리눅스 Open DNS 취약점 보안 조치사항 (Windows, Linux 포함)
페이지 정보
작성자
오원장
쪽지보내기
메일보내기
자기소개
아이디로 검색
전체게시물
댓글 0건
조회 5,097회
작성일 13-05-27 20:01
본문
Open DNS의 취약점으로 인해 인한 공격들은 2008년부터 지속적으로 발생하고 있지만,
현재까지 DNS 보안에 대한 부분들은 고려되지 않고 네임서버 구축이 되는 경우가 많습니다.
웹 소스의 취약점 처럼 많은 부분들 변경하고 수정해야 하는 작업들이 필요치 않으니,
첨부된 가이드를 따라 신규 구축 및 기존 운영 되어 있는 DNS 설정을 수정 하실 것을 권고해 드립니다.
첨부파일은 KISA (한국인터넷진흥원) 에서 배포하는 DNS 가이드 입니다.
파일 여시기 전에 간략하게 설명을 드리자면, 네임서버 구성시 recursion no 옵션이 적용되어 있지 않거나 yes로 되어 있는경우
자체네임서버에 naver.com, google.co.kr 와 같이 등록 되어 있지 않은 도메인 질의시에도 답변을 해주게 됩니다.
해당 옵션을 끔으로 인해 자신이 설정을 가지고 있는 zone 파일들을 가지고 있는 도메인들에 대해서만 답변을 해줍니다.
이러한 답변 해주는 부분들을 이용해 공격자는 Source IP를 공격할 곳의 네임서버로 변조하고 패킷사이즈를 비정상적으로 크게하며,
수많은 취약점을 가진 네임서버들을 동원하여 정상적인 수행을 방해하는 역할을 합니다. DDoS 공격자(좀비)가 되는 것입니다.
네임서버 1차 : ns1.hostway.co.kr
네임서버 2차 : ns2.hostway.co.kr
Web 1 : hostway.co.kr / www.hostway.co.kr
Web 2 : syncmail.co.kr / www.syncmail.co.kr
Web 3 : teamex.co.kr / www.teamex.co.kr
Windows의 커맨드창 혹은 linux Shell 상에서 nslookup으로 질의시 Open DNS 설정이 되어 있는 경우엔
위와 같이 네임서버에 등록 되어 있는 도메인 외에도 질의가 가능 합니다.
[rubi] / > # nslookup
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
> google.co.kr
Server: 61.100.13.145
Address: 61.100.13.145#53
Name: google.co.kr
Address: 173.194.79.94
하지만, recursion 옵션을 no로 변경 했을 경우엔 네임서버에 존재하는 Zone 내용들 외에는 거부하게 됩니다.
no로 변경 했을 경우엔 모두 거부 하므로, 특정 아이피 대역에서만 허용 하는 방법도 존재 합니다. (가이드 참고)
[hostway] / > # nslookup
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
> google.co.kr
Default server: ns1.hostway.co.kr
Address: 1.1.1.1 #53
Non-authoritative answer:
*** Can't find google.co.kr: No answer
네임서버에 존재 하는 도메인의 Zone파일 내용은 아래와 같이 정상 질의 됩니다.
> teamex.co.kr
> server ns1.hostway.co.kr
Default server: ns1.hostway.co.kr
Name: teamex.co.kr
Address: 66.232.144.219
==============
리눅스 사용자의 경우 아래와 같이 dig 명령을 통해 간단히 확인 가능 합니다.
hostway # dig @111.111.111.111 +short porttest.dns-oarc.net TXT
|
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net." aaa.bbb.ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"
|
정상 DNS 확인 결과 :
|
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"111.111.111.111 is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev
17685.51" |
DNS 취약점에 대한 점검은 아래 URL에서 진행 하실 수 있습니다.
설정 된 DNS 점검
웹 취약점 점검
네임서버 설정 방법
보안 Tip1. Bind 패키지의 버전을 최신으로 유지 해주시기 바랍니다. (하위 버전의 경우 취약점 존재.)
[hostway] / > # yum update bind
* 혹은 bind 소스 패키지를 받아 설치.
보안 Tip2. Bind 버전 감추기
설정방법은 recursion 옵션과 같이 named.conf 혹은 named.caching-nameserver.conf 설정파일에서
options { } 부분 안에 version "UNKNOWN"; 을 추가
options {
...
...
version "UNKNOWN";
allow-recursion { trust; };
allow-transfer { none; };
...
...
};
저장하고 나온 뒤, 역시 named 데몬 reload
/etc/rc.d/init.d/named reload
첨부파일
- OpenDNS.pdf (1.8M) 66회 다운로드 | DATE : 2013-05-27 20:01:20
댓글목록
등록된 댓글이 없습니다.