LinuCレベル2 202試験の例題と解説

2.08.3セキュアなDNSサーバーの実現

LinuCレベル２ 202試験の試験範囲から「2.08.3 セキュアなDNSサーバーの実現」についての例題を解いてみます。

Linucレベル2 202試験出題範囲

例題

以下のうち、電子署名の仕組みを用いて、DNSクライアントがDNSサーバから送られてくるDNS情報が改竄されていないことを検証するものはどれか。

chroot jail
TSIG
DNSSEC
DANE

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「3.DNSSEC」です。

DNSSECとは、DNS Security Extensionsの略となります。DNSSECでは、DNSサーバにおいてDNSゾーン情報をKSK(鍵署名鍵)/ZSK(ゾーン署名鍵)という2つの鍵で署名します。
レコード情報を受け取ったDNSクライアントでは、公開鍵を用いてそれを検証することでサーバからの応答が改竄されていないことを確認します。また、利用にはサーバ・クライアントともDNSSECに対応している必要があります。
通常のDNS通信に比べると複雑な仕組みとなりますが、鍵(KSK/ZSK)の作成方法・種類/役割など把握しておきましょう。なお、正解以外の選択肢については、以下となります。

chroot jail
攻撃などでnamed権限を取得されたことを前提に最小の権限でnamedを起動する仕組み

TSIG
冗長構成のDNSサーバ間におけるゾーン転送をセキュアに行う仕組み

DANE
DNSを用いて通信相手の認証を行うための仕組み