dns

인증기관 허가(CAA, Certificate Authority Authorization)

2020-01-30 KENNETH 0

인증기관 허가(CAA, Certificate Authority Authorization) 참조URL(한글) : https://letsencrypt.org/ko/docs/caa/ 참조URL(영문) : https://letsencrypt.org/docs/caa/   개요 (letsencrypt 사이트 발췌… 귀챦아서.. ㅎ) CAA는 사이트 소유자가 도메인 이름을 포함한 인증서를 발급할 수 있는 CA (인증 기관)를 지정할 수 있도록 하는 DNS 레코드 유형입니다. CA가 의도하지 않은 인증서 오용의 위험을 줄이기 위해 RFC 6844에 의해 2013년에 표준화되었습니다. 기본적으로 모든 공용 CA는 공용 DNS의 모든 도메인 이름에 대한 인증서를 발급할 수 있습니다 (단, 해당 도메인 이름의 제어를 확인한 경우). 즉 많은 공용 CA의 유효성 검사 프로세스 중 하나에 버그가 있는 경우, 모든 도메인 이름이 잠재적으로 영향을 받습니다. CAA는 도메인 소유자가 이 위험을 줄일 수 있는 방법을 제공합니다.   설명하는것은 여기 까지고.. ㅎ 좀 극단적으로 표현하자면 내 사이트의 인증서는 “여기(발급업체)” 에서 발급하는거야(여기 것만 유효한거야) 라는 표현정도랄까…   적용방법 DNS에 직접 작업을 진행하는 형태이고 만약 사용중인(또는 발급예정인) 인증기관이 “letsencrypt.org”라고 한다면 이러한 형태로 레코드를 추가하면 되겠다. 보다 정확한 레코드 생성을 [ more… ]

dnssec-lookaside ‘auto’ is no longer supported BIND-9.11

2020-01-17 KENNETH 0

BIND버전 : 9.11   로그내용 /etc/named.conf:38: dnssec-lookaside ‘auto’ is no longer supported   원인 Decommissioning the DLV (Completed as of September 30, 2017) URL : https://www.isc.org/blogs/dlv/   해결 사실 문제는 아니기 때문에 해결할 것은 아니고 /etc/named.conf 파일 내용중 dnssec-lookaside auto; 항목만 삭제 해주면 되겠다.  

아시아-태평양 서울 리전(AP-NorthEast-2)의 Amazon EC2 DNS 확인(Resolution) 이슈 요약

2018-11-25 KENNETH 0

출처 : https://aws.amazon.com/ko/message/74876/ 2018년 11월 22일 오전시간에 발생했던 서울리전의 DNS 장애에 대한 AWS의 입장이 발표 되었습니다. 당시 발생한 장애를 파악중에 DNS응답 문제로 인해 모든 장애가 일어났음을  확인 후 EC2 인스턴스를 생성시 기본으로 입력되어 있는 AWS의 네임서버 대신 많이들 사용하는 “8.8.8.8 and 8.8.4.4” 등의 네임서버로 변경 하는 것으로 임시 해결 아무래도 서버내에서 DNS resolution 상태도 체크하는 모니터링을 추가해야 겠다능…   — 아래는 AWS의 입장 전문 — 아시아-태평양 서울 리전(AP-NorthEast-2)의 Amazon EC2 DNS 확인(Resolution) 이슈 요약 Read in English 2018 년 11 월 22 일 서울 리전(AP-NORTHEAST-2)에서 발생한 서비스 중단 상황에 대해 추가적으로 정보를 알려드립니다. 당일 한국시간 오전 8시 19분에서 9시 43분까지 서울 리전에서 EC2 인스턴스에 DNS 확인 이슈가 있었습니다. 이는 EC2 인스턴스에 재귀 DNS 서비스를 제공하는 EC2 DNS 확인 서버군(resolver fleet) 중 정상 호스트 수가 감소했기 때문입니다. 정상 상태의 호스트 수가 이전 수준으로 복원됨에 따라 DNS 확인 서비스는 복원되었습니다. 이번 이슈에서 EC2 [ more… ]

No Image

BIND DNS 신규 취약점 보안 업데이트 권고

2016-03-11 KENNETH 0

BIND DNS 신규 취약점 보안 업데이트 권고 출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24110   □ 개요 o DNS 서비스에 주로 이용되는 BIND DNS에 특수하게 조작된 특정 패킷을 보내면 장애가 발생하는 취약점이 발견됨[1][2][3] □ 설명 o 특수하게 조작된 패킷을 control 채널로 전송할 경우, 서버의 서비스 거부를 유발할 수 있는 취약점(CVE-2016-1285)[1] o DNAME 리소스 레코드를 파싱하는 과정에서 서비스 거부를 유발할 수 있는 취약점(CVE-2016-1286)[2] o DNS 쿠키 지원이 활성화된 서버에서 쿠키 옵션을 처리하는 중 서비스 거부 상태가 될 수 있는 취약점(CVE-2016-2088)[3] □ 영향 받는 소프트웨어 o BIND 9.9.0 이상 ~ 9.9.8-P3 이하 o BIND 9.10.0 이상 ~ 9.10.3-P3 이하 □ 해결 방안 o BIND 9.9.0 이상 ~ 9.9.8-P3 이하 – BIND 9 버전 9.9.8-P4로 업그레이드 o BIND 9.10.0 이상 ~ 9.10.3-P3 이하 – BIND 9 버전 9.10.3-P4로 업그레이드 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://kb.isc.org/article/AA-01352 [2] https://kb.isc.org/article/AA-01353 [3] https://kb.isc.org/article/AA-01351

No Image

BIND DNS 신규 취약점 보안 업데이트

2015-12-18 KENNETH 0

BIND DNS 신규 취약점 보안 업데이트   출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23846 □ 개요 o DNS 서비스를 위해 주로 이용하는 BIND DNS에 원격에서 서비스 거부를 발생시킬 수 있는 취약점이 발견 □ 설명 o 잘못된 클래스 속성 데이터를 응답 패킷에서 처리할 때 발생하는 서비스 거부 취약점(CVE-2015-8000) □ 영향 받는 소프트웨어 o BIND 9.0.x ~ 9.9.8 o BIND 9.10.0 ~ 9.10.3 □ 해결 방안 o BIND 9 버전 9.9.8-P2로 업데이트 o BIND 9 버전 9.10.3-P2로 업데이트 o BIND 9 버전 9.9.8-S3로 업데이트 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] – https://kb.isc.org/article/AA-01317 – http://www.isc.org/downloads/