귀하의 도메인(웹 사이트)에 NS, A, MX 및 CNAME 레코드를 제공하는 두 개의 공용 DNS 서버가 있는 경우 영역 전송 데이터를 암호화해야 합니까, 아니면 마스터-슬레이브 네트워크를 일반 텍스트로 보낼 수 있습니까?
저는 데비안 8에서 바인드9를 사용하고 있습니다.
답변1
인터넷상의 모든 대화는 비공개로 이루어져야 합니다. DNS항상 비공개여야 하고, 인터넷을 실행해야 하며, 깨끗한 DNS기록이 없으면 네트워크에 의존할 수 없습니다.
MITM마스터와 슬레이브 사이에 공격이 발생하고 슬레이브의 레코드를 수정하는 경우 DOS마스터만 필요하며 슬레이브는 잘못된 레코드를 제공하기 시작합니다.
이 좋은 글을 읽어보세요기사
답변2
아니요실제다음의 경우를 제외하고 일반 텍스트로 영역을 보내는 것은 위험합니다.
- 영역에는 구경꾼에게 노출되어서는 안 되는 기록이 포함되어 있습니다(예: "example.net" 영역에는 소수의 사람에게만 공개되는 "hiddenstuff.example.net" 기록이 있습니다).
- 문제의 네트워크에는 몇 가지 고유한 보안 문제가 있습니다(예: 이더넷을 통해 전송하고 잘못된 사용자가 있는 경우).
답변3
올바른 질문을 추구하지 않을 수도 있지만 상황을 올바른 시각으로 보는 데 실제로 도움이 되는 충분한 맥락을 제공하지 못하고 있습니다.
여러 가지 방법으로 서로 다른 호스트 간의 영역 파일 전송을 보호할 수 있습니다. 첫째, 마스터는 AXFR/IXFR 쿼리가 슬레이브에서만 나오도록 제한할 수 있고 슬레이브는 NOTIFY 쿼리를 제한할 수 있습니다(슬레이브는 마스터에서 데이터를 가져오므로 개시자임). 더 강력한 인증을 위해 TSIG가 있습니다. Bind9를 참조하세요.ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch04.html#tsig
또한 오늘날 많은 네임서버 팜은 단일 소스 및/또는 대역 외에서 구성됩니다. 예를 들어 콘텐츠는 데이터베이스에 있고 어딘가에 생성된 다음 rsync모든 이름 서버를 사용하거나 이와 동등하게 배포될 수 있습니다. 네임서버 간에는 서로 업데이트할 DNS 메시지가 없습니다.
별도의 방식으로 일반적으로 "숨겨진" 마스터 서버가 있습니다. 즉, 모든 영역 파일 변경 사항이 모든 공개 이름 서버에 제공되는 것으로 나타나는 이름 서버입니다. 거기에 MITM이 존재할 방법은 없습니다. 숨겨진 마스터 서버가 있는지조차 모르기 때문입니다. 서버가 어디에 있는지, IP인지는 더욱 알 수 없습니다. (이미 네임서버를 제어할 수 있는 경우는 완전히 다른 질문입니다.) ).
다른 댓글에서 말했듯이 이제 DNSSEC가 생겼습니다. 영역에 DNSSEC가 올바르게 구성되어 있으면 누군가가 이름 서버에서 또는 전송 중에 해당 콘텐츠를 변경하더라도 새 답변이 전혀 서명되지 않거나 잘못 서명되기 때문에 유효성을 검사하는 재귀 이름 서버가 변경 사항을 감지합니다.