平成31年春期試験問題 午前問40

DNSSECについての記述のうち,適切なものはどれか。

  • DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって,DNS問合せへの不正な応答を防止する。
  • DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって,DNSを悪用したDoS攻撃を防止する。
  • 共通鍵暗号方式によるメッセージ認証を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
  • 公開鍵暗号方式によるデジタル署名を用いることによって,正当なDNSサーバからの応答であることをクライアントが検証できる。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
DNSSEC(DNS Security Extensions)は、DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECでは名前解決の応答パケットにデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。
40.png
DNSキャッシュポイズニング攻撃では、攻撃者から送り付けられた偽の応答パケットをキャッシュサーバが登録してしまうことによって攻撃が成立します。このため、DNSSECを導入して応答パケットの正当性をチェックすることが根本的な対策となります。しかし、各DNSサーバのDNSSEC対応、デジタル署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなどいくつかの課題があるため、普及に当たって今しばらく時間が必要な状況です。

したがって適切な記述は「エ」です。
  • ソースポートランダマイゼーションの説明です。
  • DoS攻撃やキャッシュポイズニング攻撃を防止するための対策です。
  • メッセージ認証では通信相手の正当性を確認できません。
  • 正しい。DNSSECの説明です。

この問題の出題歴


Pagetop