O 아래 네임서버에 대한 점검 필요
--------------------------------------------------
ns.aaa.com(xxx.xxx.xxx.1) : Authoritative 미응답
ns.aaa.kr(xxx.xxx.xxx.67) : Authoritative 응답
CHK_MAN_03
항목
모든 네임서버의 위임 정보일치
점검 목적
O 도메인에 설정된 네임서버 정보가 최상위 도메인에 설정된 위임 네임서버 정보와 일치하는지 여부 점검
점검 개요
O 도메인 존에 설정된 네임서버 정보와 도메인 등록정보에 설정된 위임설정 네임서버 정보가 불일치하는 경우가 존재
O 불일치 네임서버가 존재하는 경우, DNS 질의응답 불안정 현상이 발생할 수 있음
O 보안측면에서는 DNS 데이터 위변조 공격(파밍 등)에 취약한 구성을 가지고 있음
개선 조치 가이드
O 도메인 등록 시, 함께 등록한 도메인의 네임서버 정보가 도메인 존에 설정되어 있는 네임서버 정보와 불일치 상태 발생
- 도메인 등록대행 기관을 통하여 등록한 도메인의 네임서버 정보와 실제 도메인 존에 설정되어 있는 네임서버 정보는 일치해야 함
- 불일치하는 경우, DNS 질의응답 불안정 및 지연발생의 원인이 되며, 보안상 취약한 상태에 놓이게 됨
O 개선조치 방법
- 도메인 등록정보에 설정된 네임서버 정보와 도메인 존의 NS RR에 설정되어 있는 네임서버 개수와 내용이 동일하도록 조치
- 도메인 등록정보에 설정된 네임서버가 실제 도메인의 구성 네임서버가 아닌 경우, 도메인 등록정보에 설정된 해당 네임서버 정보를 삭제
- 도메인 등록정보에 설정된 네임서버가 실제 도메인의 구성 네임서버이지만 도메인 존에 NS RR로 설정되어 있지 않은 경우, 도메인 존에 해당 네임서버 정보를 NS RR로 추가 설정 조치
- 도메인 존에 설정된 네임서버가 도메인 등록정보에 등록이 되어 있지 않은 네임서버인 경우, 도메인 등록정보에 해당 네임서버 정보 추가 등록 조치
O 도메인 등록정보의 네임서버 정보 변경 신청
- 소유한 도메인 등록절차를 대행한 도메인 등록대행기관 사이트에 접속하여, 소유 도메인의 등록정보 변경신청 요청
- 도메인 등록대행기관(등록대행자) 리스트 정보 : http://domain.nida.or.kr의 "kr도메인 등록 > 등록대행자 서비스 조회" 메뉴
- 소유 도메인의 등록대행기관 파악 방법 : http://whois.nida.or.kr에서 소유 도메인명 입력, 조회. "등록대행자:" 필드에서 등록대행기관명 확인
O 조치방법 예시 1: 최상위 도메인에 등록된 네임서버 중 하나가 도메인 존에는 설정 누락된 경우
- 아래 설정미흡 사항의 경우, KR 도메인에 등록 설정된 네임서버 128.104.2.4가 해당 도메인 존에는 설정 되어 있지 않음
*128.104.2.4 : [.KR 도메인 : ns2.other.ne.kr. (128.104.2.4)], [err.ex.kr 도메인 : 없음(없음)]
128.1.2.4 : [.KR 도메인 : ns.err.ex.kr.(128.1.2.4)], [err.ex.kr 도메인 : ns.err.ex.kr.(128.1.2.4)]
- 네임서버 128.104.2.4가 도메인의 네임서버가 아닌 경우, KR 도메인 등록정보 변경 신청을 통해 네임서버 정보를 실제 구성 상황에 적합하도록 변경 조치
- 네임서버 128.104.2.4가 도메인의 네임서버로 사용되고 있는 경우, 도메인 존 파일에 NS RR을 사용, 네임서버 128.104.2.4에 대한 설정을 추가, 실제 구성 반영 설정 조치
O 조치방법 예시 2: 도메인 존에는 설정되어 있는 네임서버가 최상위 도메인에 등록 누락된 경우
- 아래 설정미흡 사항의 경우, 도메인 존에 설정된 네임서버 128.104.2.4가 KR 도메인에 등록 설정되어 있지 않음
128.1.2.4 : [.KR 도메인 : ns.err.ex.kr.(128.1.2.4)], [err.ex.kr 도메인 : ns.err.ex.kr.(128.1.2.4)]
*128.104.2.4 : [.KR 도메인 : 없음(없음)], [err.ex.kr 도메인 : ns2.other.ne.kr. (128.104.2.4)]
- 네임서버 128.104.2.4가 도메인의 실제 네임서버가 아닌 경우, 도메인 존 파일에서 네임서버 128.104.2.4 설정 삭제, 실제 구성 반영 조치
- 네임서버 128.104.2.4가 도메인 네임서버로 실제 사용하는 경우, 128.104.2.4 네임서버를 KR 도메인 등록정보에서 변경 조치
점검방법
O 최상위 도메인 존에 설정된 위임 네임서버 정보 파악 및 점검 방법
- 명령 : dig +norecurse @'최상위 네임서버' '도메인명' SOA
- 응답결과 중 'AUTHORITY SECTION' 또는 'ANSWER SECTION'의 NS 레코드에 설정된 네임서버 네임 체크
- 'ADDITIONAL SECTION'에 네임서버 도메인 네임의 IP 주소가 실제 네임서버와 일치여부 확인
- 네임서버의 IP 주소가 실제 네임서버 IP 주소와 일치해야 함
- 네임서버의 도메인 네임은 불일치 해도 질의응답 안정성에는 문제 없음
※ 'ADDITIONAL SECTION'에 네임서버 IP 주소 정보가 없는 경우, 네임서버 도메인 네임에 대해 일반 DNS 질의로 IP 주소 추가 확인 필요
C:\>dig +norecurse @b.dns.kr nida.or.kr SOA
; <<>> DiG 9.4.1-P1 <<>> +norecurse @b.dns.kr nida.or.kr SOA
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1108
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 4
;; QUESTION SECTION:
;nida.or.kr. IN SOA
;; AUTHORITY SECTION:
nida.or.kr. 86400 IN NS ns2.nida.or.kr.
nida.or.kr. 86400 IN NS ns0.nida.or.kr.
nida.or.kr. 86400 IN NS ns1.nida.or.kr.
;; ADDITIONAL SECTION:
ns0.nida.or.kr. 86400 IN A 202.30.50.52
ns0.nida.or.kr. 86400 IN AAAA 2001:dc5:0:10:202:30:50:52
ns1.nida.or.kr. 86400 IN A 202.30.50.51
ns2.nida.or.kr. 86400 IN A 61.74.72.161
;; Query time: 202 msec
;; SERVER: 61.74.75.1#53(61.74.75.1)
;; WHEN: Fri Jul 11 15:37:37 2008
;; MSG SIZE rcvd: 158
