2012.07.19 04:18
Open DNS의 취약점으로 인해 인한 공격들은 2008년부터 지속적으로 발생하고 있지만,
현재까지 DNS 보안에 대한 부분들은 고려되지 않고 네임서버 구축이 되는 경우가 많습니다.
웹 소스의 취약점 처럼 많은 부분들 변경하고 수정해야 하는 작업들이 필요치 않으니,
첨부된 가이드를 따라 신규 구축 및 기존 운영 되어 있는 DNS 설정을 수정 하실 것을 권고해 드립니다.
첨부파일은 KISA (한국인터넷진흥원) 에서 배포하는 DNS 가이드 입니다.
파일 여시기 전에 간략하게 설명을 드리자면,
네임서버 1차 : ns1.hostway.co.kr
네임서버 2차 : ns2.hostway.co.kr
Web 1 : hostway.co.kr / www.hostway.co.kr
Web 2 : syncmail.co.kr / www.syncmail.co.kr
Web 3 : teamex.co.kr / www.teamex.co.kr
Windows의 커맨드창 혹은 linux Shell 상에서 nslookup으로 질의시 Open DNS 설정이 되어 있는 경우엔
위와 같이 네임서버에 등록 되어 있는 도메인 외에도 질의가 가능 합니다.
[rubi] / > # nslookup
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
> google.co.kr
Server: 61.100.13.145
Address: 61.100.13.145#53
Name: google.co.kr
Address: 173.194.79.94
하지만, recursion 옵션을 no로 변경 했을 경우엔 네임서버에 존재하는 Zone 내용들 외에는 거부하게 됩니다.
no로 변경 했을 경우엔 모두 거부 하므로, 특정 아이피 대역에서만 허용 하는 방법도 존재 합니다. (가이드 참고)
[rubi] / > # nslookup
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
> google.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
Non-authoritative answer:
*** Can't find google.co.kr: No answer
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net." aaa.bbb.ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00" |
정상 DNS 확인 결과 :
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "111.111.111.111 is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51" |
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
» | Open DNS 취약점 보안 조치사항 (Windows, Linux 포함) | 호스트웨이 | 2012.07.19 | 21610 |