KISA - DNS운영실태 분석시스템

  DNS 수정 가이드라인


네임서버 udp 응답 실패

I. 오류 원인
1. 방화벽에서의 UDP 53포트 차단
2. DNS 프로세스 미구동
3. DNS 설정파일(named.conf)에서 외부질의 차단
4. DNS 설정파일(named.conf)에서 53 포트 차단

II. 조치 방법
1. 방화벽에서의 UDP 53포트 차단 시 조치 방법
① 방화벽에서의 DNS 쿼리에 사용하는UDP 53번 포트 차단 여부 확인(방화벽정책 확인)
② 차단 되지 않았을 시 아래 항목 확인
2. DNS 프로세스 구동 여부 확인
3. DNS 설정파일(named.conf)에서의 외부 질의 허용 설정

< 모든 도메인에 질의 허용 >

네임서버에서 소유하고 있는 모든 도메인에 대하여 질의를 제한지 않을 때는 options 구문의 아래 있는 allow-query 부분을 삭제 or 수정
※ 해당 설정은 없을 경우 디폴트로 any의 값을 가진다.

< 특정 도메인에 존에 대해서만 질의 허용 예: my-domain.re.kr의 경우>

도메인에 대해서만 질의를 제한하지 않을 때는 도메인을 정의한 zone "my-domain.re.kr" 구문의 아래에 있는 allow-query 부분을 삭제 or 수정

4. DNS 설정파일(named.conf)에서의 53 포트 허용 설정 방법

< 설정파일(named.conf)에서의 53 포트 허용>

※ 해당 설정은 없을 경우 디폴트로 any의 값을 가진다.

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

네임서버의 Authoritative 응답

I. 오류 원인
1. 오류 네임서버가 현재 운용하는 서버가 아닌 경우
2. 오류 네임서버의 named.conf에 도메인 존 설정이 누락 or 구문 오류

II. 조치 방법
* http://whois.kisa.or.kr 에서 도메인에 대한 정보 조회시 운용한다는 네임서버의 정보가 함께 출력된다.
운용한다는 네임서버의 정보와 실제 운용중인 네임서버의 정보가 동일해야 개선이 완료 된다.

1. 오류 네임서버가 현재 운용하는 서버가 아닌 경우
① 도메인을 등록한 도메인 등록대행기관 사이트에 접속하여 소유 도메인의 등록정보 변경
※ 도메인 등록업체 확인: http://whois.kisa.or.kr 로 접속하여 도메인 정보 조회

2. 오류 네임서버의 환경설정파일에 도메인 존 설정이 누락 or 파일 명칭 오류
① named.conf 파일을 vi 편집기로 확인
② 해당 도메인에 대한 zone 선언을 확인

< 마스터 설정(named.conf) 예: my-domain.re.kr 도메인의 경우 >


< 슬레이브 설정(named.conf) 예: my-domain.re.kr 도메인의 경우 >


- 외부업체에 DNS 호스팅을 위탁운용 하고 있는 경우에는 호스팅 업체에 해당 오류내역을 전달

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

네임서버의 위임 정보일치

I. 오류 원인

1. 도메인 등록시 등록한 네임서버의 IP와 운용중인 네임서버의 IP 불일치
① 네임서버 정보 변경으로 조치 가능

2. 존데이터에서 네임서버 정보 누락
① 네임서버의 존데이터 변경으로 조치 가능

II. 조치 방법
* http://whois.kisa.or.kr 에서 도메인에 대한 정보 조회시 운용한다는 네임서버의 정보가 함께 출력된다. 운용한다는 네임서버의 정보와 실제 운용중인 네임서버의 정보가 동일해야 개선이 완료 된다.

1. 네임서버 정보 변경
① 도메인을 등록한 도메인 등록대행기관 사이트에 접속하여 소유 도메인의 등록정보 변경
※ 도메인 등록업체 확인: http://whois.kisa.or.kr 로 접속하여 도메인 정보 확인

2. 네임서버의 존데이터 변경
① 네임서버로 접속하여 해당 도메인의 존파일 확인
② 존파일에는 운용중인 네임서버의 정보가 자기자신 포함 다른 네임서버까지 모두 등록되어 있어야 한다.
③ 존데이터의 내용 중 ( 도메인 ) IN NS ( 서버네임 ) 설정 내용이 실제 운용하고 있는 DNS 서버의 개수와 동일 여부 확인 [NS 는 네임서버를 뜻 한다.]
④ ( 서버네임 ) IN A ( 서버IP ) 설정 내용이 실제 운용하고 있는 네임서버의 IP인지 확인

예)


