5.8.DNS BIND업그레이드후 보안장비와이슈
DNS소프트웨어(BIND,WindowsDNS)자체 보안문제로 업그레이드나 패치를 하게 된다.
이때 기존 Firewall의 DNS관련 보안 디폴트설정이 512바이트를 넘으면 drop설정되어 있는 경우 전체 서비스가 안될수 있다.
DNS확장 필요로 EDNS가 생기면서 문제가 발생함.
BIND의 경우는 옵션값으로 조정 가능하다.
Windows2003의경우 아래와 같이EDNS Disable 한다.
Cisco PIX Firewall의 설정변경으로도 해결 가능하다.
Bind업그레이드후 yahoo.com등 사이트 접속불가한것 해결.
.COM 사이트 대부분 접속불가증상.
Options {
"edns-udp-size 512;"
};
참고 : edns-udp-size is available in 9.3.0 / 8.4.0.
# dig @127.0.0.1 www.yahoo.com+dnssec
;; MSG SIZE sent: 42 rcvd: 546 (512K 보다 큼)
1. Start a command prompt
2. Type dnscmd /Config/EnableEDnsProbes 0, and then press ENTER.
참고 MS: http://support.microsoft.com/?id=828731
The Extended DNS (EDNS0) featureadds support for the DNS fixup and support for a UDP DNS response packetgreater than 512 bytes. Support for greater than 512 bytes is defined in RFC 2671.Prior to this feature, the firewall simply dropped UDP DNS response packetsgreater than 512 bytes.
On my PIX we do this :
fixup protocol dns maximum-length4096 as named advertises a 4k UDPbuffer.
http://www.faqs.org/rfcs/rfc2671.html
https://brunch.co.kr/@topasvga/220