ICANN 루트존키서명키 (KSK) 교체관련캐시 DNS 서버점검및조치방안 루트존 KSK 교체 o ICANN 의루트존의서명키의교체는국내시간으로 2017 년 10 월 12 일새벽 1 시 (10 월 11 일 16 시, UTC 기준 ) 에진행예정 인터넷이용자가 DNSSEC 서명검증옵션이활성화된국내캐시 DNS 서버중에서신규로교체된루트존의서명키를가지고있지않는캐시 DNS 서버를이용할경우, 질의도메인에대한 IP 주소로변환이이뤄지지않아인터넷접속장애를겪을수있음 캐시 DNS 서버점검및조치 o 국내 ISP 및교육기관등의캐시 DNS 서버관리자는아래흐름도에따라서비스중인캐시 DNS 서버에대한점검및적절한조치필요 DNSSEC 서명검증을하지않는캐시 DNS 서버의경우, 별도조치필요않음 < 캐시 DNS 서버점검및대응조치절차수행흐름도 > - 1 -
[ 참조 ] 캐시 DNS 서버관리자각단계별점검및조치사항 o 캐시 DNS 서버의 DNSSEC 서명검증적용활성화여부점검 캐시 DNS 서버의 DNSSEC 서명검증적용활성화여부점검확인방법 > dig @[DNS_IP 주소 ] dnssec-failed.org A 실행하여, SERVFAIL 오류응답경우, DNSSEC 서명검증활성화상태 > dig @[DNS_IP 주소 ] dnssec-failed.org A 실행하여, NOERROR 정상응답경우, DNSSEC 서명검증미적용비활성화상태 dnssec-failed.org 도메인은의도적으로서명검증오류설정한도메인으로 DNSSEC 서명검증적용캐시 DNS 서버는이도메인질의에대해항상 SERVFAIL 오류응답처리하고, DNSSEC 서명검증미적용캐시 DNS 서버경우에는 A 레코드정상응답처리함 (dnssec-failed.org 도메인은미국 ISP Comcast 사가점검용으로제공중 ) - 2 -
o 캐시 DNS 서버의루트서명키선 ( 先 ) 반영여부점검및조치 BIND DNS 경우 o (rndc 기능설정시 ) BIND rndc 설정이되어있을때, rndc sectoots 명령으로확인 - 아래예시와같이, 서명키 ID 19036 와 20326이모두표시되면정상처리진행중 문제없음 ( 조치불필요 ) - 만일서명키 ID 19036 1개만존재하면신규루트서명키반영실패상태 조치필요 rndc secroots 명령은명령실행디렉토리에 named.secroots 파일생성하므로, 생성된 named.secroots 파일내용의내용을체크하여루트의기존 / 신규서명키가반영되어있는지여부체크가능 o (rndc 기능미설정 ), BIND DNS 서버의루트서명키자동업데이트관리파일 (managed-keys.bind 또는 *.mkeys 파일 ) 내용을체크하여확인 - BIND DNS 용디렉토리에서 managed-keys.bind 파일또는 *.mkeys 파일을찾아해당파일내용을아래와같이출력한후 KEYDATA 항목이 2 개존재하는경우, 루트도메인서명키자동업데이트가정상적으로동작중 문제없음 ( 조치불필요 ) - 만약 KEYDATA Key ID 19036 항목만존재하는경우 조치필요 ( 최신버전 BIND9 DNS S/W 로업그레이드조치 ) BIND DNS 의루트서명키자동업데이트관리파일개요 BIND named.conf 파일에캐시 DNS 기능관련 view 를설정하지않은경우에는 managed-keys.bind 파일로, view 를설정경우에는 [view 이름 ].mkey 파일로관리 managed-keys.bind 또는 *.mkeys 파일내용및확인방법예시 named.conf 에 view 설정을하지않은경우 : managed-keys.bind 파일 named.conf 에 view 설정을사용경우 : [view 이름 ].mkeys 파일 - 3 -
PowerDNS Recursor 캐시 DNS 서버경우 o 루트서명키자동업데이트기능없음 PowerDNS Recursor 4.0.5 버전보다이전버전일경우 S/W 업그레이드조치필요 Windows Server 2012 이상 DNS 사용경우 o ICANN, Updating of DNS Validating Resolvers with the Latest Trust Anchor 문서의 Windows Server 2012R2 and 2016 섹션참조하여점검및조치진행 https://www.icann.org/dns-resolvers-checking-current-trust-anchors - 4 -
