문제
네임서버 간에는 Secondary NS 측에 의하여 Primary NS측 도메인의 Zone에 대한
복사본을 얻기위해, Zone 데이터베이스를 끌어오는 Zone Transfer작업이
주기적으로 이루어지게 된다. 하지만 이 Zone Transfer를 무제한으로 허용할
경우에는 내부 네트웍의 정보가 필요이상으로 외부에 유출되는 결과가 된다.
Primary NS측 입장에서 Zone Transfer를 오직 203.239.110.1 으로부터만
접근가능하도록 DNS 구성을 변경설정 하시오.
단, named 버전은 9.x 이며, 구성파일은 /etc/named.conf이다
zone transfer란? (http://www.superuser.co.kr/home/lecture/files/sbHong/securing_zone_transfer.pdf 참조)
zone-transfer, 우리말로 zone전송이라고도 하는 이것은 master와 slave간
에 또는 1차와 2차간에, primary와 secondary DNS간에 zone 파일을 동기
화하기 위한 용도로 사용되는 기술이다. 많은 관리자들이 1차와 2차 DNS를
마치 active/standby처럼, 2차를 백업의 용도로 생각하여 1차가 서비스를 하
다가 만약 1차가 다운되면 대신 2차 DNS가 서비스하는 것으로 생각하지만
이는 잘못된 것이다. 1차와 2차는 백업이 아닌 로드발랜싱의 개념이며 따라
서 1차와 2차가 똑같이 DNS lookup을 서비스하는 것이다. 따라서 양 서버
간에 zone 파일을 동기화하기 위해서는 zone 파일을 NFS등으로 연결하여
사용하는 방법도 있겠지만 DNS 자체에 zone-transfer라는 기능을 제공하고
있어 주로는 이 기능을 이용하고 있다. 참고로 해당 서버간 Zone-transfer
시에는 해당 zone 파일의 SOA필드에 있는 Serial 필드를 보아 갱신할 것인
지 여부를 결정하게 된다.
풀이
/etc/named.conf 에서 option을 준다.
options {
allow-transfer {192.168.1.3; };
};
* allow-transfer 안의 ip주소는 허용할 ip주소 - secondary DNS
'예전것 > 네트워크 보안' 카테고리의 다른 글
| 네트워크 해킹과 보안: 10장 - 연습문제/심화연습문제 (0) | 2009.07.13 |
|---|---|
| ARP, RARP, ICMP (0) | 2009.07.03 |
| 고급 : iptable의 패킷 필터링 설정문제 (0) | 2009.05.28 |
