DNSキャッシュサーバAと権威DNSサーバCにDNSSECを導入した。 PCがDNSキャッシュサーバAを用いてWebサーバBの名前解決を行うとき、DNSキャッシュサーバAが、WebサーバBのドメインを管理している権威DNSサーバCに問い合わせた。 そのDNS問合せ後、PCがWebサーバBにアクセスするまでのDNSキャッシュサーバA、PC、及び権威DNSサーバCの動作に関する記述のうち、適切なものはどれか。
| ア | DNSキャッシュサーバAではDNS応答にデジタル署名を付加し、PCではDNSの公開鍵(DNS鍵)を用いてDNS応答について真正性と完全性を検証する。 |
| イ | DNSキャッシュサーバAではDNS応答を暗号化し、PCではDNS鍵を用いてDNS応答について真正性と完全性を検証する。 |
| ウ | 権威DNSサーバCdehaDNS応答にデジタル署名を付加し、DNSキャッシュサーバAではDNS鍵を用いてDNS応答について真正性と完全性を検証する。 |
| エ | 権威DNSサーバCではDNS応答を暗号化し、DNSキャッシュサーバAではDNS鍵を用いてDNS応答について真正性と完全性を検証する。 |
答え ウ
【解説】
DNSSECは以下のように動作します。
| (1) | あるゾーンの管理者は、秘密鍵と公開鍵の鍵ペアを作成します。 |
| (2) | 同じくゾーンの管理者は、ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成します。 また、対応する公開鍵を公開し、問い合わせがあった場合に参照できるようにします。 |
| (3) | このゾーンに対してDNSキャッシュサーバから問い合わせがあった場合、権威ネームサーバは電子署名付きの応答を返します。 |
| (4) | DNSキャッシュサーバが、この電子署名付きの応答をゾーン管理者による公開鍵で復号できた場合には、そのメッセージは確かに該当ゾーンの管理者が作成したもので、かつ改ざんもされていないことがわかります。 |
【キーワード】
・DNSSEC
- DNSSEC(DNS Security Extensions)
DNSにおける応答の正当性を保証するための拡張仕様で、サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改ざんを検出することができるようになります。
もっと、「DNSSEC」について調べてみよう。
戻る
一覧へ
次へ