DNS 보안이란 무엇입니까?

DNS (Domain Name System) 보안 확장 (DNSSEC)은 인터넷의 필수 명명 서비스에 대한 액세스를 방해하거나 방해 할 수있는 공격으로부터 인터넷과 사용자를 보호하는 수단입니다. 보안 확장 기능은 DNS 서버가 인터넷 프로토콜 (IP) 주소 변환 기능을 계속 제공 할 수있는 방법을 제공하지만 일련의 트러스트 관계를 만들어 DNS 서버가 서로 인증하는 규정이 추가되었습니다. 확장을 통해 DNS 서버간에 공유되는 데이터는 일반적으로 데이터가 전송되는 기존 프로토콜로는 어려운 무결성 수준을 달성합니다.

원래 DNS는 보안되지 않은 이름 및 관련 IP 주소의 공개 배포로 만들어졌습니다. 그러나 인터넷이 성장함에 따라 DNS 보안, 개인 정보 보호 및 DNS 데이터의 무결성과 관련하여 여러 가지 문제가 발생했습니다. 개인 정보 문제와 관련하여 문제는 DNS 서버의 적절한 구성으로 초기에 처리되었습니다. 그럼에도 불구하고 DNS 서버는 DDoS (Distributed Denial of Service) 및 버퍼 오버플로 공격과 같은 다양한 유형의 공격을받을 수 있으며, 이는 모든 유형의 서버에 영향을 줄 수 있습니다. 그러나 DNS와 관련하여 일부 외부 소스가 잘못된 정보를 도입하여 데이터를 중독시키는 문제가 있습니다.

DNSSEC는 IETF (Internet Engineering Task Force)에 의해 개발되었으며 4033에서 4035까지 여러 RFC (Request for Comment) 문서에 자세히 설명되어 있습니다.이 문서는 공개 키 인증 기술을 사용하여 달성 할 수있는 것으로 DNS 보안을 설명합니다. DNS 서버에서의 처리를 완화하기 위해 암호화가 아닌 인증 기술 만 사용됩니다.

DNSSEC의 작동 방식은 DNS 계층의 여러 계층간에 트러스트 관계를 만드는 것입니다. 최상위 수준에서 DNS의 루트 도메인은 .com, .org 등과 같은 하위 도메인 간의 기본 중개자로 설정됩니다. 그런 다음 하위 도메인은 신뢰할 수있는 타사라고하는 역할을하는 루트 도메인을 확인하여 서로 정확한 DNS 데이터를 공유 할 수 있도록 다른 도메인의 신뢰성을 검증합니다.

RFC에 설명 된 방법의 결과로 발생하는 한 가지 문제를 영역 열거라고합니다. 외부 소스가 네트워크상의 모든 명명 된 컴퓨터의 ID를 학습 할 수있게됩니다. DNS가 원래 개인 정보 보호를 위해 설계되지 않았음에도 불구하고 다양한 법률 및 정부 의무에 따라 데이터를 비공개로 유지해야한다는 사실 때문에 DNS 보안 및 영역 열거 문제로 인해 일부 논란이있었습니다. RFC 5155에 설명 된 추가 프로토콜은 문제를 완화시킬 수 있지만 추가 할 수는 없지만 추가 리소스 레코드를 DNS에 구현하는 방법을 설명합니다.

DNS 보안 구현과 관련된 다른 문제는 이전 시스템과의 호환성과 관련이 있습니다. 구현 된 프로토콜은 보편적이어야하므로 인터넷을 사용하는 모든 컴퓨터, 서버 및 클라이언트가 모두 이해해야합니다. 그러나 DNSSEC는 DNS에 대한 소프트웨어 확장을 통해 구현되기 때문에 새로운 방법을 지원하기 위해 구형 시스템을 올바르게 업데이트하는 데 어려움이있었습니다. 그럼에도 불구하고 DNSSEC 방법의 배포는 2009 년 말과 2010 년 초에 루트 수준에서 시작되었으며 많은 최신 컴퓨터 운영 체제에는 DNS 보안 확장이 장착되어 있습니다.