⑤ 외부업체에 DNS 호스팅을 위탁운용 하고 있는 경우에는 호스팅 업체에 해당 오류 내역을 전달

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

모든 네임서버의 SOA RR 정보일치

I. 오류 원인
1. 마스터와 슬레이브 서버를 각각 별도로 구축/관리하여 발생

II. 조치 방법
1. 마스터와 슬레이브 간의 동적업데이트 설정
* 마스터의 존데이터 시리얼 번호가 슬레이브의 존데이터 시리얼 보다 높거나 같아야 함

< 마스터 네임서버의 named.conf 설정 예: my-domain.re.kr의 경우>



< 슬레이브 네임서버의 named.conf 설정 예: my-domain.re.kr의 경우 >


※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

위임 네임서버와 존 설정 네임서버 목록 일치

I. 오류 원인

1 도메인 등록시 등록한 네임서버의 IP가 잘못 되었을 경우
① 네임서버 정보 변경으로 조치 가능

2. 존데이터에서 네임서버 IP가 잘못 되었을 경우
② 네임서버의 존데이터 변경으로 조치 가능

II. 조치 방법
* http://whois.kisa.or.kr 에서 도메인에 대한 정보 확인시 운용한다는 네임서버의 정보가 함께 출력된다.
운용한다는 네임서버의 정보와 실제 운용중인 네임서버의 정보가 동일해야 개선이 완료 된다.

1. 네임서버 정보 변경
① 도메인을 등록한 도메인 등록대행기관 사이트에 접속하여 소유 도메인의 등록정보 변경
* 도메인 등록업체 확인
http://whois.kisa.or.kr 로 접속하여 도메인 정보 확인

2. 네임서버의 존데이터 변경
① 네임서버로 접속하여 해당 도메인의 존데이터 확인
② 존데이터에는 운용중인 네임서버의 정보가 자기자신 포함 다른 네임서버까지 모두 등록되어 있어야 한다.
③ 존데이터의 내용 중 ( 도메인 ) IN NS ( 서버네임 ) 설정 내용이 실제 운용하고 있는 DNS 서버의 개수와 동일 여부 확인 [NS 는 네임서버를 뜻 한다.]
④ ( 서버네임 ) IN A ( 서버IP ) 설정 내용이 실제 운용하고 있는 네임서버의 IP인지 확인 [A는 IP를 뜻한다.]

예)


⑤ 외부업체에 DNS 호스팅을 위탁운용 하고 있는 경우에는 호스팅 업체에 해당 오류내역을 전달

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

NS 레코드 도메인네임 구문 오류

I. 오류 원인
1. 존데이터의 NS , A 등 리소스레코드에 관한 구문 오류 사항을 점검
2. CNAME 설정이 있을 경우 미흡으로 점검
CNAME 설정은 DNS 시스템의 불안정을 야기 하므로 이용하지 않는 것이 좋다.

II. 조치 방법
1. CNAME 설정을 제거 한 후 서브 도메인을 생성(예 : my-domain.re.kr의 경우)

web.my-domain.re.kr. IN CNAME my-domain.re.kr (x)

web.my-domain.re.kr. IN A (my-domain.re.kr 의 A 레코드) (O)

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

네임서버 DNS S/W 정상 운용(TCP응답)

I. 오류 원인
1. UDP 응답은 하나 TCP 응답을 하지 못하는 경우
2. DNS는 512바이트 까지는 UDP로 응답을 주고 받으나 512바이트 이상일 때는 TCP로 응답을 주고 받게 된다.

II. 조치방법
1. 방화벽을 경유할 때 응답이 없다면 방화벽의 차단 설정을 검사하여 TCP 53번 포트를 개방하도록 한다.

2. 방화벽을 경유하지 않을 때 응답이 없다면 해당 네임서버의 named.conf의 설정을 검토한다.

예)


상기와 같이 53번 포트를 개방할 대상(호스트)의 IP를 입력하여 주도록 한다.
※ 해당 설정은 없을 경우 디폴트로 any의 값을 가진다.

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

설정된 네임서버 개수

I. 오류 원인
- 도메인에 설정되어 있는 네임서버 수가 과다하여 DNS 질의 응답에 UDP 512바이트 초과 경우 발생 시 오류

II. 조치 방법
- DNS 서버의 축소

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.

네임서버의 안정적 분산배치

I. 오류 원인
- 동일 네트워크상에 DNS서버가 존재하게 하면 해당 네트워크 장애시 서비스 장애 발생 가능

II. 조치 방법
- DNS 서버를 각기 다른 네트워크로 이전

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.

