DNSSECについての記述のうち、適切なものはどれか。
ア | DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する。 |
イ | DNSの再帰的な問い合わせの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する。 |
ウ | 共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバから応答であることをクライアントが検証できる。 |
エ | 公開鍵暗号方式によるデジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。 |
答え エ
【解説】
DNSのプロトコルが持つ弱点を突いた攻撃の代表として“DNSキャッシュポイズニング”があり、その中でもカミンスキー型攻撃は成功率も高く、DNSサーバの管理者にとって大きな脅威であった。
DNSにおける応答の正当性を保証するための拡張仕様であるDNSSECは、ドメイン登録情報にデジタル署名を付加することで、DNSキャッシュサーバからの応答中のリソースレコードが、権威DNSサーバで管理されていて、改ざんされていないことの検証を可能にします。
【キーワード】
・DNSSEC