LinuCレベル3 303試験の例題と解説
325.4DNS と暗号化
今回は303試験の試験範囲から「325.4 DNS と暗号化」についての例題を解いてみます。
■トピックの概要
このトピックの内容は以下の通りです。
<325.4 DNS と暗号化>
重要度 5
<説明>
BIND DNSサービスの使用方法と設定上のセキュリティ問題について経験と知識があること。
<主要な知識範囲>
・BIND v9サービス
・BIND サービスのぜい弱性
・chroot 環境
<重要なファイル、用語、ユーティリティ>
・TSIG
・BIND ACLs
・named-checkconf
■例題
TSIGの説明として間違っているものを選びなさい。
1. TSIGはゾーン転送で利用される
2. あらかじめマスターとスレーブの間で鍵を共有しておく必要がある
3. 認証に利用され、認証できないスレーブにはゾーン情報が転送されない
4. ゾーン転送の内容が暗号化される
※この例題は実際のLinuC試験とは異なります。
解答と解説
答えは4. ゾーン転送の内容が暗号化される です。
ゾーン転送の制限はIPアドレスで許可するのが基本ですが、IPアドレス偽装などの攻撃から守るには不十分です。そこで考えられたのがあらかじめマスターとスレーブのDNSに共有鍵を配置しておく鍵方式の認証です。
TSIG(Transaction Signature)は、共有鍵からハッシュ値を生成し、ゾーン転送のやり取りを行うメッセージ内に埋め込んでおきます。共有鍵から生成されるハッシュ値は、共有鍵が少しでも異なっていればまったく違うハッシュ値となるため、相互が同じ共有鍵を持っていることを保証します。このようにして、もしマスターのIPアドレスを偽装したなりすましなどがあっても、不正なゾーン情報をスレーブが受け取ることはありません。325.4 DNS と暗号化