問8 DNSサーバに格納されるネットワーク情報のうち、第三者に公開する必要のない情報が攻撃に利用されることを防止するための、プライマリDNSサーバの設定はどれか。
ア SOAレコードのシリアル番号を更新する。
イ 外部のDNSサーバにリソースレコードがキャッシュされている時間を短く設定する。
ウ ゾーン転送を許可するDNSサーバを登録する
エ ラウンドロビン設定を行う。
  (H22春SC午前2問8)
アは、DNS情報を変更した場合に必要な作業。シリアル番号の数字が増えていると、情報が書き変わったとみなされ、セカンダリDNSサーバへゾーン転送される。
イは、移転などにより、IPアドレスを変更する場合に行う作業。例えば、xxx.comのIPアドレスが1.1.1.1から3.3.3.3に変更した場合、多くのDNSサーバのキャッシュに古い1.1.1.1が保持されている場合、古いIPアドレスにアクセスし続けるため、利用者がアクセスできない。
ウは、正解。DNSの設定において、allow-transferでゾーン転送を許可するサーバを指定する。
15863853

ということは、DNSのゾーン転送はデフォルトでは誰でも受けられるということですか?



そう。セカンダリDNSサーバは、typeをslaveにして、mastersにプライマリDNSサーバのIPアドレスを入れるだけ。もっというと、セカンダリDNSサーバを立てる必要もなく、コマンドでゾーン情報を取得することもできる。
dcf52feb

あ、でも。
そもそも、DNS情報は公開する情報ですよね。
だから、第三者に見られてもいいのでは?


まあ、そうだ。しかし、全部の情報のリストを見られると、その組織のネットワーク情報が分かってしまう。なので、セキュリティ上あまり好ましくないだろう(あくまでもだろう)というものである。
公開することが、セキュリティ上大きなリスクにつながるというものでもない。