24. DNS BIND업그레이드후 보안장비와이슈

5.8.DNS BIND업그레이드후 보안장비와이슈

DNS소프트웨어(BIND,WindowsDNS)자체 보안문제로 업그레이드나 패치를 하게 된다.

이때 기존 Firewall의 DNS관련 보안 디폴트설정이 512바이트를 넘으면 drop설정되어 있는 경우 전체 서비스가  안될수 있다.

DNS확장 필요로 EDNS가 생기면서 문제가 발생함.

BIND의 경우는  옵션값으로 조정 가능하다.

Windows2003의경우 아래와 같이EDNS Disable 한다.

Cisco PIX Firewall의 설정변경으로도 해결 가능하다.

Bind업그레이드후 yahoo.com등 사이트 접속불가한것 해결.

.COM 사이트 대부분 접속불가증상.

Named.conf 설정파일에  edns-udp-size 설정 추가로 해결

Options {

"edns-udp-size 512;"

};

참고 : edns-udp-size is available in 9.3.0 / 8.4.0.

# dig @127.0.0.1 www.yahoo.com+dnssec

;; MSG SIZE  sent: 42 rcvd: 546 (512K 보다 큼)

Windows 2003 해결법

turn off EDNS0 support in WindowsServer 2003.  

1. Start a command prompt

2. Type dnscmd /Config/EnableEDnsProbes 0, and then press ENTER.

참고 MS: http://support.microsoft.com/?id=828731

PIX Firewall에서 해결법

Extended DNS (EDNS0) Fixup

The Extended DNS (EDNS0) featureadds support for the DNS fixup and support for a UDP DNS response packetgreater than 512 bytes. Support for greater than 512 bytes is defined in RFC 2671.Prior to this feature, the firewall simply dropped UDP DNS response packetsgreater than 512 bytes. 

On my PIX we do this : 

fixup protocol dns maximum-length4096  as named advertises a 4k UDPbuffer.

http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/prod_release_note09186a008043f18d.html#wp121062

http://www.faqs.org/rfcs/rfc2671.html

RFC 2671 - Extension Mechanisms for DNS (EDNS0) (RFC2671)

다음

https://brunch.co.kr/@topasvga/220

25. DNS 쉽게 점검하는 사이트 없나요 ?