가. 취약점 개요
■ 내용 : Secondary Name Server로만 Zone 정보 전송 제한 여부 점검
■ 목적 : 허가되지 않는 사용자에게 Zone Transfer를 제한함으로써 호스트 정보, 시스템 정보 등 정보 유출의 방지를 목적으로 함
■ 보안 위협
- 비인가자 Zone Transfer를 이용해 Zone 정보를 전송받아 호스트 정보, 시스템 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있음
■ 참고
■※ DNS Zone Transfer는 Primary Name Server와 Secondary Name Server 간에 Zone 정보를 일관성 있게 유지하기 위하여 사용하는 기능
나. 점검방법
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
■ 판단기준
- 양호 : DNS 서비스 미사용 또는, Zone Transfer를 허가된 사용자에게만 허용한 경우
- 취약 : DNS 서비스를 사용하며 Zone Transfer를 모든 사용자에게 허용한 경우
■ 점검 명령어
- DNS 서비스를 사용할 경우
| OS | 점검 파일 |
| SOLARIS, LINUX, AIX, HP-UX | DNS 서비스 사용 시 /etc/named.conf 파일의 allow-transfer 및 xfrnets 확인 #ps -ef | grep named | grep -v "grep" #cat /etc/named.conf | grep 'allow-transfer' #cat /etc/named.boot | grep "xfrnets" |
| "DNS" 서비스 사용 시 위에 제시된 파일의 DNS 설정을 아래의 보안설정방법에 따라 수정함 | |
- DNS 서비스를 사용하지 않는 경우
| OS | 점검 파일 |
| LINUX, AIX, HP-UX, SOLARIS 5.9 이하 버전 |
DNS 서비스 데몬 확인 (DNS 동작 SID 확인) #ps -ef | grep named root 3809 3721 0 08:44:40 ? 0:00 /usr/sbin/in.named |
| SOLARIS 5.10 이상 버전 | #svcs -a | egrep “dns” |
| “DNS” 서비스를 사용하지 않는 경우 서비스 데몬 중지 | |
다. 조치방법
■ 조치방법 : DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용한다면 DNS 설정을 통해 내부 Zone 파일을 임의의 외부 서버에서 전송 받지 못하게 하고, 아무나 쿼리 응답을 받을 수 없도록 수정
■ DNS 서비스를 사용할 경우
- BIND8 DNS 설정(named.conf) 수정 예
| Options { allow-transfer (존 파일 전송을 허용하고자 하는 IP;); }; |
- BIND4.9 DNS 설정(named.conf) 수정 예
| Options xfrnets 허용하고자 하는 IP |
■ DNS 서비스를 사용하지 않는 경우
- LINUX, AIX, HP-UX, SOLARIS 5.9 이하 버전
DNS 서비스 데몬 중지
#kill -9 [PID]
- SOLARIS 5.10 이상 버전
Step 1) DNS 서비스 데몬 확인
| enabled 16:22:31 svc:/network/dns/server:default |
Step 2) svcadm disable “중지하고자 하는 데몬“ 명령으로 서비스 데몬 중지
#svcadm disable svc:/network/dns/server:default
라. 조치시 영향
■ Zone 파일 전송을 허용할 대상을 정상적으로 등록할 경우 일반적으로 영향 없음