応用情報技術者 試験情報＆徹底解説

基本的なことかと思いますが1人で混乱しているため、質問させて頂きます。

●質問
応用情報午後のセキュリティなどの試験問題で、システム構成として、DNSサーバがDMZ上にいる構成をよく見かけます。
DNSサーバは、一般的になぜDMZ上に配置する必要性があるのか？

●自身の理解
DNSサーバがDMZにいる必要性は、内部LANのPCから外部（インターネット上）のドメインの名前解決をしたい時に、PCの代わりに外部に問い合わせして解決するため、と理解しています。（DNSサーバは外からの通信は受け付けず、内部のリクエストに基づいてのみ外部に問い合わせして、その結果を受け取ると理解しています。）

仮に、この理解があっている場合、内部LAN側にDNSサーバを置いて、別途DMZ上にプロキシサーバを立てて、プロキシサーバが外部とやり取りする構成にした方が安全な構成ではないか？、と疑問に感じています。

DNSを外部（インターネット側）に晒すと、不要に、インターネット側からの攻撃リスクが高まると考えているためです。

なかなかレベルの高いご質問ですね。安全確保支援士のレベルに少し踏み込みます。

DNSサーバには、DNSキャッシュサーバとDNSコンテンツサーバがあります。

DNSキャッシュサーバは、内部のPCやプロキシサーバやメールサーバから依頼されて、外部のドメインの名前解決をするものです。

DNSコンテンツサーバは、外部のDNSキャッシュサーバからの内部のドメインの名前解決に応じるもので、DMS上に置く必要があります。

「●自身の理解」にあるのは、DNSキャッシュサーバです。

以下は、DNSサーバの代表的な構成パターンです。

【パターン1】
DMZ上にDNSコンテンツサーバを置き、内部LANにDNSキャッシュサーバを置く。この場合、DNSキャッシュサーバが外部からの攻撃を受けないように、FWで遮断する。

【パターン2】
DNSキャッシュサーバとDNSコンテンツサーバを分離できない場合、これらを同居させたDNSサーバ1台をDMZ上に置く。この場合、DNSキャッシュサーバが外部からの攻撃を受けやすくなる。

助け人さん

先日も質問にご回答頂きましたが、今回もまたご回答頂きました。大変感謝しております。ありがとうございます。

ひと口にDNSサーバと言っても、DNSキャッシュサーバとDNSコンテンツサーバというそれぞれの役割があるということで、本件の理解を深めることができました。