SRV-173 DNS 서비스의 취약한 동적 업데이트 설정

SRV-173 DNS 서비스의 취약한 동적 업데이트 설정

【 상세설명 】
DNS(Domain Name Service) 서비스의 동적 업데이트 기능이 불필요하게 활성화되어 있고 신뢰할 수 있는 출처 이외에도 업데이트가 가능한 경우, 악의적인 사용자에 의해 DNS 레코드가 변조될 위협이 존재하므로, 해당 기능의 설정 적절성을 점검

【 판단기준 】
- 양호 : DNS 서비스의 동적 업데이트 기능이 비활성화 되었거나, 활성화 시 적절한 접근통제를 수행하고 있을 경우
- 취약 : DNS 서비스의 동적 업데이트 기능이 불필요하게 활성화 되어있거나, 필요에 의해 사용 중이어도 적절한 접근통제를 수행하고 있지 않을 경우

【 판단방법 】
  1. DNS 서비스 설정 파일에서 동적 업데이트 기능 설정 확인
      ※ allow-update, update-policy 설정이 없으면 기본적으로 동적 업데이트 기능 비활성화
      ※ DNS 설정 파일에서 기능이 비활성화 되어 있어도 DNS Zone 파일에 활성화 설정이 있으면 활성화 설정 적용

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat /etc/named.conf
      # cat /etc/bind/named.conf
          zone "." IN {
          ...
          };
      또는
          zone "." IN {
          ...
                  allow-update { none; };
          };
      또는
          zone "." IN {
          ...
                  allow-update { 192.168.0.10; };
          };
      또는
          zone "." IN {
          ...
                  update-policy { <update_policy_rule>; };
          };
  
【 조치방법 】
  1. 업무상 불필요한 경우 DNS 서비스 설정 파일에서 동적 업데이트 기능 비활성화
  2. DNS 서비스 재시작
 
  2024-01-13 : (조치과정 삭제)