【情報処理安全確保支援士】DNSに関するセキュリティをまとめてみる

たこやき後輩

どうも、こんばんは。たこやきです。

今回はあと2週間後に迫った情報処理安全確保支援士の過去問を解いていて、少し知識不足だと感じたDNS関連のセキュリティについて自分なりにまとめていきたいと思います。

DNSは今このブログのURLを登録するためにDNSサービス(ムームドメイン)を利用してはいますが、それ以外では正直あまり触らないので、身近に触れる機会がかなり少なかったです。

たこやき後輩

ドメインネームシステムをもっと知りたい

今回の記事はこんな人向け
・DNSのセキュリティに関して知りたい人
・情報処理安全確保支援士のDNSに関する分野があまり分からない人

参考までに僕の今までの経歴を簡単に書いておきます。

2017/3：大学(農学部)を卒業

2017/4：IT未経験で独立系のSIerに就職

2021/7：独立系のSIerを退職

2021/8：未経験でコンサル会社に就職　←　ｲﾏｺｺ

他にも情報処理安全確保支援士の興味があれば見ていただけますと幸いです！

【事例で学ぶ】サイバー攻撃ランサムウェア編

たこやき後輩どうも、こんばんは。今回はIT系の記事です。2022年4月の情報処理安全確保支援士試験に向けて、学びついでにアウトプットしていこうと思います。情報処理安全確保支援士...

DNSとは

DNSとは、インターネットなどのIPネットワーク上でドメイン名（ホスト名）とIPアドレスの対応関係を管理するシステム。利用者が単なる番号列であるIPアドレスではなく、日常使っている言語の文字を組み合わせた認識しやすいドメイン名でネットワーク上の資源にアクセスできるようにする。
引用：https://e-words.jp/w/DNS.html

たこやき後輩

よく電話帳に例えられるやつですね

DNSのゾーンファイル(正引き)としては↓のようなイメージになるようです。

今はもう少しUIが充実していて上記のようなファイルは触らず、直感的な操作で設定できると思いますが、DNSの役割としてはIPアドレスとドメイン名の変換です。

ドメイン名 → IPアドレス(google.com → 192.168.0.1)(正引き)
ドメイン名 → IPアドレス(192.168.0.2 → amazon.com)(逆引き)

上記のようにドメイン名(人間に覚えやすい形)からIPアドレス(機会がやり取りする形)に切り替えるシステムで、基本的には内部LAＮやインターネットに公開されて多くのPCからアクセスされます。

DNSがなくても最悪IPアドレスでやりとりすることもできますが、どこにアクセスしてるか分からないですよね…

たこやき後輩

google.comが192.168.0.1とかだと少ししんどいですよねｗ

概要としては↑のイメージであとは情報処理試験にもよく出るコンテンツサーバとキャッシュサーバについて説明します。(DNSの機能はコンテンツ機能とキャッシュ機能に大別されます)

コンテンツサーバ

別名、権威DNSサーバやゾーンサーバとも呼ばれます。サーバ自身に登録されたドメイン(ゾーン)情報の非再帰的な名前解決に応じるサーバー。

→自分に登録されたドメイン情報(ゾーン)=コンテンツを返却するやつ。(権威があるから他の人のところには聞きに行かない)

キャッシュサーバ

別名、フルサービスリゾルバと呼ばれます。名前解決要求が来た際に、他のDNSサーバ(コンテンツサーバ、キャッシュサーバ)に問い合わせを行い、その結果を名前解決要求元(リゾルバ)に返します。また、一定期間は名前解決結果をキャッシュとして保持して再利用します。(だからキャッシュサーバ)
問い合わせ元のアドレスやドメインに制限がないものをオープンリゾルバと呼びます。

→自身にはドメイン情報が登録されておらず、ドメイン情報(コンテンツ)を他の人に聞きに行くやつ。(パシリとしてフルサービスをする)

たこやき後輩

両機能が一台のDNSサーバーでまかなわれることもあります。