점검 목적
DNS Zone Transfer 차단 설정을 적용해 도메인 정보 외부 유출을 막기 위함.
※ Zone Transfer ? DNS 서버 간 특정 DNS Zone 에 대한 정보를 복사함. 마스터 DNS 서버와 슬레이브 DNS 서버 사이에서 수행됨.
- 마스터 DNS 서버의 경우 Zone 파일에 대한 권한을 가짐.
- 마스터 DNS 서버의 경우 Zone 파일에 대한 권한을 가짐.
- 즉, 허용된 슬레이브 DNS 에게 전달하기 위해 나머지는 차단하라는 설정!
보안 위협
DNS Zone Transfer 차단 미설정 시 DNS 서버에 저장되어 있는 도메인 정보가 외부 유출 위험 존재함.
유출 시 공격자가 해당 정보로 홈페이지 및 하위 URL 정보 탈취가 가능해짐.
판단기준
양호 : DNS 서비스를 사용하지 않음, 영역 전송 허용을 하지 않는 경우, 특정 서버로만 설정이 되어 있는 경우
취약 : 3개 중에 하나라도 해당되지 않는 경우
점검 방법
1. DNS 관리자(dnsmgmt.msc) > 각 DNS 서버 > 각 영역 속성 > 영역 전송 확인할 것.
- 영역 전송을 허용하고 있으므로 취약
2. 또는 레지스트리 SecureSecondaries 값 확인할 것.
- SecureSecondaries 값이 0이므로 취약
조치방안
1. DNS 영역 전송 특정 서버로 설정 시,
DNS 관리자(dnsmgmt.msc) > 각 DNS 서버 > 각 영역 속성 > 영역 전송 > "다음 서버로만" 선택할 것.
2. 또는 레지스트리 편집기 > SecureSecondaries 값 2로 설정할 것.
SecureSecondaries 값 0x00000000 "아무 서버로 전송 허용"
SecureSecondaries 값 0x00000001 "이름 서버 탭에 나열된 서버로만 전송 허용"
SecureSecondaries 값 0x00000002 "다음 서버로만 전송 허용"
SecureSecondaries 값 0x00000003 "영역 전송 비허용"
3. DNS 영역 전송 허용하지 않을 시,
DNS 관리자(dnsmgmt.msc) > 각 DNS 서버 > 각 영역 속성 > 영역 전송 > "영역 전송 허용" 설정 체크 해제 할 것.
4. 또는 레지스트리 편집기 > SecureSecondaries 값 3로 설정할 것.
https://newbie21.tistory.com/72
DNS ?
DNS(Domain Name System) ? IP와 도메인을 연결해주는 데이터베이스 시스템 연결되어 있는 IP 주소와 도메인이 저장된 곳이 DNS 임 각 도메인들마다 DNS와 연결해주는 서버 역할을 하는 DNS 서버, 다른 말로
newbie21.tistory.com
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-38. 화면보호기 설정 (1) | 2023.04.03 |
|---|---|
| [MSIT] W-37. SAM 파일 접근 통제 설정 (0) | 2023.04.03 |
| [MSIT] W-28. FTP 접근 제어 설정 (0) | 2023.04.03 |
| [MSIT] W-27. Anonymous FTP 금지 (0) | 2023.04.03 |
| [MSIT] W-26. FTP 디렉터리 접근권한 설정 (0) | 2023.04.03 |