특히 인터넷 연결 DNS(Domain Name System) 서버의 경우 DNS 인프라를 외부 공격이나 조직 내부의 공격으로부터 보호하는 것이 중요합니다. DNS 서버를 AD DS(Active Directory 도메인 서비스)와 통합하면 보안 동적 업데이트를 사용하여 DNS 데이터를 무단으로 수정하지 못하게 할 수 있습니다. 공격자가 DNS 인프라의 무결성을 침해할 기회를 줄이는 추가 조치를 취할 수 있습니다.
| 작업 | 참조 항목 |
|---|---|
|
사용자 환경에 가장 중요한 DNS 보안 위협을 확인하고 필요한 보안 수준을 결정합니다. |
|
|
회사 외부의 사용자가 내부 네트워크 정보를 얻지 못하게 하기 위해 내부 이름 확인과 인터넷 이름 확인에 별도의 DNS 서버를 사용합니다. 내부 DNS 네임스페이스는 네트워크의 방화벽 뒤에 있는 DNS 서버에 호스트되어야 하고, 외부 인터넷 DNS 상태는 경계 네트워크의 DNS 서버에서 관리되어야 합니다. 내부 호스트에 인터넷 이름 확인을 제공하기 위해 내부 DNS 서버를 전달자로 사용하여 외부 쿼리를 외부 DNS 서버에 보낼 수 있습니다. 내부 및 외부 DNS 서버 간에만 DNS 트래픽을 허용하도록 외부 라우터와 방화벽을 구성합니다. |
|
|
네트워크에서 인터넷에 노출되는 DNS 서버의 경우 영역 전송을 사용할 수 있도록 설정해야 하면 NS(이름 서버) 리소스 레코드에 의해 영역에서 식별되는 DNS 서버나 네트워크의 특정 DNS 서버로 DNS 영역 전송을 제한합니다. |
|
|
DNS 서버 서비스를 실행하는 서버가 멀티홈 컴퓨터이면 DNS 클라이언트와 내부 서버에서 사용하는 인터페이스 IP 주소에서만 수신 대기하도록 DNS 서버 서비스를 제한합니다. 예를 들어, 프록시 서버로 작동하는 서버에는 인트라넷용과 인터넷용의 네트워크 어댑터가 하나씩 있을 수 있습니다. 해당 서버에서 DNS 서버 서비스도 실행되는 경우 인터넷 네트워크 어댑터에서 사용하는 IP 주소에서만 DNS 트래픽을 수신 대기하도록 서비스를 구성할 수 있습니다. |
|
|
이름 오염으로부터 모든 DNS 서버의 캐시를 보호하는 기본 서버 옵션이 변경되지 않도록 합니다. DNS 쿼리 응답에 권한이 없는 데이터나 악성 데이터가 포함되어 있으면 이름 오염이 발생합니다. |
|
|
모든 DNS 영역에 대한 보안 동적 업데이트만 허용합니다. 이렇게 하면 인증된 사용자만 안전한 방법을 사용하여 DNS 업데이트를 제출할 수 있으므로 신뢰할 수 있는 호스트의 IP 주소를 공격자가 가로채지 못합니다. |
|
|
DNS 클라이언트에 직접 응답하지 않고 전달자를 사용하여 구성되지 않은 DNS 서버에서 재귀를 사용할 수 없도록 설정합니다. DNS 서버가 DNS 클라이언트의 재귀 쿼리에 응답하거나 전달자를 사용하여 구성된 경우에만 DNS 서버에 재귀가 필요합니다. DNS 서버는 반복 쿼리를 사용하여 서로 통신합니다. |
|
|
개인 내부 DNS 네임스페이스가 있는 경우 내부 루트 도메인을 호스트하는 DNS 서버만 가리키고 인터넷 루트 도메인을 호스트하는 DNS 서버를 가리키지 않도록 내부 DNS 서버에서 루트 힌트를 구성합니다. |
|
|
DNS 서버 서비스를 실행하는 서버가 도메인 컨트롤러인 경우 Active Directory ACL(액세스 제어 목록)을 사용하여 DNS 서버 서비스의 액세스 제어를 보호합니다. |
|
|
AD DS 통합 DNS 영역만 사용합니다. AD DS에 저장된 DNS 영역은 보안 동적 업데이트 및 AD DS 보안 설정을 DNS 서버, 영역 및 리소스 레코드에 적용하는 기능과 같은 Active Directory 보안 기능을 활용할 수 있습니다. DNS 영역이 AD DS에 저장되어 있지 않으면 DNS 영역 파일이나 이 파일이 저장된 폴더에 대한 사용 권한을 수정하여 DNS 영역 파일을 보호합니다. 영역 파일 또는 폴더 사용 권한은 System 그룹에만 모든 권한을 허용하도록 구성되어야 합니다. 기본적으로 영역 파일은 %systemroot%\System32\Dns 폴더에 저장됩니다. |