Microsoft Word - À©µµ¿ì 2000 DNS º¸¾È ¹æ¹ý.doc

Similar documents
< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

Windows 8에서 BioStar 1 설치하기

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Windows Server 2012

MF Driver Installation Guide

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

개요 Windows 클라이언트와서버를위한이름풀이 (Name Resolution) DNS 서버설치와관리 DNS 영역 (Zones) 관리

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

ActFax 4.31 Local Privilege Escalation Exploit

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

게시판 스팸 실시간 차단 시스템

INDEX 1. 개요 DNS 서버구축하기 DNS 구축에필요한프로그램설치 DNS 설정 호스트추가. (zone 파일생성 ) 상위기관에네임서버등록.( 네임호스트추가 ) 활용

View Licenses and Services (customer)

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

tiawPlot ac 사용방법

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

PowerPoint 프레젠테이션

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

User Guide

PowerPoint 프레젠테이션

제20회_해킹방지워크샵_(이재석)

Endpoint Protector - Active Directory Deployment Guide

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

file://\\......\paper\tr2001\tr \spam_relay_test.html

System Recovery 사용자 매뉴얼

PowerPoint 프레젠테이션

4S 1차년도 평가 발표자료

6강.hwp

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

Module 4 Active Directory Domain Services 관리자동화

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

VPN.hwp

컴퓨터관리2번째시간

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

Microsoft Word - Windows_Server_Hmail_설치법

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

KISA-GD

BEA_WebLogic.hwp

Microsoft PowerPoint - 권장 사양

DBMS & SQL Server Installation Database Laboratory

Module 1 Windows Server 2012 배포와관리

Microsoft Outlook G Suite 가이드

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

PowerPoint 프레젠테이션

*2008년1월호진짜

MF5900 Series MF Driver Installation Guide

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

IRISCard Anywhere 5

untitled

희망브리지

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

Microsoft Word - How to make a ZigBee Network_kr

Tomcat 4.x 웹서버에 J2SE 를설치를확인합니다. java -version java version "1.4.2_05" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-b04) Java HotSp

vRealize Automation용 VMware Remote Console - VMware

Nero <Application> 설명서

Microsoft PowerPoint - 10Àå.ppt

전체설치와사용자지정설치중원하는설치방식을선택합니다. ArcGIS Desktop 설치경로를지정하면설치가짂행됩니다.

OnTuneV3_Manager_Install

Windows 10 General Announcement v1.0-KO

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

Snort Install Manual Ad2m VMware libnet tar.gz DebianOS libpcap tar.gz Putty snort tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconf

IP Cam DDNS 설정설명서(MJPEG) hwp

Keil Flexlm 라이선스 설명서

VPN제안서

단계

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

Ä¡¿ì_44p °¡À» 89È£

The Pocket Guide to TCP/IP Sockets: C Version

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Microsoft Word - src.doc

ThinkVantage Fingerprint Software

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (


Apache 설치방법보기 Apache 웹서버에 SSL 를적용하기위해아래두항목이웹서버에설치되어있어야합니다. - Openssl 암호화라이브러리 - Mod_ssl 모듈 위두항목이웹서버에설치되어있다면개인키를생성하고생성된개인키를바탕으로 CSR 파일을생성합니다. 생성된 CSR 파

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

<B0B3C0CE5043BAB8BEC8BCB3C1A4C6C4C0CF2E687770>

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

PowerPoint 프레젠테이션

Module 2 Active Directory Domain Services 소개

Index 1. Intro Install Connect Scratch 1.4 (Offline Editor) Scratch 2.0 (Online Editor) Connect f

슬라이드 1

메뉴얼41페이지-2

Sena Device Server Serial/IP TM Version

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Cloud Friendly System Architecture

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

Transcription:

