DNS취약점 정리해 공유드립니다.

DNSPro Top 7 DNS Security Risks - 2013
http://cafe.naver.com/dnspro/22229

1. 서버리스트 노출
2. DNS소프트웨어 취약점
3. 버전정보 노출
4. 관리자 계정 및 메일관리 취약
5. DDOS에 취약
6. OPEN DNS 취약점에 노출된체 운영중
7. DNS서버는 이중화 안되어 있음

=====DNSPro Top 7  DNS Security Risks - 2013=====


1.  서버리스트 노출

   문제점: DNS서버의 기본 보안설정 미비로 많은 기업들 DNS를 통해 전체 서버리스트가 노출 되어 있다.

   해결법 : DNS서버에 서버리스트 전송제한 기능 설정 필요 (Zone-transfer 제한기능 설정필요)

   메뉴얼 : http://cafe.naver.com/dnspro/292

 

2. DNS소프트웨어 취약점

  문제점 : 취약점을 가진 DNS서버로  기본운영중

  해결법 :  최신 버전으로 업그레이드

     BIND DNS 다중 취약점 보안 업데이트 권고 http://cafe.naver.com/dnspro/21130

    BIND 버전별 취약점 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bind

    BIND 서비스 거부 취약점 보안 업데이트 권고 https://www.isc.org/software/bind/advisories/cve-2011-tbd


3. 버전정보 노출 

  문제점 : DNS서버의 기본 보안설정 미비로 버전이 노출되어 있음

  해결법 : 버전 정보가 노출된부분에 대해 보안설정 필요


4. 관리자 계정 및 메일관리 취약

   문제점 : 계정정보 유출로 인해, DNS서버 관리업체 사이트로 정상 로그온해 정보변경

   해결법 : DNS서버 관리업체 사이트의 암호의 주기적인 변경 (타 포털사이트의 계정/암호와 같지 않도록 관리)

    3년간 민간부분 도메인 4만여건 해킹 http://cafe.naver.com/dnspro/16926

   트위터 DNS서버 해킹사고로 중지 http://cafe.naver.com/dnspro/14192

   국내도 유출된 장보로 DNS서비스 중기되는 경우가 발생되고 있습니다 http://cafe.naver.com/dnspro/22187

 
5. DDOS에 취약

  문제점 : DNS서버는 보통 2대정도로 운영중이라, DDOS에 취악함

  해결법 : 네트워크장비를 이용해 서버를 다중화하거나, 고성능 서버 도입을 통해 가용성 확보

  아마존,월마트 DNS DDOS공격받아 다운 http://cafe.naver.com/dnspro/14299

 

6. OPEN DNS 취약점에 노출된체 운영중

  문제점 : 현재 DNS네임서버운영 기관들의 네임서버를 PC DNS로 설정하면 인터넷이 가능하며,

            운영버전에 따라 캐쉬 포이즈닝 공격 취약점이 존재한다.

  해결법 : 네임서버 전용과 Cache DNS전용 DNS서버를 구분하여 운영.

   DNS취약점 이용 해킹 노출 http://cafe.naver.com/dnspro/525

 
7. DNS서버 이중화 안되어 있음

  문제점 : 현재 서버는 같은 네트워크에 있거나, 같은 네트워크장비에 물려있어 네트워크장비 장애시

             전체서비스가 중단 되는 RISK가 있음

  해결법 : DNS서버의 네트워크 분산배치 및 네임서버 추가를 통한 다중화


DNS중요성 및 보안문제는 다들 알고 있는 내용이나 조치 및 관리가 안되고 있어 정리해 올립니다 ^^
주의 : 처음하시는분은 설정 테스트해보시고 작업하세요 ~ 무작정 작업하시면 장애납니다 - -

213년 4월 29일 월요일 ,  From : DNSPro.kr 운영진


 
별첨.  참고할만한 사이트
- DNS무료점검 http://www.serverchk.com/

- 보안정보

 http://www.kb.cert.org/vuls/id/800113
 http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx
 http://www.securityfocus.com/brief/779

 

- 점검 사이트

NIDA : http://dns.nida.or.kr/

Ns확인 http://www.zonecut.net/dns/

http://zonecheck.denic.de/zonecheck ( http://www.afnic.fr/outils/zonecheck)

DNS Trace http://www.squish.net/dnscheck
 

[출처] [보안자료] DNSPro Top 7 DNS Security Risks - 2013 (DNS전문가카페) |작성자 DNS카페운영진

+ Recent posts