LinuCレベル3 303試験の例題と解説

325.4DNSと暗号化

LinuCレベル３ 303試験の出題範囲から「325.4 DNSと暗号化」についての例題を解いてみます。
今回は、DNSSECについて取り上げます。DNSSECの基本的な役割を確認しましょう。

Linucレベル3 303試験出題範囲

例題

DNSSECについて間違っている説明を１つ選択してください。

名前解決のやり取りを暗号化することで通信のセキュリティを高める技術である。
DNSの偽造や改ざんを防ぐためのセキュリティ拡張機能である。
デジタル署名を使用してDNSレコードを検証し、データの完全性を確保する。
DoS攻撃に対して有効な対策にはならない。

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「1. 名前解決のやり取りを暗号化することで通信のセキュリティを高める技術である。」です。

DNSSECは公開鍵暗号を用いた電子署名を追加し、出自の保証と完全性の保証を行うセキュリティ技術です。通常のDNS応答の場合、キャッシュDNSサーバは権威DNSサーバからの応答を以下によって正常と判断します。

IPアドレス
ポート番号
クエリ情報
トランザクションID

攻撃者が上記を偽装して本来のDNS権威サーバより早く応答を返してしまった場合、誤った応答を受け取ってしまう可能性があります。また一度受け取ってしまった場合、TTLの期間中は応答結果を保持するため一定期間、偽の情報をクライアントに返してしまいます。

上記のような攻撃に対し、DNSSECを利用することでDNSキャッシュサーバがDNS権威サーバからの受け取った署名を検証し、偽装されているかどうかを確認できるようになります。

例題の選択肢について解説をします。

１．名前解決のやり取りを暗号化することで通信のセキュリティを高める技術である。
この説明は誤っています。DNSSECは名前解決の暗号化を直接的には提供しません。

DNSSECの主な目的は、DNSデータの完全性を保証することです。
DNSSECはデジタル署名を使用してDNSレコードを保護し、改ざんや偽造されたデータを検出する仕組みを提供します。

２．DNSSECは、DNSの偽造や改ざんを防ぐためのセキュリティ拡張機能である。
この説明は正しいです。

DNSSECは、DNSの偽造や改ざんを防ぐために開発されたセキュリティ拡張機能です。デジタル署名によってDNSレコードが正当であることを検証し、DNS情報の改ざんを防止します。

３．DNSSECは、デジタル署名を使用してDNSレコードを検証し、データの完全性を確保する。
この説明は正しいです。

DNSSECは、デジタル署名を使ってDNSレコードの完全性を確保します。DNSSECでは、DNSレコードの署名を行い、検証することで、情報の改ざんや偽装を検知します。

４．DNSSECは、DoS攻撃に対して有効な対策にはならない。
この説明は正しいです。

DNSSECは、DNSレコードの完全性を保護するための技術であり、DoS（Denial of Service）攻撃に対して直接的な対策を提供するものではありません。DoS攻撃は通常、ネットワークのリソースを過負荷にすることにより、正規のユーザがサービスにアクセスできなくなる攻撃です。DNSSECは改ざんに対する保護を提供することに焦点を当てており、DoS攻撃自体を防ぐ機能は持っていません。