o 신규루트서명키를포함한네임서버 S/W 버전으로업그레이드조치 2017 년 6 월이후배포하는최근네임서버 S/W 는신규루트서명키를자체포함하고있으므로, 네임서버 S/W 버전을업데이트함으로써조치할수있음 간편조치가이드 ( 리눅스설치용배포패키지 ) BIND, PowerDNS 사용경우, 패키지업데이트처리로간편하게조치가능 o BIND DNS 사용경우 - 최신 BIND DNS S/W 버전으로업그레이드조치. 신규루트서명키가코드에반영된아래 BIND 버전으로업그레이드. BIND 9.9.10 이상, BIND 9.10.5 이상, BIND 9.11.1 이상 ( 17 년 4 월이후배포버전 ) - 업그레이드조치불가능경우, ISC 사이트에서아래 bind.keys 파일을다운로드하여파일이름을 bind.keys 로변경한후기존 BIND 의 bind.keys 파일을교체하고, named.conf 파일에 dnssec-validation auto; 설정후네임서버재구동또는 rndc reconfig 실행 https://ftp.isc.org/isc/bind9/keys/9.11/bind.keys.v9_11 이파일은 2017 년루트신규서명키설정이추가설정된 bind.keys 파일 o PowerDNS Recursor 사용경우 - PowerDNS Recursor 는루트서명키자동업데이트기능미구현상태 - 간편한조치방법은최신 PowerDNS Recursor 버전으로업그레이드. PowerDNS Recursor 4.0.5 ( 17 년 6 월배포 ) 이상최신버전사용 - 업그레이드조치불가능한경우, ICANN, Updating of DNS Validating Resolvers with the Latest Trust Anchor 문서의 PowerDNS Recursor 섹션참조하여조치진행 https://www.icann.org/dns-resolvers-checking-current-trust-anchors o Windows 2012 이상캐시 DNS 서버사용경우 - 마이크로소프트제공매뉴얼참조하여조치필요 - Windows Server 2012 DNSSEC, 트러스트앵커작업 매뉴얼 https://technet.microsoft.com/ko-kr/library/dn593672(v=ws.11).aspx#anchor_3 - 또는 ICANN, Updating of DNS Validating Resolvers with the Latest Trust Anchor 문서의 Windows Server 2012R2 and 2016 섹션참조하여점검및조치진행 https://www.icann.org/dns-resolvers-checking-current-trust-anchors - 5 -
o 여건상 S/W 업그레이드조치가불가능경우, KISA 기술지원요청 아래 DNSSEC 도입적용및운영관리가이드 를참조하시면조치에필요한관련세부기술자료를손쉽게얻을수있음 DNSSEC 도입적용및운영관리가이드 참조 수작업설정조치가필요한경우, 한국인터넷진흥원인터넷주소자원센터 (KRNIC) 홈페이지 (dns.krnic.or.kr) 에서 DNSSEC 도입적용및운영관리가이드 의캐시 DNS 서버설정사항을참조하여조치할수있음 o DNSSEC 도입적용및운영관리가이드 ( 한국인터넷진흥원인터넷주소자원센터 ) - http:/dns.kisa.or.kr 홈페이지 정보 메뉴 > 자료실 서브메뉴에서 DNSSEC 도입적용및운영관리가이드배포 항목선택, 첨부 PDF 파일다운로드 - DNSSEC 도입적용및운영관리가이드 문서의 VI. 캐시 DNS 서버 DNSSEC 적용가이드 장의아래소항목중운영현황에적합한항목내용참조 2.1. BIND 9.8 이상버전캐시 DNS 서버의 DNSSEC 간편적용절차 2.2. BIND 9.7 버전캐시 DNS 서버의 DNSSEC 적용절차 2.3. Windows 2012 캐시 DNS 서버의 DNSSEC 적용절차 기술지원요청 o 한국인터넷진흥원인터넷주소자원센터 (KRNIC), DNSSEC 기술지원담당 - 전화번호 : 02) 405-6464 - 전자메일 : in_dnssec@nic.or.kr - 6 -