情報処理安全確保支援士試験 令和3年度 春期 午後1 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問2(一部、加工あり)】
[ホスティングサービス上で新設するDNSサーバの利用]
M主任は、外部DNSサーバ上におけるその他のリスクへの対策として、外部のホスティングサービス上にDNSサーバを新設して利用することを検討した。
M主任は、DNSサーバの構成について、二つの案を考えた。
一つ目の案は、外部DNSサーバを廃止した上で、DNS-KとDNS-FというDNSサーバをDMZ上に、DNS-SというDNSサーバをX社のホスティングサービス上に新設し、③プライマリの権威DNSサーバの機能をDNS-Kに、セカンダリの権威DNSサーバの機能をDNS-Sに移行し、フルサービスリゾルバの機能をDNS-Fに移行するものである。M主任は、DNS-KとDNS-Sのゾーン情報を同期するために、DNS-Kでのゾーン転送の内容を示す設定ファイル、正引きゾーンファイル、逆引きゾーンファイルを設定することにした。M主任が設定することにしたDNS-Kの正引きゾーンファイルを図2に示す。
なお、X社のホスティングサービスに用いるドメイン名はx-sha.co.jp、DNS-Sのホスト名はdns-sである。
DNS-Kのホスト名はdns-k、公開Webサーバのホスト名はwww、メールサーバのホスト名はmailであり、各サーバのIPアドレスはx1.y1.z1.t1〜x1.y1.z1.t3である。
ゾーン転送では、ゾーン情報が流出するリスクがある。M主任は、この対策として、DNS-KとDNS-Sについて、ゾーン転送要求に対する許可を必要最小限にするために、表4の設定にすることにした。
二つ目の案は、外部DNSサーバを廃止した上で、DNS-HK、DNS-S、DNS-HFというDNSサーバをX社のホスティングサービス上に新設し、プライマリの権威DNSサーバの機能をDNS-HKに、セカンダリの権威DNSサーバの機能をDNS-Sに、フルサービスリゾルバの機能をDNS-HFに移行するものである。DNS-KとDNS-FのDMZへの設置は実施しない。この案の場合、FWのフィルタリングルールを表5のように変更する必要がある。
その後、A社では、更に検討を進め、外部DNSサーバをX社のホスティングサービスに移行することにした。
下線③を実施することによって低減できるリスクを30字以内で具体的に述べよ。:権威DNSサーバがサービス停止になるリスク
「一つ目の案は、外部DNSサーバを廃止した上で、DNS-KとDNS-FというDNSサーバをDMZ上に、DNS-SというDNSサーバをX社のホスティングサービス上に新設し、③プライマリの権威DNSサーバの機能をDNS-Kに、セカンダリの権威DNSサーバの機能をDNS-Sに移行し、フルサービスリゾルバの機能をDNS-Fに移行するものである。」
外部DNSサーバ上におけるその他のリスクへの対策について示された案ですが、これまでの外部DNSサーバ1台の構成から、権威DNSサーバの機能を担うDNS-Kとフルサービスリゾルバの機能を担うDNS-Fに分離し、されに権威DNSサーバの機能はプライマリのDNS-KとセカンダリのDNS-Sの2台に分散しています。
権威DNSサーバはA社のDMZ上と、X社のホスティングサービス上の物理的に離れた場所に配置されることになります。
これにより低減できるリスクとしては、権威DNSサーバの災害や故障、セキュリティ攻撃などを起因とするサービス停止になるリスクが挙げられます。
h:dns-s.x-sha.co.jp
図2(DNS-Kの正引きゾーンファイル(抜粋))のNSレコードである「IN NS dns-k.a-sha.co.jp」は、プライマリの権威DNSサーバであるDNS-Kを示すものです。
これに続く2台目のNSレコードとしては、セカンダリの権威DNSサーバであるDNS-Sを示すものになるので、「IN NS dns-s.x-sha.co.jp」となります。
i:mail.a-sha.co.jp
MXレコードの情報ですが、メールサーバのホスト名はmailでA社に設置しているため、「IN MX 10 mail.a-sha.co.jp」となります。
j:拒否、k:許可、l:拒否、m:拒否
表4(ゾーン転送要求に対する許可を必要最小限にするための設定)では、ゾーン転送要求元とゾーン転送要求先として、DNS-KとDNS-Sの組み合わせで許可・拒否を定義しています。
ゾーン転送に関して確認すると、直前に「M主任は、DNS-KとDNS-Sのゾーン情報を同期するために、DNS-Kでのゾーン転送の内容を示す設定ファイル、正引きゾーンファイル、逆引きゾーンファイルを設定することにした。」とあり、ゾーンファイル自体はDNS-Kで設定されていることが分かります。
したがって、ゾーン転送要求はDNS-SからDNS-Kに対して要求される必要があり、それ以外の通信を無効にすればゾーン情報が流出するリスクを低減することが可能であると考えることができそうです。
- (j)ゾーン転送要求元がDNS-K、ゾーン情報要求先がDNS-Sなので、「拒否」となります。
- (k)ゾーン転送要求元がDNS-S、ゾーン情報要求先がDNS-Kなので、「許可」となります。
- (l)(m)ゾーン転送要求元がDNS-K、DNS-S以外のIPアドレスなので、「拒否」となります。
n:プロキシサーバ、o:DNS-HF、p:メールサーバ
表5(二つ目の案の場合のFWのフィルタリングルール)で変更対象となっている項番5、6について、元のルールである表2(FWのフィルタリングルール)と比較すると、送信元と宛先が外部DNSサーバとインターネットの組み合わせとなっています。
直前の問題文から、外部DNSサーバを廃止して、DNS-HK(プライマリの権威DNSサーバ)、DNS-S(セカンダリの権威DNSサーバ)、DNS-HF(フルサービスリゾルバ)をX社のホスティングサービス上に配置するとしており、A社のDMZへの設置がなくなることになります。
図1(A社のネットワーク構成)にあるように、FWは、インターネットとA社(DMZ、内部サーバセグメント、PCセグメント)間の通信を制限するものとなっていて、外部DNSサーバがDMZからなくなることでこれに関するフィルタリングルールを変更する必要があります。
外部DNSサーバの通信に関して改めて確認すると、表1(図1中の主な機器とその概要)に、「A社ドメインの権威DNSサーバ及び再帰的な名前解決を行うフルサービスリゾルバとして使用されている。」、注2に「フルサービスリゾルバとしては、プロキシサーバとメールサーバが使用している。」とあります。
これらの情報から、改めて表2と表5のフィルタリングルールを確認していきます。
項番5は、外部DNSサーバからインターネットへのDNS通信を許可するものでしたが、これはフルサービスリゾルバとして必要となるもので、DNS-HFとしてDMZからなくなることで不要となるルールです。
項番6は、インターネットから外部DNSサーバへのDNS通信を許可するものでしたが、これは権威DNSサーバとして必要となるもので、これもDNS-HK、DNS-SとしてDMZからなくなることで不要となります。
一方、上記のとおり、フルサービスリゾルバをプロキシサーバとメールサーバが使用する必要があり、DMZからX社に移行するためのフィルタリングルールの追加が必要になってきます。
送信元がプロキシサーバ、メールサーバで、宛先がDNS-HFであるDNS通信を許可するフィルタリングルールを追加することになります。