平成31年春期試験問題 午前問40
問40解説へ
DNSSECについての記述のうち,適切なものはどれか。
- DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって,DNS問合せへの不正な応答を防止する。
- DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって,DNSを悪用したDoS攻撃を防止する。
- 共通鍵暗号方式によるメッセージ認証を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
- 公開鍵暗号方式によるデジタル署名を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
正解 エ問題へ
広告
解説
DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECでは名前解決の応答パケットにデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。
DNSキャッシュポイズニング攻撃では、攻撃者が偽の応答パケットをキャッシュサーバに送り込み、それをキャッシュサーバが登録してしまうことによって攻撃が成立するので、DNSSECの導入はDNSキャッシュポイズニング攻撃への有効な対策となります。しかし、各DNSサーバのDNSSEC対応、電子署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなど、さまざまな課題があり、普及に当たっては今しばらく時間が必要です。
したがって適切な記述は「エ」です。
DNSキャッシュポイズニング攻撃では、攻撃者が偽の応答パケットをキャッシュサーバに送り込み、それをキャッシュサーバが登録してしまうことによって攻撃が成立するので、DNSSECの導入はDNSキャッシュポイズニング攻撃への有効な対策となります。しかし、各DNSサーバのDNSSEC対応、電子署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなど、さまざまな課題があり、普及に当たっては今しばらく時間が必要です。
したがって適切な記述は「エ」です。
- ソースポートランダマイゼーションの説明です。
- DoS攻撃やキャッシュポイズニング攻撃を防止するための対策です。
- メッセージ認証では通信相手の正当性を確認できません。
- 正しい。DNSSECの説明です。