외부 DNS 조회 비활성화-이것이 보안에 정말 유익합니까?

방화벽이있는 경우 올바르게 구성되어 있으면 DNS가 네트워크를 드나 드는 방식입니다. 보안 수준에 따라 필요하지 않은 DNS를 차단하는 것은 유용한 강화 방법이 될 수 있습니다.

보안 컨설턴트로서 제한된 서버 측 요청 위조가있는 시스템에서 자신을 찾는 것은 드문 일이 아닙니다. 다른 서버 측 취약점. 일부 고객은 방화벽을 사용하여 훨씬 더 많은 것을 얻을 수 없도록 매우 잘 구성된 방화벽을 가지고 있지만 DNS를 통해 일반적으로 네트워크에 대해 더 많이 배우고 때로는 유용한 데이터 터널을 설정할 수 있습니다. 이러한 경우 DNS를 비활성화하는 것이 관의 마지막 못이 될 것입니다.

이로 인해 문제가 발생합니다.

그게 위험합니다. DNS를 비활성화하고 누군가가 필요로하는 경우 (예 : apt update) 시스템 관리자가 추악한 해결 방법을 사용할 위험이 있습니다. 네트워크 보안을 강화하는 대신 보안 수준을 낮 춥니 다. “작업을 제대로 수행 할 수없는 경우 DNS를 모두 비활성화하는 것은 올바른 선택이 아닙니다.

제한된 확인자가 해결책이 될 수 있습니까? 로컬 호스트 또는 전용 시스템에서 실행될 수 있으며 도메인 화이트리스트 만 확인하도록 구성 할 수 있습니다. “데이터 및 응용 프로그램을 다른 사람의 컴퓨터 (“클라우드 “)로 이동한다고 언급 했으므로 회사에서 사용하는 SaaS / * aaS 서비스에 속한 도메인 만 확인하면되는 것 같습니다.

함정은 *.cloudCorp.example.com와 같은 화이트리스트를 작성하면 공격자가 cloudCorp에서 VPS를 구매하고 일치하는 도메인 이름을 얻을 수 있다는 것입니다. 그것은 조심해야 할 것입니다. 그러나 이것이 피할 수없는 경우에도 (그리고 그것이 주어진 것이 아니라) 모든 DNS 쿼리를 허용하는 것보다 낫습니다.

DNS는 어떤 시스템이 외부 세계의 누구와 대화하고 있는지를 파악할 수있는 주요 수단이므로 보안 팀에게 매우 중요합니다. 따라서 보안 팀은 모든 조회를 중앙 집중화하고 요청 & 응답을 기록하려고합니다.

DNS 데이터 유출, DNS 터널링, DNS 터널링과 같은 많은 공격 경로가 있습니다. DNS 감염 및 DNS를 명령 및 제어로 사용하므로 DNS를 제어하는 것이 보안 팀에 중요합니다.

차단되거나 차단되지 않은 항목에 대해서는 특정 팀과 함께 해결해야하는 세부 사항입니다. / administrators,하지만 예 DNS 보안 및 로깅은 모든 회사에 중요합니다.