[리눅스 보안] 서버 보안 - DNS Zone Transfer 설정

[리눅스 보안] 서버 보안 - DNS Zone Transfer 설정

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - DNS Zone Transfer는 Primary Name Server와 Secondary Name Server 간에 Zone 정보를 일관성 있게 유지하기 위하여 사용하는 기능으로 Secondary Name Server로만 Zone 정보를 전송하도록 제한하여야 함.

    - 만약 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송받은 Zone 정보를 이용하여 호스트 정보, 시스템 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있음.

■ 보안대책

    - 양호 : DNS 서비스 미사용 또는, Zone Transfer를 허가된 사용자에게만 허용한 경우

    - 취약 : DNS 서비스를 사용하며 Zone Transfer를 모든 사용자에게 허용한 경우

■ 조치방법

    - DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용한다면 DNS 설정을 통해 내부 Zone 파일을 임의의 외부 서버에서 전송 받지 못하게 하고, 아무나 쿼리 응답을 받을 수 없도록 수정

■ 보안설정 방법

   <DNS 서비스를 사용할 경우>

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS, Linux, AIX, HP-UX

          DNS 서비스 사용 시 /etc/named.conf 파일의 allow-transfer 및 xfrnets 확인

          #ps -ef | grep named | grep -v "grep"

          #cat /etc/named.conf | grep 'allow-transfer'

          #cat /etc/named.boot | grep "xfrnets"

    ※ "DNS" 서비스 사용 시 위에 제시된 파일의 DNS 설정을 아래의 보안설정 방법에 따라 수정함

■ BIND8 DNS 설정(named.conf) 수정 예

    options {

allow-transfer (존 파일 전송을 허용하고자 하는 IP;};

    };

■ BIND4.9 DNS 설정(named.boot) 수정 예

    options

xfrnets 허용하고자 하는 IP

   <DNS 서비스를 사용하지 않는 경우>

    ◆ OS별 점검 파일 위치 및 점검 방법

        - Linux, AIX, HP-UX, SunOS 5.9 이하 버전

          DNS 서비스 데몬 확인 (DNS 동작 SID 확인)

          #ps -ef | grep named

          root    3809    3721    0 08:44:40 ?            0:00 /usr/sbin/in.named

        - SunOS 5.10 이상 버전

          #svcs -a | grep "dns"

    ※ "DNS" 서비스를 사용하지 않는 경우 서비스 데몬 중지

■ Linux, AIX, HP-UX, SunOS 5.9 이하 버전

    - DNS 서비스 데몬 중지

      #kill -9 [PID]

■ SunOS 5.10 이상 버전

    1. DNS 서비스 데몬 확인

       enabled            16:22:31 svc:/network/dns/server:default

    2. svcadm disable "중지하고자 하는 데몬" 명령으로 서비스 데몬 중지

       #svcadm disable svc:/network/dns/server:default

■ 조치 시 영향

    - Zone 파일 전송을 허용할 대상을 정상적으로 등록할 경우 일반적으로 영향 없음

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기