제목 : 안녕하세요. 주원아빠입니다. 이글은 DNS 서버를구성할때주의해야하는보안상의문제점을짚어보고그에따르는해결책을제시하고자합니다. 이글은경험이부족한제가여러자료를수집하고분석하여작성한글로오류가있을수도있습니다. 오류를발견하시거나, DNS에대한좋은보안방법을알려주시면감사하겠습니다. 주의 : 이글의논점은 Windows 2000 Server 한글판기준으로되어있습니다. 간혹영문화면이있을수도있으니유념하시기바랍니다. 서론 현재 Windows 2000 을사용하는부류에는여러가지가있습니다. 여기에서알려드릴 DNS 서버, 메일서버 ( 예 :EMWAC, Exchange 서버포함 ), FTP 서버등이있으며, Windows 2000의새로운가장중요한기능인액티브디렉터리 ( 이하 AD) 를이용하여회사에서운영하는경우도있을것입니다. 여기서는 AD로승격하지않은독립실행형 (standardalone) 및멤버 (member) 서버에서 DNS 서버를구성할때, 크래커가침입을위한기본적인네트워크구성정보파악, 문제점및해결방안등에대해다룹니다. 또한, 최근의 DoS 취약점과더불어 DNS서버의 DoS에대해서도많은관심이이루어지고있습니다. 현재 Windows 2000에서 DNS서버의 DoS 공격에대한해결책은완벽하게제시되지않았습니다. 다만 Verisign사가이에대한해결책을일환으로보조서버서비스를제공한다고합니다. 이글에서는보안즉방어가주목적이므로어떻게공격하는지에대한글을따로쓰지않습니다. 저한테물어보셔도소용없습니다. 1. NTFS 파티션에 Windows 2000 설치 Windows 2000을설치하는방법중에 FAT32(16) 또는 NTFS5에설치하는두가지방법이있습니다. 하위운영체제와듀얼부팅등을할경우에 FAT 파일시스템으로설치하는경우도있지만, 인터넷상에 DNS서비스를운영하기위한서버에는반드시 NTFS로설치하여야합니 http://www.mcse.co.kr or http://www.ntfaq.co.kr 1

다. 참고로파일시스템상에서 DACL을구현합니다. 즉, 사용자는액세스하려는자원에대해적절한권한을확보해야만합니다. 크래커가침입하더라도적절한권한이없다면별로할일도없을것입니다. 2. 최신의서비스팩설치 현재 Windows 2000에서제공되는서비스팩은 SP1이며 Pre-SP2라고하여임시용여러개의패치로구성된 SP2가제공됩니다. 그리고, SP2가지금베타테스팅이라고하니조금만기다리시면여러분에게제공될것입니다. 최신의서비스팩을설치함으로써이전에발견된취약점해결과개선점을포함하여운영체제를좀더보안성있게해줍니다. 따라서, 모든보안상의패치를 http://windowsupdate.microsoft.com/ 에서다운로드하여설치하는것이좋습니다. 그리고, www.windowsecurity.net에서최신의보안취약점에대해자주방문하여확인하여그에해당하는패치를적용하거나대안책을적용해야합니다. 3. 최소한의서비스로운영 Windows 2000을설치한상태에서서비스 ( 시작-> 관리도구-> 서비스 ) 를시작합니다. 그안에서비스를보면아마수십가지이상이현재동작되고있을것입니다. 서비스는시작유형에따라자동 / 수동실행방법이있고, 현재실행이되고있는지에대한상태에대한정보를제공해줍니다. 아래그림을보면여러가지서비스가실행되고있습니다. http://www.mcse.co.kr or http://www.ntfaq.co.kr 2

제가지금사용하는전용선은 ADSL입니다. 따라서 DHCP Client 서비스가필요합니다. 하지만고정 IP를가지고있는경우 (DNS서버는당연하겠지요 ) 에는이러한서비스가필요없습니다. 또한, 오직 DNS 서버로만운영한다면 IIS, FTP 등에대한서비스도필요가없을것입니다. 그래서, 일단모든서비스의목록을문서로작성하고나서필요없는서비스를하나하나제거해나갑니다. 일단알기쉬운누가봐도뻔한서비스는일단모두중지를시켜나갑니다. 한번에여러개씩하는것이아니라한두개씩합니다. 그러면서시스템이 DNS서버로동작하는데문제점이발생하는가에대해계속이벤트뷰어등을통해확인합니다. 문제가없을때까지최대한많은서비스를중지시키는것이좋습니다. 특히, NetBios부분은보안상문제가많은부분으로앞으로많은취약점이나올것이라예상됩니다. 이쪽부분도또한주의해서없애주시면됩니다. 4. 최소한의사용자및관리자계정유지및암호관리 이내용은엄격히보면 Windows 2000 에대한보안방법이지만 DNS 서버를운영하는데있 http://www.mcse.co.kr or http://www.ntfaq.co.kr 3

