DNSSEC

 DNSSECの特徴、過去問例です。

特徴

  • DNSSEC(DNS Security Extensions)とは、DNSの正当性を保証するための拡張仕様であり、DNSサーバからの応答にディジタル署名を付加することで、正当な管理者によって生成され(真正性)、改ざんされていない(完全性)ことを検証することが可能となる
  • ディジタル署名はRRSIGレコード、公開鍵はDNSKEYレコード、などリソースレコードに格納される。
  • DNSキャッシュサーバが権威DNSサーバ(DNSコンテンツサーバ)に問合せを行い、ディジタル署名を用いて正当性を検証する
  • DNSキャッシュポイズニング攻撃などの対策として有効

過去問

情報処理安全確保支援士試験 令和元年度 秋期 午前2 問18

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問18(一部、加工あり)】

DNSSECに関する記述として、適切なものはどれか。

  1. DNSサーバへのDoS攻撃を防止できる。
  2. IPsecによる暗号化通信が前提となっている。
  3. 代表的なDNSサーバの実装であるBINDの代替として使用する。
  4. ディジタル署名によってDNS応答の正当性を確認できる。
    →正解

ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問19

DNSSECの機能はどれか。

ア DNSキャッシュサーバの設定によって再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。
イ DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
ウ ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって、名前解決の可用性を高める。
エ 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定して認証する。

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問19】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_am2_qs.pdf

ア DNSキャッシュサーバの設定によって再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。
イ DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
 正解です。
ウ ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって、名前解決の可用性を高める。
エ 共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定して認証する。