Linux DNS

Open DNS의 취약점으로 인해 인한 공격들은 2008년부터 지속적으로 발생하고 있지만,

현재까지 DNS 보안에 대한 부분들은 고려되지 않고 네임서버 구축이 되는 경우가 많습니다.


웹 소스의 취약점 처럼 많은 부분들 변경하고 수정해야 하는 작업들이 필요치 않으니,

첨부된 가이드를 따라 신규 구축 및 기존 운영 되어 있는 DNS 설정을 수정 하실 것을 권고해 드립니다.


첨부파일은 KISA (한국인터넷진흥원) 에서 배포하는 DNS 가이드 입니다.



파일 여시기 전에 간략하게 설명을 드리자면,


네임서버 1차 : ns1.hostway.co.kr

네임서버 2차 : ns2.hostway.co.kr


Web 1 : hostway.co.kr / www.hostway.co.kr

Web 2 : syncmail.co.kr / www.syncmail.co.kr

Web 3 : teamex.co.kr / www.teamex.co.kr



Windows의 커맨드창 혹은 linux Shell 상에서 nslookup으로 질의시 Open DNS 설정이 되어 있는 경우엔

위와 같이 네임서버에 등록 되어 있는 도메인 외에도 질의가 가능 합니다.


[rubi] / > # nslookup

> server ns1.hostway.co.kr

Default server: ns1.hostway.co.kr

Address: 1.1.1.1 #53

> google.co.kr

Server:         61.100.13.145

Address:        61.100.13.145#53

Name:   google.co.kr

Address: 173.194.79.94


하지만, recursion 옵션을 no로 변경 했을 경우엔 네임서버에 존재하는 Zone 내용들 외에는 거부하게 됩니다.

no로 변경 했을 경우엔 모두 거부 하므로, 특정 아이피 대역에서만 허용 하는 방법도 존재 합니다. (가이드 참고)


[rubi] / > # nslookup

> server ns1.hostway.co.kr

Default server: ns1.hostway.co.kr

Address: 1.1.1.1 #53

> google.co.kr

Default server: ns1.hostway.co.kr

Address: 1.1.1.1 #53

Non-authoritative answer:

*** Can't find google.co.kr: No answer




네임서버에 존재 하는 도메인의 Zone파일 내용은 아래와 같이 정상 질의 됩니다.

> teamex.co.kr

> server ns1.hostway.co.kr

Default server: ns1.hostway.co.kr


Name:   teamex.co.kr
Address: 66.232.144.219


==============

리눅스 사용자의 경우 아래와 같이 dig 명령을 통해 간단히 확인 가능 합니다.
hostway # dig @111.111.111.111 +short porttest.dns-oarc.net TXT

 취약점 존재 DNS 확인 결과 :

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net." aaa.bbb.ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"


 정상 DNS 확인 결과 :

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. 

"111.111.111.111 is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev

17685.51"



DNS 취약점에 대한 점검은 아래 URL에서 진행 하실 수 있습니다.

설정 된 DNS 점검

웹 취약점 점검