Computer ???
No. | 99 |
Name. | swindler |
Subject. | DNS관리와 보안 |
Main Cate. | Linux |
Sub Cate. | Internet일반 |
Date. | 2005-08-08 15:29 |
Hit. | 3619 (211.109.70.164) |
File. | |
DNS는 인터넷 서비스의 근간이라고 할 정도로 매우 중요한 서비스입니다. 그럼에도 불구하고, 보안의 사각지대로 불릴만큼 보안 설정이 제대로 되어 있지 않은 것도 없다고 봅니다. 여러가지 취약성이 있지만 그 중에서 특히 심각한 정보유출의 단초가 될 수 있는 zone-transfer(zone 전송)가 큰 문제라고 생각합니다. zone-transfer란 master/slave 서버간에 zone 파일을 동기화하기 위한 기술로서 대부분이 필요없거나 필요하더라도 이 기능을 외부에 허용할 필요가 없음에도 불구하고 많은 곳에서 허용하는 경우가 많이 있습니다. 이를 통해 공격자는 (1) 내부의 개발서버나, 인트라넷등 내부의 시스템/네트워크 구조를 쉽게 파악할 수 있고 (2) 사용IP 대역이나 방화벽 등 보안 장비의 IP도 알 수 있게 됩니다. (3) 그리고, 어떤 업체의 경우 서버의 대수나 규모 등의 정보도 추측할 수 있게 되는등 심각한 정보 유출의 시작이 될 수 있습니다... (4) 또한 흔하지 않지만 DoS로도 악용될 수 있습니다. 특히 관리자가 가장 실수하는 것중 하나는 master/slave 형식으로 서비스하는 경우 master DNS 에서는 zone-transfer를 엄격하게 접근 통제하면서 slave에서는 무방비로 허용하는 경우가 많은데, 실제로 제가 테스트해 본 결과 국내 대표적인 모방송국, 손에 꼽히는 대형 포털, 대형 쇼핑몰업체등도 이에 취약한 것으로 확인되었습니다. 특히 이를 통해 어떤 업체의 경우 인트라넷 정보등도 알 수 있었습니다. 따라서 각자의 환경에 따라 Zone-transfer를 엄격하게 제한할 필요가 있는데, 아래 URL에서 zone-transfer의 문제점과 간단하게 취할 수 있는 대응방법에 대해 자세하게 기술하였으니 자료를 참고하시기 바랍니다. http://tt.co.kr/~antihong/ 접속후 ==> 공개문서에서 zone-transfer 허용의 문제점과 대응방법 클릭 감사합니다 [바로가기 링크] : http://coolx.net/cboard/computer/99 |
|
|
|
[Modify] [Delete] | [Reply] [List] |