LinuCレベル2 202試験の例題と解説
2.08.3セキュアなDNSサーバーの実現
202試験の試験範囲から「2.08.3 セキュアなDNSサーバーの実現」についての例題を解いてみます。
例題
以下のうち、電子署名の仕組みを用いて、DNSクライアントがDNSサーバから送られてくるDNS情報が改竄されていないことを検証するものはどれか。
- chroot jail
- TSIG
- DNSSEC
- DANE
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「3.DNSSEC」 です。
DNSSECとは、DNS Security Extensionsの略となります。
DNSSECでは、DNSサーバにおいてDNSゾーン情報をKSK(鍵署名鍵)/ZSK(ゾーン署名鍵)という2つの鍵で署名します。
レコード情報を受け取ったDNSクライアントでは、公開鍵を用いてそれを検証することでサーバからの応答が改竄されていないことを確認します。
また、利用にはサーバ・クライアントともDNSSECに対応している必要があります。 通常のDNS通信に比べると複雑な仕組みとなりますが、鍵(KSK/ZSK)の作成方法・種類/役割など把握しておきましょう。
なお、正解以外の選択肢については、以下となります。
-------
chroot jail:攻撃などでnamed権限を取得されたことを前提に最小の権限でnamedを起動する仕組み
TSIG:冗長構成のDNSサーバ間におけるゾーン転送をセキュアに行う仕組み DANE:DNSを用いて通信相手の認証を行うための仕組み
例題解説提供者
鯨井 貴博 氏(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)