325.4DNS と暗号化

今回は303試験の試験範囲から「325.4 DNS と暗号化」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜325.4 DNS と暗号化＞
重要度 5

＜説明＞
BIND DNSサービスの使用方法と設定上のセキュリティ問題について経験と知識があること。

＜主要な知識範囲＞
・BIND v9サービス
・BIND サービスのぜい弱性
・chroot 環境

＜重要なファイル、用語、ユーティリティ＞
・TSIG
・BIND ACLs
・named-checkconf

■例題
BINDを使ったDNSのセキュリティの説明として間違っているものを選びなさい。

1. chrootはBINDのプロセスが参照できるファイルシステムを限定する仕組みである
2. TSIGはゾーン転送を特定のスレーブにのみ許可する仕組みである
3. DNSSECはゾーン情報の転送を暗号化する仕組みである
4. ACLはDNSのゾーン情報を特定のホストにだけ検索可能にする仕組みである

※この例題は実際のLinuC試験とは異なります。

DNSはドメイン名を取得してインターネット上でサービスを行うために必須のサービスであるため、セキュリティ攻撃にさらされることが多いサービスでもあります。

DNSへの攻撃は、BINDのようなDNSサービスを実現するソフトウェア、そしてDNSサービスが動作しているホストを乗っ取る目的と、ゾーン情報を改ざんしてとする攻撃に大別できます。改ざんは、たとえばフィッシング詐欺を目的としたサイトへの不正な誘導などが考えられます。

chroot機能を使うと、万が一DNSサービスが攻撃され、乗っ取られてしまった場合でも、プロセスがアクセスできるファイルシステムを特定の範囲内に収めることで、被害を拡がらなくする仕組みです。この場合、chrootでルートディレクトリとして指定されたディレクトリ以下に、プロセスが動作するために必要となる最低限のファイル、ディレクトリを用意する必要があります。

TSIGは、マスタースレーブでゾーン情報を転送する際の認証を提供する仕組みです。事前に共有された鍵を持つスレーブのみがマスターからゾーン情報を転送できます。

DNSSECは、ゾーン情報の改ざんを防ぐ仕組みです。正しいゾーン情報（正確にはゾーン情報のハッシュ）を秘密鍵で暗号化し、電子署名としてゾーン情報に添付します。ゾーン情報自体は暗号化されず平文で送られていますが、電子署名を確認することでゾーン情報が改ざんされていないことが確認できます。
DNSSECを実現するには上位のゾーンに自身の公開鍵に対する電子署名を行ってもらう必要があるため、準備や設定が煩雑になりますが、今後重要なセキュリティ対策として必要になってくるでしょう。

ACLは、ゾーン情報の検索を特定のホストにのみ絞り込む仕組みです。たとえば外部からの検索とLAN内部からの検索を区別するなどの設定に利用できます。