보안 dns는 안전한 것으로 간주 될 수 있습니까?

dns는 안전한 것으로 간주 될 수 있습니까?

차례:

Anonim

4 월, 네덜란드 해커가 사상 최대 규모의 분산 형 서비스 거부 공격으로 체포되었습니다. 스팸 방지 조직인 Spamhaus에 대한 공격이 있었고 유럽 연합의 IT 보안 기관인 ENISA에 따르면 Spamhaus의 인프라에 대한로드는 이전 기록의 3 배인 초당 300 기가비트에 도달했습니다. 또한 주요 인터넷 혼잡을 초래하고 전 세계 인터넷 인프라가 중단되었습니다.


물론, DNS 공격은 거의 없습니다. 그러나 Spamhaus 사건의 해커는 단지 그의 목표를 해칠 뿐이지 만 공격의 큰 결과는 많은 사람들이 인터넷 인프라의 주요 결함 인 도메인 이름 시스템 (Domain Name System)을 불렀다는 것도 지적했습니다. 그 결과, 핵심 DNS 인프라에 대한 최근의 공격으로 인해 기술자와 사업가 모두 솔루션에 대한 혼란을 겪었습니다. 그래서 당신은 어때요? 비즈니스의 DNS 인프라를 강화하기위한 옵션과 DNS 루트 서버의 작동 방식을 아는 것이 중요합니다. 자, 문제의 일부와 기업이 스스로를 보호하기 위해 무엇을 할 수 있는지 살펴 보겠습니다. (DNS의 DNS : 모든 것을 지배하는 하나의 프로토콜에 대해 자세히 알아보십시오.)

기존 인프라

DNS (Domain Name System)는 인터넷을 잊어 버린 시간부터 시작되었습니다. 그러나 이것이 오래된 뉴스는 아닙니다. 끊임없이 변화하는 사이버 공격의 위협으로 인해 DNS는 수년에 걸쳐 많은 감시를 받고 있습니다. 초기 단계에서 DNS는 발신자 또는 수신자의 DNS 쿼리 ID를 확인하기위한 인증 형식을 제공하지 않았습니다.


실제로 수년 동안 핵심 이름 서버 또는 루트 서버는 광범위하고 다양한 공격의 대상이되었습니다. 오늘날에는 지리적으로 다양하며 정부 기관, 상업 기관 및 대학을 포함한 다양한 유형의 기관에서 무결성을 유지하기 위해 운영하고 있습니다.


놀랍게도 과거에는 일부 공격이 다소 성공했습니다. 예를 들어, 루트 서버 인프라에 대한 치명적인 공격이 2002 년에 발생했습니다 (여기에 대한 보고서 읽기). 대부분의 인터넷 사용자에게 눈에 띄는 영향을 미치지는 않았지만 FBI와 미국 국토 안보부 (Department of Homeland Security)는 13 개의 운영 루트 서버 중 9 개에 영향을 미쳤으며 고도로 전문적이고 타깃 해 졌기 때문에 FBI와 미국 국토 안보부의 관심을 끌었습니다. 한 시간 이상 지속되면 인터넷 DNS 인프라의 요소를 모두 쓸모 없게 만들면서 결과는 치명적일 수 있다고 전문가들은 말한다.


인터넷 인프라의 필수적인 부분을 물리 치면 성공적인 공격자에게는 엄청난 힘이 생길 것입니다. 결과적으로 루트 서버 인프라 보안 문제에 상당한 시간과 투자가 적용되었습니다. (여기에서 루트 서버 및 해당 서비스를 보여주는 맵을 확인할 수 있습니다.)

DNS 보안

핵심 인프라 외에도 기업의 DNS 인프라가 공격과 실패에 대해 얼마나 강력한지를 고려해야합니다. 예를 들어 이름 서버가 완전히 다른 서브넷이나 네트워크에 있어야하는 것이 일반적입니다 (일부 RFC에 명시되어 있음). 다시 말해서, ISP A의 가동 중단이 발생하고 기본 이름 서버가 오프라인 상태 인 경우 ISP B는 여전히 주요 DNS 데이터를 요청한 사람에게 제공합니다.


