기존 내부 DNS 바인드 서버를 활용하고 일부 RPZ 보안을 추가하고 싶습니다. 이전에는 내부 보기를 DNS로 분할하여 3개의 특정 도메인을 사무실 내부 DNS 서버로 전달했습니다.
zone "company.tld" IN {
type forward;
forward only;
forwarders {
10.10.161.1;
10.11.161.1;
};
좋은 결과. 전송 공급자에 등록한 후 RPZ를 추가하는 경우:
response-policy {
zone "oisd-full.ioc2rpz" policy nxdomain;
}
qname-wait-recurse no break-dnssec yes;
내 RPZ가 제대로 실행되고 있는 것을 볼 수 있지만 내 전달 영역이 RPZ에 의해 캡처되고 있습니다. (예, 제가 일했던 많은 회사 중 하나는 현재 누군가의 나쁜 목록에 올라 있는 내부 TLD를 실수로 사용했습니다.)
이 도메인을 화이트리스트에 추가하려고 했지만 바인딩을 위해서는 내 영역 정의가 전달 유형이 아닌 마스터 또는 슬레이브 유형이어야 합니다.
두 기능 중 하나를 사용하는 사람의 좋은 예를 찾지 못했습니다. IE: Bind가 RPZ 이전에 모든 로컬 영역을 먼저 보도록 허용하거나 통과로 표시된 경우 응답에 대한 보기 구성을 계속 볼 수 있도록 화이트리스트를 표시합니다.
아이디어가 있나요?
답변1
더 많은 디버깅을 수행하는 동안(많은 로깅이 활성화됨) 문제의 원인을 찾았습니다. RPZ를 지원하기 위해 Bind9를 업데이트했을 때 DNSSEC를 활성화했고 전달자가 체인을 신뢰할 수 없다는 사실을 깨닫지 못했습니다(신뢰 체인이 없었기 때문에). 의도적으로 DNSSEC를 전체적으로 비활성화했으며 PASSTHRU가 이제 제대로 작동하기 때문에 내 RPZ 화이트리스트가 회사 AD 도메인의 화이트리스트 영역에 있습니다.
이제 DNSSEC를 더 잘 이해하고 디스크가 가득 차기 전에 쿼리 로깅을 끄기 위해 배우기 시작했습니다.