LinuCレベル3 303試験の例題と解説
主題325暗号化
325.4DNSと暗号化
LinuCレベル3 303試験の出題範囲から「325.4 DNSと暗号化」についての例題を解いてみます。
このテーマは、セキュアなDNSシステムの知識と設定・トラブルシュートに関する内容が含まれます。重要度も5と高いので、しっかりと理解しておきましょう。
例題
DNSSECで使用されるリソースレコードに関する記述として、最も適切なものはどれですか?
- DSレコードは、ゾーンの信頼の連鎖を確立するために、親ゾーンが子ゾーンのDNSKEYレコードのハッシュを保持するレコードです。
- RRSIGレコードは、DNSゾーン内の個々のリソースレコードセット(RRset)の真正性を検証するために使用される、公開鍵情報を含むレコードです。
- NSECレコードは、特定のレコードが存在しないことを否定的に証明するために使用され、ゾーン内のすべてのレコードの名前をリストします。
- DNSKEYレコードは、ゾーン署名鍵(ZSK)と鍵署名鍵(KSK)の秘密鍵情報を含むレコードです。
※この例題は実際の試験問題とは異なります。
解答と解説
正解は、「1. DSレコードは、ゾーンの信頼の連鎖を確立するために、親ゾーンが子ゾーンのDNSKEYレコードのハッシュを保持するレコードです。」となります。
DS(Delegation Signer)レコードは、親ゾーンと子ゾーンの間の信頼の連鎖を確立するために使用されます。親ゾーンに設定され、子ゾーンの公開鍵(DNSKEY)のハッシュ情報を保持します。
DNSSEC(Domain Name System Security Extensions)は、DNSに対しデータ作成元の認証やデータの完全性を確認できるように仕様を拡張するものです。DNSSECによりデータの偽装を検知することができるようになり、DNSキャッシュポイズニングなどのサイバー攻撃の防止やDNS回答に対する信頼性の確保が可能となります。DNSSECでは、従来のDNSプロトコルに対し、DNS Public Key(DNSKEY)、Resource Record Signature(RRSIG)などのリソースレコードが追加されています。データ作成元は、これらのレコードを用いて署名を行い、データを参照する側のDNSリゾルバ(クライアント)は、送られてきたデータの署名を検証することで、情報が正しいものかどうかを判断することができるようになります。
なお、その他の選択肢は、正しくは以下となります。
RRSIG(Resource Record Signature)レコードはデジタル署名情報を含みますが、公開鍵情報を含むのはDNSKEYレコードです。
NSEC(Next Secure)レコードは、次の存在するレコード名を指し示すことで、特定のレコードが存在しないことを証明しますが、ゾーン内のすべてのレコード名をリストするわけではありません。これはゾーン列挙のリスクを伴います。
DNSKEYレコードは公開鍵情報を含みます。秘密鍵はサーバー内でセキュアに管理されます。
また、DNSSECについては以下で詳細を確認できます。
https://www.nic.ad.jp/ja/newsletter/No43/0800.html
例題作成者
鯨井 貴博 (LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 ゼウスITトレーニングセンター)