前回の続き。受かる受からないもだけど、復習が大事。結局のところ、自分の知識と能力として獲得できなければ意味がない。
特に今回の問2の問題(DNSリフレクション攻撃があったら、DNSコンテンツサーバとキャッシュサーバを分ける)というのは、実務ではかなり役立ちそうなので、確実にモノにしておく。
※ なおTACの回答はこちら。
https://www.tac-school.co.jp/kaitousokuhou/downloads/14_R3S_SC%E8%A7%A3%E7%AD%94%E4%BE%8B.pdf
自分の答え(赤は明らかな間違い)(青が正しいと思われる)
問2
設問1
(1) インターネットから名前解決ができずサーバが公開できなくなる
(2) DNSスプーフィング(DNSリフレクション、DNS amp)
(3) a ア b イ
(4) c MX(A)
(5) d A社のPCからのものに限定(ランダム化して攻撃しにくく)
(6) e DNS-CAA(DNSSEC)
(7) f エ g カ
設問2
(1) DNS-Kが停止に陥って名前解決できなくなるリスク
(2) h カ i ク
(3) j 許可 k 拒否 l 拒否 m 拒否
(4) n オ o ア p カ
問3
設問1
a セキュリティパッチに不具合がないか
設問2
L2SW1
設問3
(1) b エ
(2) c イ
(3) 内部システムLANからの起動パケットの通過を許可する設定
設問4
(1) (2)の活動に必要なもの:PCのIPアドレス
(4)の活動に必要なもの:PCのMACアドレス
(2) エージェントによりPC上で起動する全てのプロセスを監視し夜間の不審な振る舞いをしたPCは全ての通信を遮断する(54字)
全体として「具体的に述べよ」とあるところは必ず文中の言葉を使い、文中にある機器名に対して「何を」「どうするか」を明確になるよう回答した。
問2
設問1
(1) インターネットから名前解決ができずサーバが公開できなくなる
(1)の問題文では、「本文中の下線①について、A社の公開Webサーバへの影響を、30字以内で述べよ」と言っている。答えの主旨としては「Webサービスが止まって外部へのWebサービスの提供ができなくなる」ことを答えられればいいはず。
ここで、問2の設問の冒頭(P7)を見ると、「A社は従業員500名の…小売店であり、インターネットを介して消費者向けに商品を宣伝している」とあるから、ここの言葉を使うとすれば答えは「商品を宣伝できなくなる」を盛り込んでも良さそうに思える。
けど、そもそもWebサービスができることは商品の宣伝以外にもあり得るわけで、それに絞る必要は感じない。かつ、問題文は公開Webサーバへの影響を述べよ、と言っているわけで、「商品を宣伝できない」というのは「(公開)サーバへの影響」というには、主語がおかしい。
そして何より、問題文は「具体的に述べよ」とは言っておらず、単に「述べよ」と言っているだけだから、問題文の言葉を使わずとも、自分の表現で良かろう。
問題文は「影響を述べよ」と言っているから、公開Webサーバに(←影響を受ける対象は問題文で指定されている)どんな影響があるのかを明確にする(公開できなくなることを断言する)よう意識して回答した。
ここは、他の人の回答(5ch)を見ていても、色々と解答が混じっているようだ。けど、大勢は
「DNSリフレクター攻撃」
「DNSリフレクション攻撃」
「DNS amp攻撃」
「DNS アンプ攻撃」
のどれかのようで、おそらくそれが正解なのだろう。
自分はDNSスプーフィング攻撃と解答してしまった。おそらく不正解。
スプーフは「騙す」の意味のようだ。
DNSスプーフィングというと要は騙しパケットを投げることで、それだと(その典型としての)DNSキャッシュポイゾニングの意味になってしまうらしい。
ところがどっこい、これが「IPスプーフィング」だと、こういう過去問がある(午前Ⅱ)。
これって今回の問題に酷似してるよね…
↑図の「Y.Y.Y.Y」サーバが騙されるDNSサーバだとすれば、それをもって攻撃対象サーバに大量トラフィックを発生させられるわけで。この過去問がアタマにあったので、つい「***スプーフィング」と解答してしまったが、どうやら不正解のようだ(部分点くらいくれないかなぁ)。
問2
設問1
(3) a ア b イ
この(3)は、かなりの良問と見た。DNSの仕組みをしっかりと理解していないと解答できない。かく言う自分もDNSの知識が曖昧なので、本当に aア bイ でよいのかは自信がない。
しかし、以下の検討を踏まえるとaア bイ が正しいだろうと考えざるをえない。
(検討)まずは問題文を見返す。
DNS-K が権威サーバ
この記事がすごく分かりやすい。
この記事にある
コンテンツ・サーバが、問題文にあるDNS-K
そうすると
コンテンツ・サーバ=DNS-Kを(DMZに置いて)インターネットに見せる
キャッシュ(リゾルバ)=DNS-Fはインターネットから切断する
が正しい。
ここで注意なのは
キャッシュ(リゾルバ)=DNS-Fはインターネットから切断する
と言っているのは
DNS-Fがインターネット側から接続される
=外側から(名前解決のためのリゾルバとして)アクセスされる のを禁止する
という意味であって
DNS-Fがインターネット側に接続しに行く
=外側へ(名前解決のために)アクセスに行く のは禁止されない
というところ。
その理解で問題文を見返すと
まず項番6 については簡単で、(送信元)インターネット側から(宛先)b へ接続(されること)を許可するわけだから、bにはDNS-K=コンテンツ・サーバが入る。
で、項番5 が難問。(送信元)a から(宛先)インターネットへの接続、つまり外に出る方向を許可するだけだから、aにはDNS-Fが入る。
問2
設問1
(4) c MX(A)
(4)の答えはA(レコード)が正しいようだ。ひっかけ問題にも思えるが、DNSの動きを正常に理解していれば間違えなかったはず。自分の理解が未熟だったと言うしかないが、この機会に覚えることにする。
問題文はこれ。
キャッシュポイゾニングってことはフルリゾルバ(今回でいうとDNS-F)への攻撃だ。
問題文は
「…メールサーバの(c)レコードの IPアドレスが…書き換えられてしまい…」
と言っているから
ついMXレコードと書いてしまいたくなる。
たとえばDNS-Kのゾーンファイルがこうなっていたと仮定すると
IN MX 10 mail.a-sha.co.jp
MXレコードの右端のドメイン名(mail.a-sha.co.jp)を攻撃者のメールサーバのドメイン名に書き換えてしまえば、メールを奪取できるように思えるからだ。
しかしよく考えると、mx1.example.jpの名前解決をするにはAレコードが必要なわけで、ここで「あれ。答えはもしかしてAレコードかな?」と気づかなきゃいけない。
そうするとゾーンファイルはこんな感じになっているはず
IN MX 10 mail.a-sha.co.jp
mail IN A xx.yy.zz.tt
ここで、問題文を目を凝らしてもう一度よくみると
「…メールサーバの (c)レコードの IPアドレスが…書き換えられてしまい…」
と言っている。
そうすると、ゾーンファイルのうちIPアドレスが書いてあるのはAレコードなので答えはA(レコード)になる。
(続きは後日追記予定)
参考