DNSSEC (Domain Name System Security Extensions)는 기업이 자체 이름 서버 인프라를 보호 할 수있는 가장 보편적 인 방법 중 하나입니다. 이것은 네임 서버에 연결하는 머신이 말하는 그대로의 추가 기능입니다. DNSSEC는 또한 요청이 어디에서 왔는지 식별하고 데이터 자체가 전송 중에 변경되지 않았는지 확인하기위한 인증을 허용합니다. 그러나 도메인 이름 시스템의 공개 특성으로 인해 사용 된 암호화는 데이터의 기밀성을 보장하지 않으며 인프라의 일부에 일부 설명이 실패 할 경우 가용성에 대한 개념이 없습니다.


RRSIG, DNSKEY, DS 및 NSEC 레코드 유형을 포함하여 이러한 메커니즘을 제공하기 위해 많은 구성 레코드가 사용됩니다. (자세한 내용은 12 개의 DNS 레코드 설명을 참조하십시오.)


RRISG는 쿼리를 전송하는 컴퓨터와 쿼리를 보내는 컴퓨터에서 DNSSEC를 사용할 수있을 때마다 사용됩니다. 이 레코드는 요청 된 레코드 유형과 함께 전송됩니다.


서명 된 정보가 포함 된 DNSKEY는 다음과 같습니다.


ripe.net가 DNSKEY 레코드를 가지고 257 3-5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b EVr7C08dPpr9V6Eu + / + 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =


DS 또는 위임 된 서명자 레코드는 신뢰 체인을 인증하는 데 도움이되므로 부모와 자식 영역이 추가적인 편의를 제공 할 수 있습니다.


NSEC 또는 다음 보안 항목은 기본적으로 DNS 항목 목록에서 다음 유효한 항목으로 이동합니다. 존재하지 않는 DNS 항목을 반환하는 데 사용할 수있는 방법입니다. 구성된 DNS 항목 만 정품으로 신뢰되도록하는 것이 중요합니다.


사전 스타일 공격을 완화하는 데 도움이되는 향상된 보안 메커니즘 인 NSEC3은 2008 년 3 월 RFC 5155에서 비준되었습니다.

DNSSEC 수신

많은 지지자들이 DNSSEC 배포에 투자했지만 비평가가없는 것은 아닙니다. DNS 쿼리를 생성하는 사람들에게 무의식적으로 쿼리를 가로 채거나 잘못 입력 할 수있는 중간자 (man-in-the-middle) 공격과 같은 공격을 피하는 기능에도 불구하고 기존 인터넷 인프라의 특정 부분과의 호환성 문제가 있습니다. 가장 큰 문제는 DNS가 일반적으로 대역폭이 부족한 UDP (User Datagram Protocol)를 덜 사용하는 반면 DNSSEC는 더 큰 TCP (Transmission Control Protocol)를 사용하여 데이터를 앞뒤로 전달하여 안정성과 신뢰성을 높이는 것입니다. 하루 24 시간 연중 무휴로 수백만 건의 DNS 요청이 발생하는 기존 DNS 인프라의 대부분은 트래픽을 증가시키지 못할 수 있습니다. 그럼에도 불구하고 많은 사람들은 DNSSEC가 인터넷 인프라 보안을 향한 주요 단계라고 생각합니다.


인생에서 아무것도 보장되지는 않지만, 자신의 위험을 고려하기 위해 시간을 내면 나중에 많은 비용이 드는 두통을 예방할 수 있습니다. 예를 들어 DNSSEC를 배포하면 주요 DNS 인프라의 일부에 대한 신뢰를 높일 수 있습니다.

dns는 안전한 것으로 간주 될 수 있습니까?