Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.11. 연결 제공 도메인에 대한 DNSSEC 유효성 검사 구성

기본적으로 적절한 이름 서버가 있는 전달 영역은 NetworkManager 를 통한 Wi-Fi 연결을 제외한 모든 연결에서 제공하는 모든 도메인에 대해 dnssec-trigger 에 의해 바인딩 되지 않습니다. 기본적으로 unbound 에 추가된 모든 전달 영역은 DNSSEC의 유효성을 검사합니다.
전달 영역의 유효성을 확인하는 기본 동작을 변경할 수 있으므로 모든 전달 영역을 기본적으로 검증할 수 없습니다. 이렇게 하려면 dnssec-trigger 구성 파일 /etc/dnssec.conf 에서 validate_connection_provided_zones 변수를 변경합니다. root 사용자로 다음과 같이 행을 열고 편집합니다. 
validate_connection_provided_zones=no
기존 전달 영역에는 변경 사항이 적용되지 않지만 향후 영역의 경우만 적용됩니다. 따라서 현재 제공된 도메인에 대해 DNSSEC를 비활성화하려면 다시 연결해야 합니다.

4.5.11.1. Wi-Fi Supplied 도메인에 대한 DNSSEC 유효성 검사 구성

Wi-Fi 제공 영역에 대한 정방향 영역을 추가할 수 있습니다. 이렇게 하려면 dnssec-trigger 구성 파일 /etc/dnssec.conf 에서 add_wifi_provided_zones 변수를 변경합니다. root 사용자로 다음과 같이 행을 열고 편집합니다. 
add_wifi_provided_zones=yes
기존 전달 영역에는 변경 사항이 적용되지 않지만 향후 영역의 경우만 적용됩니다. 따라서 현재 Wi-Fi 제공 도메인에 대해 DNSSEC를 활성화하려면 Wi-Fi 연결을 다시 연결(다시 시작)해야 합니다.
주의
unbound 로의 정방향 영역으로 Wi-Fi 제공 도메인을 추가하는 경우 다음과 같은 보안 영향을 미칠 수 있습니다.
  1. Wi-Fi 액세스 포인트는 권한이 없으며 모든 DNS 쿼리를 해당 DNS 서버로 라우팅할 수 없는 DHCP 를 통해 도메인을 의도적으로 제공할 수 있습니다.
  2. 전달 영역에 대한 DNSSEC 검증이 멈춘 경우 Wi-Fi 제공 DNS 서버는 이를 인식하지 않고 제공된 도메인에서 도메인 이름에 대한 IP 주소를 스푸핑할 수 있습니다.