類似ドメインに対する技術的な対策はありません。
紛争処理機関に対してドメイン名紛争処理を申し立て、取消や移転処分を求めるのが有効です。 - 利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知
→DNSSECでは実現できません。
URLの入力誤りにより偽サイトに誘導する行為は、タイポスクワッティングと呼ばれます。
情報処理安全確保支援士試験 令和元年度 秋期 午前2 問18
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問18(一部、加工あり)】
DNSSECに関する記述として、適切なものはどれか。
- DNSサーバへのDoS攻撃を防止できる。
- IPsecによる暗号化通信が前提となっている。
- 代表的なDNSサーバの実装であるBINDの代替として使用する。
- ディジタル署名によってDNS応答の正当性を確認できる。
→正解
ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問19
DNSSECの機能はどれか。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問19】
ア DNSキャッシュサーバの設定によって再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。
イ DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
ウ ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって、名前解決の可用性を高める。
エ 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定して認証する。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_am2_qs.pdf
ア DNSキャッシュサーバの設定によって再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。
イ DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
正解です。
ウ ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって、名前解決の可用性を高める。
エ 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定して認証する。