어필수적으로적용됩니다. 먼저 DNS 서비스를유지및관리하고자하는계정만을생성하여야합니다. 필요없는계정은모두삭제또는사용중지 ( 계정잠금 ) 을설정합니다. 관리자계정또는그룹에서만적절한권한을설정해줍니다. 또한암호를복잡하게입력하도록로컬보안정책에서 암호는복잡성을만족해야.. 를설정하여줍니다. 5. 원격에서 nslookup 으로 DNS 서버의데이터확인막기 일단 DNS 서버를구성하고제대로동작하는지확인합니다. 제대로동작한다고그대로놔두어서는당연히안됩니다. Nslookup 명령어를통해크래커는 DNS서버에들어있는모든레코드를알아낼수있습니다. 따라서이것부터막아보겠습니다. 예를들어, www.mcse.co.kr 사이트의내부 DNS 정보를보도록하겠습니다. 다음그림을천천히살펴보시면알수있을겁니다. http://www.mcse.co.kr or http://www.ntfaq.co.kr 4

nslookup 명령어를잘모르시는분을위해간단히설명드리겠습니다. set type=ns 부분은보고자하는 DNS정보가네임서버 ( 이하 NS) 라는것을알립니다. 즉, 그다음줄에 mcse.co.kr 을입력했을때에 mcse.co.kr의 NS 정보만을출력합니다. 그리고 server ns.mcse.co.kr 을입력하여 NS의위치를 168.126.63.1에서 ns.mcse.co.kr 로변경합니다. 마지막 ls d mcse.co.kr 은 mcse.co.kr에있는모든레코드정보를출력하는것입니다. 이정보를이용하여크래커는네트워크에 IP가어떻게구성이되어있는지그중취약한것이어느것일지추측하는데사용할수있습니다. 따라서, 이정보를볼수없도록막을필요가있습니다. 막는방법은다음과같습니다. http://www.mcse.co.kr or http://www.ntfaq.co.kr 5

DNS서버의웹사이트의등록정보에보면 영역전송 탭에서체크박스를체크해주고아래에영역을전송할서버를입력하여주면됩니다. 6. 역방향조회영역 역방향조회영역은정방향조회영역의반대개념으로 IP 주소를도메인이름으로해석하여줍니다. 일반적인 DNS 서비스나웹서비스등에서는역방향조회영역이필요하지않습니다. 따라서, 여기서말씀드리는것은최소한의역방향조회레코드인 PTR을남겨두고모두삭제하는것입니다. 삭제하지말하야할것에는반드시 NS의레코드는남아있어야합니다. 없어도상관은없지만매번관리자가 nslookup을통해 NS 설정을체크할때불편함이따릅니다. NS의레코드가없는경우에는 nslookup을실행했을때다음과같은에러메시지가나타납니다. *** can t find server name for address xxx.xxx.xxx.xxx : Non-existent /domain http://www.mcse.co.kr or http://www.ntfaq.co.kr 6

그리고, PTR 레코드는스팸메일등의릴레이를점검하는데사용할수있습니다. 즉, 메일이전송되었을때서버에서온건지아니면다른서버를경유하여온건지확인하기위해 PTR 레코드를쿼리하게됩니다. 그러므로, 메일서버를운영하는경우에는반드시스팸방지유틸을사용하고, 메일교환기 (MX) 레코드가연결된 A 레코드를삭제하지않고남겨두어야합니다. http://www.mcse.co.kr or http://www.ntfaq.co.kr 7

2024 © docsplayer.org 개인정보보호 | 약관 | 지원