본문 바로가기

정보/시스템-운영체제

Top6 DNS Security Risks 조치권고

[출처] [보안] Top6 DNS Security Risks 조치권고 (DNS전문가) |작성자 DNS카페운영진

 

1.  서버리스트 노출
   문제점: DNS서버의 기본 보안설정 미비로 많은 기업들 DNS를 통해 전체 서버리스트가 노출 되어 있다.
   해결법 : DNS서버에 서버리스트 전송제한 기능 설정 필요 (Zone-transfer 제한기능 설정필요)
   메뉴얼 : http://cafe.naver.com/dnspro/292
 
2. OPEN DNS 취약점에 노출된체 운영중
   문제점 : 현재 DNS네임서버운영 기관들의 네임서버를 PC DNS로 설정하면 인터넷이 가능하며,
              운영버전에 따라 캐쉬 포이즈닝 공격 취약점이 존재한다.
   해결법 : 네임서버 전용과 Cache DNS전용 DNS서버를 구분하여 운영.
   - DNS취약점 이용 해킹 노출 http://cafe.naver.com/dnspro/525

 

3. 버전정보 노출
   문제점 : DNS서버의 기본 보안설정 미비로 버전이 노출되어 있음
   해결법 : 버전 정보가 노출된부분에 대해 보안설정 필요 http://cafe.naver.com/dnspro/292

 

4. DNS소프트웨어 취약점
  문제점 : 취약점을 가진 DNS서버로  기본운영중
  해결법 :  최신 버전으로 업그레이드
  - BIND DNS 다중 취약점 보안 업데이트 권고 http://cafe.naver.com/dnspro/21130
  - BIND 버전별 취약점 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bind
  - BIND 서비스 거부 취약점 보안 업데이트 권고 https://www.isc.org/software/bind/advisories/cve-2011-tbd
  
5. 관리자 계정 및 메일관리 취약
   문제점 : 계정정보 유출로 인해, DNS서버 관리업체 사이트로 정상 로그온해 정보변경
   해결법 : DNS서버 관리업체 사이트의 암호의 주기적인 변경 (타 포털사이트의 계정/암호와 같지 않도록 관리)
   - 3년간 민간부분 도메인 4만여건 해킹 http://cafe.naver.com/dnspro/16926
   - 트위터 DNS서버 해킹사고로 중지 http://cafe.naver.com/dnspro/14192
   - 국내도 유출된 장보로 DNS서비스 중기되는 경우가 발생되고 있습니다 http://cafe.naver.com/dnspro/22187


6. DDOS에 취약
  문제점 : DNS서버는 보통 2대정도로 운영중이라, DDOS에 취악함
  해결법 : 네트워크/보안 장비를 이용해 차단, 서버 다중화 또는 고성능 서버도입을 통해 가용성확보
  - 사례1) 6/25 정보통합전산센터공격, DNS(Domain Name Service) 공격   http://cafe.naver.com/dnspro/22666
  - 사례2) 아마존,월마트 DNS DDOS공격받아 다운 http://cafe.naver.com/dnspro/14299

 


DNS중요성 및 보안문제는 다들 알고 있는 내용이나 조치 및 관리가 안되고 있어 정리해 올립니다 ^^
 
주의 : 처음하시는분은 설정 테스트해보시고 작업하세요~ 무작정 작업하시면 장애납니다 - -

DNS무료점검 http://www.serverchk.com/

 
보안정보
http://www.kb.cert.org/vuls/id/800113
http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
http://www.securityfocus.com/brief/779


NIDA : http://dns.nida.or.kr/
Ns확인 http://www.zonecut.net/dns/
          http://zonecheck.denic.de/zonecheck ( http://www.afnic.fr/outils/zonecheck)
DNS Trace http://www.squish.net/dnscheck/
 

자세한 설명은 DNS 교육신청 http://www.bpan.com/edu_new/edu_lec/49
             
감사합니다.