brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jun 14. 2017

24. DNS BIND업그레이드후 보안장비와이슈

5.8.DNS BIND업그레이드후 보안장비와이슈


DNS소프트웨어(BIND,WindowsDNS)자체 보안문제로 업그레이드나 패치를 하게 된다.

이때 기존 Firewall의 DNS관련 보안 디폴트설정이 512바이트를 넘으면 drop설정되어 있는 경우 전체 서비스가  안될수 있다.


DNS확장 필요로 EDNS가 생기면서 문제가 발생함.

BIND의 경우는  옵션값으로 조정 가능하다.


Windows2003의경우 아래와 같이EDNS Disable 한다.


Cisco PIX Firewall의 설정변경으로도 해결 가능하다.

Bind업그레이드후 yahoo.com등 사이트 접속불가한것 해결.

.COM 사이트 대부분 접속불가증상.



Named.conf 설정파일에  edns-udp-size 설정 추가로 해결


Options {

"edns-udp-size 512;"

};


참고 : edns-udp-size is available in 9.3.0 / 8.4.0.



# dig @127.0.0.1 www.yahoo.com+dnssec

;; MSG SIZE  sent: 42 rcvd: 546 (512K 보다 큼)




Windows 2003 해결법


turn off EDNS0 support in WindowsServer 2003.  


1. Start a command prompt


2. Type dnscmd /Config/EnableEDnsProbes 0, and then press ENTER.



참고 MS: http://support.microsoft.com/?id=828731




PIX Firewall에서 해결법


Extended DNS (EDNS0) Fixup

The Extended DNS (EDNS0) featureadds support for the DNS fixup and support for a UDP DNS response packetgreater than 512 bytes. Support for greater than 512 bytes is defined in RFC 2671.Prior to this feature, the firewall simply dropped UDP DNS response packetsgreater than 512 bytes. 



On my PIX we do this : 

fixup protocol dns maximum-length4096  as named advertises a 4k UDPbuffer.

http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/prod_release_note09186a008043f18d.html#wp121062

http://www.faqs.org/rfcs/rfc2671.html





다음

https://brunch.co.kr/@topasvga/220


매거진의 이전글 23. DNS 로그 남도록 설정 하는법 ?
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari