HOMEサンプル問題・例題解説202試験の例題と解説207.3 DNSサーバを保護する

202試験の例題と解説

207.3DNSサーバを保護する

202試験の試験範囲から「207.3 DNSサーバを保護する」についての例題を解いてみます。
このテーマは重要度2なので、DNS(BIND)をセキュアに稼働させるためのパラメータや機能についてしっかり把握しておきましょう。

■トピックの概要
このトピックの内容は以下の通りです。

<207.3 DNSサーバを保護する>
重要度 2

<説明>
DNSサーバをroot以外のユーザとしてchroot jail環境で実行するよう設定する。これには、DNSサーバ間で安全なデータ交換を行うことも含まれる。

<主要な知識範囲>
・BIND 9の設定ファイル
・chroot jail環境で稼働するようBINDを設定する
・forwarders文を使用してBINDの構成を分割する
・TSIG(Transaction Signature)の設定と利用
・DNSSEC および基本的なツールについて知っている
・DANE および関連レコードについて知っている

<重要なファイル、用語、ユーティリティ>
・ /etc/named.conf
・/etc/passwd
・DNSSEC
・dnssec-keygen
・dnssec-signzone

■例題
以下のうち、電子署名の仕組みを用いて、DNSクライアントがDNSサーバから送られてくるDNS情報が改竄されていないことを検証するものはどれか。

1.chroot jail
2.TSIG
3.DNSSEC
4.DANE

※この例題は実際の試験問題とは異なります。

解答と解説

答えは 「3.DNSSEC」 です。

DNSSECとは、DNS Security Extensionsの略となります。
DNSSECでは、DNSサーバにおいてDNSゾーン情報をKSK(鍵署名鍵)/ZSK(ゾーン署名鍵)という2つの鍵で署名します。
レコード情報を受け取ったDNSクライアントでは、公開鍵を用いてそれを検証することでサーバからの応答が改竄されていないことを確認します。

また、利用にはサーバ・クライアントともDNSSECに対応している必要があります。
通常のDNS通信に比べると複雑な仕組みとなりますが、鍵(KSK/ZSK)の作成方法・種類/役割など把握しておきましょう。

なお、正解以外の選択肢については、以下となります。
-------
chroot jail:攻撃などでnamed権限を取得されたことを前提に最小の権限でnamedを起動する仕組み
TSIG:冗長構成のDNSサーバ間におけるゾーン転送をセキュアに行う仕組み
DANE:DNSを用いて通信相手の認証を行うための仕組み

■例題解説提供者
鯨井 貴博 氏(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)
  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