SRV-063 DNS Recursive Query 설정 미흡
【 상세설명 】
공격자가 스푸핑 IP 주소(IP Spoofing)로 다량의 DNS 응답을 보내는 공격(DNS Cache Poisoning-DNS 캐시에 거짓정보가 들어가게 하는 공격) 등의 DNS 공격 위협이 존재하므로 DNS 서버가 불필요하게 Recursive Query를 지원하고 있는지 점검
【 판단기준 】
- 양호 : Recurisve query를 금지하고 있거나, 신뢰된 호스트만 허용하는 경우
- 취약 : Recursive query를 접근 통제 없이 허용하고 있는 경우
【 판단방법 】
1. DNS Recursive Query 제한 설정 확인
※ option 내부에 recursion yes 옵션이 없거나 no 로 설정된 경우는 recursive query를 허용하지 않음
※ option 내부에 recursion yes 로 설정된 경우에는 recuresive query를 허용함
2. (DNS Recursive Query 를 사용하는 경우) ACL 또는 allow-recursion 구문 내 호스트 제한 설정 확인
■ Linux, AIX, HP-UX, SOLARIS
[BIND 9]
# cat /etc/named.conf
# cat /etc/bind/named.conf
# cat /etc/bind/named.conf.options
options{
recursion yes;
allow-recursion { <ip_address>; };
...
};
또는
options{
recursion yes;
acl trust { 192.168.1.0/24; };
allow-recursion { <ip_address>; };
...
};
[BIND 8]
# cat /etc/named.conf
# cat /etc/bind/named.conf
# cat /etc/bind/named.conf.options
options{
recursion yes;
allow-recursion { <ip_address>; };
...
};
[BIND 4] : "no-recursion" 설정 확인
# cat /etc/named.boot
# cat /etc/bind/named.boot
options no-recursion
...
【 조치방법 】
1. DNS 서비스 설정 파일에서 DNS Recursive Query 제한 설정
※ option 내부에 "recursion no" 또는 "allow-recursion { "none"; };" 설정
2. (DNS Recursive Query 를 사용하는 경우) ACL 또는 allow-recursion 구문으로 호스트 제한 설정
3. DNS 서비스 재시작
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Linux' 카테고리의 다른 글
| SRV-064 취약한 버전의 DNS 서비스 사용 (0) | 2024.01.03 |
|---|---|
| SRV-062 DNS 서비스 정보 노출 (0) | 2024.01.02 |
| SRV-037 취약한 FTP 서비스 실행 (0) | 2024.01.01 |