BACKRUSH 유닉스명령 다음 자료실 Ascii Table 원격접속 달력,시간 프로세스 쉘

지하철노선 RFC문서 SUN FAQ SUN FAQ1 C메뉴얼 PHP메뉴얼 너구리 아스키월드 아이피서치

글쓴이: dns

dns서버 보안

1.1 DNS 기본보안 | DNS이론시작! | 서버 메뉴얼 !!!
미야오|조회 64|추천 0|2010.07.11. 18:11
1.1 DNS 기본보안 설정

1.1.1 버전 숨기기
BIND 4.9 이후부터는 특정 형태의 질의를 수신하면 자신의 버전 정보를 응답하는 기능이 있습니다.

로컬 버전정보탐색법
# dig txt chaos version.bind.

외부에서 버전정보탐색법
# dig @168.126.63.1 txt chaos version.bind.

// BIND 8.2와 그 이후 버전에서는 설정으로 이런 정보 유출을 막을 수 있습니다.

버전 정보 숨기기

#vi /etc/named.conf
options {
version “No! Touch!!!”;
};

1.1.2 단일 장애 지점 (Single points of Failure) 피하기
http://www.menandmice.com/2000/2110_single_point.html

대부분의 도메인 레지스트라에서는 도메인 등록시 네임 서버를 2개 이상 등록해야만 하는데
만약 1대의 네임서버만을 운영하다가 해당 네트워크가 다운이 되면, 업무상 많은 손실이 발생할 수 있기 때문으로 항상 도메인 서비스가 끊기지 않도록 사전 예방해야 합니다.

Single point of failure 에 노출되었는지 확인하는 방법
1) 도메인 서비스를 위한 네임서버가 1대인 경우
2) 도메인 서비스를 위한 네임서버들 중에 1대에만 존설정한 경우
3) 도메인 서비스를 위한 네임서버들이 모두 존설정을 했지만 물리적으로 같은 subnet에 위치하거나
같은 장소에 위치하거나 어떤 특정한 장비에 의존해 있는 경우

해결책)
1) 도메인 서비스용 DNS 서버를 2개이상 보유하기
2) 도메인에 대한 설정이 해당 DNS 서버들 모두에게 설정되도록 하기
3) 물리적으로 분리하기

1.1.3 트래픽 필터링

TCP/IP상에서 IP주소 Port 번호 등을 기반으로 한 packet filtering 가능
네임서버기능만 하는 호스트라면, 해당 서버들에 불필요한 트래픽이 가지 않도록 필터링합니다.
즉 인터넷에서 UDP와 TCP포트 53번 외의 트래픽을 차단합니다.

어떤 네트워크는 네트워크의 연결이 패킷 단위로 요금이 책정되거나 회선의 속도가 매우 느려 다량의 트래픽을 사이트 외부로 전송하는데 곤란을 겪는 경우가 있다. 이런 상황에서는 사이트 바깥으로 나가는 DNS 트래픽을 가장 최소로 제한할 필요가 있는데
BIND가 포워더(forwarders)라는 메커니즘을 이용해 이런 역할 해줍니다.

특정 네임 서버에 도메인 네임 탐색 업무를 몰아주려면 포워더(forwarder)를 이용하는게 유용합니다. 예를 들어 네트워크에서 호스트 하나만 인터넷에 연결되어 있고 그 호스트에서 네임 서버가 돌고 있다면, 그 서버를 포워더로 이용하도록 다른 네임 서버를 설정해 모든 서버가 도메인 네임을 탐색하게 할 수 있습니다.

Options {
Forwarders { 192.249.249.1; 192.249.249.3; };
};

1.1.4 Recursive 쿼리 제한

BIND 8과 9의 allow-query 서브 구문에서 질의에 대한 IP주소 기반의 액세스 리스트를 만들 있습니다. 이 액세스 리스트를 늑정 영역에 적용하거나 네임 서버가 수신하는 모든 질의에 적용할 수 있습니다.

1) 모든 질의 제한
allow-query 서브 구문의 형식
options {
allow-query { address_match_list; };
};

2) 특정 영역의 질의 제한
액세스 제어 리스트(ACL)를 특정 영역에 적용할 수도 있습니다. 이런 경우에는 보호하려는 영역에 대한 zone 구문에 allow-query 서브 구문을 이용합니다.

Acl “HP-NET” { 15/8; };
Zone “hp.com” {
Type slave;
File “bak.hp.com”;
Masters { 15.255.152.2; };
};

1.1.5 서버정보 보호 Zone Transfer 제한 설정법

전체도메인에 대해 영역 전송 제한 및 허용법
네임서버에서만 서버정보를 전송해갈수 있도록 설정 한다.

1) BIND 8 9 allow-transfer 설정법

# vi /etc/named.conf

options {
allow-transfer { 127.0.0.1; 200.1.1.1; 200.2.2.2; };
};
// 설명: 200.1.1.1, 200.2.2.2 대신 실제 네임서버 IP를 적어주어야한다.

2) BIND 4.9 xfrnets 지시자 이용
Xfrnets 15.0.0.0 128.32.0.0

Zone “movie.edu” {
Type master;
File “db.movie.edu”;
Allow-transfer { 192.249.249.1; 192.253.253.9; };
};

기본적으로 모든 IP주소에 대해 영역 전송을 허용하기 때문에, 해커들이 슬레이브 서버로부터 영역을 쉽게 긁어갈 수 있다. 해당서버가 Slave 네임서버로만 사용되면 아래와 같이 Zone 전송이 되지 않도록 설정한다.

# vi /etc/named.conf
options {
allow-transfer { none ; };
};

또는 도메인에 따라 Master , Slave로 같이 운영중일