もくじ
問題概要
ネットワーク構成
設問1
(1) a, b
DNSの名前解決通信は主にUDPを行う。UDPはUser Datagram Protocolの略で、3wayハンドシェイクなどは行わない。
User Datagram Protocol - Wikipedia
(1) c
DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
(2)
DNSキャッシュポイズニング対策として、DNS問い合わせをする際のポート番号をランダムで変更するというものがある。*1
(3)
通常メールサーバーは外部メールサーバーと内部メールサーバーが存在している。通常外部メールはDMZ(非武装地帯)に設置されており、外部から社内に送られてきたメールは一旦外部メールサーバーを経由する。そこでウィルススキャンやフィルタリングなどを行ったうえでメールの保存は社内メールサーバーに行われる。社内のメールのやりとりは社内メールアドレスで完結するようにする。といった設定が考えられる。
外部メールサーバーは外部からのメールを受け取る。この時、Fromなどに他社のメールサーバーなどのドメインが含まれている。外部メールサーバーからC-DNSに問い合わせが来た場合は当然C-DNSにレコードは存在しないため、再起問い合わせを行う必要がある。
(4)
図を見るとIF1は(d),(e),(f)につながっていないため、(d)(e)(f)のIPアドレスが送信元に指定された通信がIF-1から送信されてきたらIPアドレス詐称である。
今回(e)DMZ2が設定されていなかったため、例えば外部メールサーバのIPを詐称されてC-DNSなどにリクエストが来た場合はFW-Aを通過されてしまう可能性がある。
(5)
図3の(2)より、この攻撃はC-DNSに対するキャッシュポイズニング攻撃で、C-DNSのSPFレコード(Sender Policy Framework)が書き換えられてしまう可能性がある。SPFレコードとは、メールが送信されてくるIPアドレスが書かれていたもので、G社のSPFレコードは、G社のメールがどのIPのサーバーから送られてくるのか、という情報が書かれている。これが不正に書き換えられると、攻撃者はG社を謳ったメールを外部メールサーバーに送信することが可能になってしまう。
設問2
(1)
どちらもIF-1を通してFW-Aに届くので、IPアドレスの詐称を見極めるのは困難である。
(2)
支社システムにもDNSを用意するしかない。
*1:「ポート番号」という語を使えという注釈が問題にある