Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.5.11. 연결 제공 도메인에 대한 DNSSEC 유효성 검사 구성
기본적으로 적절한 이름 서버가 있는 전달 영역은 NetworkManager 를 통한 Wi-Fi 연결을 제외한 모든 연결에서 제공하는 모든 도메인에 대해 dnssec-trigger 에 의해
바인딩
되지 않습니다. 기본적으로 unbound
에 추가된 모든 전달 영역은 DNSSEC의 유효성을 검사합니다.
전달 영역의 유효성을 확인하는 기본 동작을 변경할 수 있으므로 모든 전달 영역을 기본적으로 검증할 수 없습니다. 이렇게 하려면 dnssec-trigger 구성 파일
/etc/dnssec.conf
에서 validate_connection_provided_zones
변수를 변경합니다. root
사용자로 다음과 같이 행을 열고 편집합니다. validate_connection_provided_zones=no기존 전달 영역에는 변경 사항이 적용되지 않지만 향후 영역의 경우만 적용됩니다. 따라서 현재 제공된 도메인에 대해 DNSSEC를 비활성화하려면 다시 연결해야 합니다.
4.5.11.1. Wi-Fi Supplied 도메인에 대한 DNSSEC 유효성 검사 구성
Wi-Fi 제공 영역에 대한 정방향 영역을 추가할 수 있습니다. 이렇게 하려면 dnssec-trigger 구성 파일
/etc/dnssec.conf
에서 add_wifi_provided_zones
변수를 변경합니다. root
사용자로 다음과 같이 행을 열고 편집합니다. add_wifi_provided_zones=yes기존 전달 영역에는 변경 사항이 적용되지 않지만 향후 영역의 경우만 적용됩니다. 따라서 현재 Wi-Fi 제공 도메인에 대해 DNSSEC를 활성화하려면 Wi-Fi 연결을 다시 연결(다시 시작)해야 합니다.
주의
unbound
로의 정방향 영역으로 Wi-Fi 제공 도메인을 추가하는 경우 다음과 같은 보안 영향을 미칠 수 있습니다.
- Wi-Fi 액세스 포인트는 권한이 없으며 모든
DNS
쿼리를 해당DNS
서버로 라우팅할 수 없는DHCP
를 통해 도메인을 의도적으로 제공할 수 있습니다. - 전달 영역에 대한 DNSSEC 검증이 멈춘 경우 Wi-Fi 제공
DNS
서버는 이를 인식하지 않고 제공된 도메인에서 도메인 이름에 대한IP
주소를 스푸핑할 수 있습니다.