[DNS점검] 7. Zone Transfer 보안점검

요약

Zone Transfer가  반드시 차단되어 있어야한다.

1

Zone Transfer가 허용되어있을 경우, 외부 누구나 귀사의 모든 서버 호스트 및 IP 정보를 알수 있으므로  반드시 제한하는 설정이 필요하다.

 


DNS기본 설정시는  서버리스트(Zone정보)가 노출되어 있으므로, 반드시 보안설정을 해주어야 한다.

보안 설정을 하지 않으면, 각 서버의 호스트명과 모든 서버 ip가 노출되어 해킹을 당하는 경우가 생긴다.

많은 기관들이 아직 노출되어 있어, 조치가 필요한 부분이다.

 

2

조치법

 


Zone Transfer 제한 설정법

Slave 네임서버에서만 서버정보를 전송해갈수 있도록 설정해야 한다.

 

1) Linux, Unix 서버

BIND 8 또는 9 에서 allow-transfer 설정법

# vi  /etc/named.conf

options {

             allow-transfer { 127.0.0.1;  200.1.1.1;  200.2.2.2;  };

};

//  200.1.1.1, 200.2.2.2 는  실제 네임서버 IP를 적어주어야한다.

 

해당서버가 Slave네임서버로만 사용되면,  해당 Slave 네임서버는  Zone전송이 아예 되지 않도록 설정한다. 

# vi  /etc/named.conf

options {

             allow-transfer { none ;  };

};

 

참고.

BIND 4.9 등에서는 xfrnets 지시자 이용한다.

Xfrnets 15.0.0.0 128.32.0.0

 

특정 도메인에 대해서 특정IP만 전송허용하게 하기

Zone “movie.edu” {

             Type master;

             File “db.movie.edu”;

             Allow-transfer { 192.249.249.1; 192.253.253.9; };

};

 

 

2) Windows 2003 서버의 경우 Zone전송제한

Master서버의 경우 IP Address부분에 Slave서버 IP만 넣어주면 된다.

 

 

 

감사합니다.