SRV-066 DNS Zone Transfer 설정 미흡

SRV-066 DNS Zone Transfer 설정 미흡

【 상세설명 】
DNS 서버에 저장되어 있는 도메인 정보의 사본을 전송하는 DNS Zone Transfer 기능이 내부 DNS 서버만 접근할 수 있도록 통제되어 있지 않다면, 임의의 공격자가 도메인 내 호스트 목록 정보를 획득하여 공격에 활용할 수 있기 때문에 해당 기능의 설정 적절성을 점검

【 판단기준 】
- 양호 : zone transfer를 위한 서버 제한 설정이 적용되어 있을 경우
- 취약 : zone transfer를 위한 서버 제한 설정이 적용되어 있지 않을 경우

【 판단방법 】
  1. DNS 서비스 설정 파일에서 DNS Zone Transfer 기능 서버 제한 설정 확인
      ※ option 내부에 zone transfer 접근 통제를 위한 "allow-transfer" 구문 설정 확인
  2. DNS 서비스 Zone 파일에서 DNS Zone Transfer 기능 서버 제한 설정 확인
      ※ DNS 설정 파일에서 기능이 제한되어 있어도 DNS 서비스 Zone 파일에 허용 설정이 있으면 허용 설정 적용
      ※ DNS 서비스 Zone 파일명은 임의로 지정 가능하므로 DNS 설정 파일에서 Include 구문으로 참조하는 파일 확인 필요

  ■ Linux, AIX, HP-UX, SOLARIS
      [BIND 8, 9]
      # cat /etc/named.conf
      # cat /etc/bind/named.conf
      # cat /etc/bind/named.conf.options
          options{
              allow-transfer { "none"; };
              ...
          };

      # cat /etc/named.rfc1912.zones
      # cat /etc/bind/named.conf.default-zones
          zone "example.com" IN {
                  allow-transfer { any; };
                  ...
          };

      [BIND 4] : "xfrnets" 구문 내 호스트 서버 제한 설정 확인
      # cat /etc/named.boot
      # cat /etc/bind/named.boot    
          options
                  xfrnets <ip_address>
                  ...

【 조치방법 】
  1. DNS 서비스 설정 파일에서 DNS Zone Transfer 기능 서버 제한 설정
      ※ option 내부에 "allow-transfer" 구문 내 호스트 서버 제한 설정
      ※ DNS Zone Transfer 기능이 필요한 경우 DNS 설정 파일에서는 제한하고 DNS Zone 파일에 허용 설정
  2. DNS 서비스 Zone 파일에서 DNS Zone Transfer 기능 서버 제한 설정
  3. DNS  서비스 재시작

2024-01-13 : (조치과정 삭제)