MX RR 도메인네임 구문 오류

I. 오류 원인
- 존데이터의 MX 리소스 레코드 구문 확인

II. 조치 방법

1. 메일서버 도메인네임에 CNAME RR이 설정된 경우
① 메일서버 도메인네임의 CNAME RR을 삭제하고,
② 메일서버 도메인네임에 A RR을 사용 IP 주소를 직접 설정
③ CNAME RR과 관련된 도메인 데이터의 재구성 필요
※ IPv6 주소의 메일서버 사용 경우, AAAA RR 사용 IPv6 주소 추가 설정
※ 메일서버용 도메인 네임에 CNAME RR 설정 경우, 하나의 DNS 응답에 메일서버 IP 주소포함 응답이 불가능하여 비효율적

2. 와일드카드(*) 설정의 경우
① 와일드카드 도메인네임을 남용하여 사용하는 경우, 예상치 못한 장애 발생 가능
② 와일드카드를 사용한 전자메일 라우팅 설정은 적용하지 않을 것을 권고
③ 특수한 목적의 계획 및 설계 하에 와일드카드 설정의 경우에는 조치하지 않음
④ 그렇지 않은 경우, 와일드카드 도메인 네임(*)을 도메인 존에서 삭제 처리 권고

3. 예시 (my-domain.re.kr의 경우)
① 메일서버 도메인네임 구문이 표준규정에 부적합한 경우
아래 경우, 호스트네임 규정에 어긋나게 "_" 문자를 네임에 사용

< 잘못된 예 >


"_" 문자를 하이픈("-") 문자로 변경 등의 수정 조치 필요

< 잘된 예 >


② 메일서버 도메인 네임에 CNAME RR을 적용한 경우
아래, 메일서버 네임 "mail.my-domain.re.kr"에 CNAME RR을 사용 "my-domain.org"을 지정할 경우 메일서비스 불안정 현상 가능

< 잘못된 예 >


이 경우, MX RR에 "mail.my-domain.re.kr" 대신에 "my-domain.org"을 지정하는 것이 바람직

< 잘된 예 >


※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

SPF 설정 및 구문오류

# SPF 설정 중 구문(설정)오류를 위한 조치 방법 (ZONE 파일에 적용)

1. 설정오류 예시(1) : 2개의 SPF TXT RR을 설정한 경우

하나의 TXT RR만 사용

2. 설정오류 예시(2) : 항목을 구분할 때 공백문자가 아닌 다른 문자를 사용한 경우

탭이나 스페이스 사용하여 공백처리해야 함

3. 설정오류 예시(3) : 구문형식에 오류가 있는 경우

“v=spf1 ip:가 아닌 ”v=spf1 ip4: 형식으로 지정해야 함

4. 설정오류 예시(4) : 불필요한 문자가 포함된 경우

v=spf1 이전에 "를 더 입력하여 오류 발생

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

네임서버 DNS S/W 버전정보 노출

I. 오류 원인
- DNS 서버에서 BIND로 DNS서버 운용시 BIND 버전을 출력해 주면 보안상 위험

II. 조치 방법


상기의 옵션으로 버전정보의 응답을 비활성화 설정하도록 한다.

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

네임서버 Open DNS 설정 여부

I. 오류 원인
- 외부에서 운용중인 네임서버로 리커시브 질의가 가능할 경우

II. 조치 방법

( 리커시브 질의 제한 named.conf 설정)



해당 설정은 리커시브 동작을 완전히 제한하는 것이며 내부 네트워크에서 리커시브 질의를 하여야 하는 경우 아래 설정을 추가하여 준다.



※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.
   

SOA RR의 모든 필드 설정값 적합성 여부 점검

I. 오류 원인
- 국제 표준 값(형식)과 틀리면 오류
네임서버 운용기관의 사정에 따라 필드의 값이 변하며 자주 도메인의 정보가 수정되는 업체는 각 필드의 타임을 짧게 유지 하고 자주 변하지 않는 업체는 필드의 값을 길게 수정 한다.

II. 조치 방법
① 해당 SOA RR의 필드 값은 각 네임서버 운용기관의 자율에 맡긴다.
② 운용하고 있는 모든 DNS 서버의 SOA RR 값을 동일 하여야 한다.

예) my-domain.re.kr 의 경우



① SOA RR의 TTL : SOA RR의 minimum 필드 값과 같거나 큰 값으로 설정
② serial 필드 : "YYYY" : 연도, "MM" : 월, "DD" : 일, "nn" : 일련번호 형식을 권고
③ refresh 필드 : 3600 ~ 172800 (1시간 ~ 2일)
④ retry 필드 : 900 ~ 86400 (15분 ~ 1일)
⑤ expire 필드 : 604800 ~ 3628800 사이의 값 (7일 ~ 42일)
refresh 값 x 7 보다 큰 값으로 설정
⑥ minimum 필드 : 설정값 범위 : 180 ~ 604800 (3분 ~ 7일)

※ 기타 자세한 사항은 DNS설정 안내서를 참조 바랍니다.