안녕하세요 서버운영하면서 해결해야되는 몇가지 문제에대해서 질문드립니다.
dmz존에 회사네임서버 구성하여 가비아에 1차네임서버로 등록 사용중 2차네임서버는 idc네임서버 가비아에 2차로 등록 사용중이며 영역전송을 통해 일정시간마다 레코드 공유중
네임서버에는 외부서비스중인 홈페이지의 공인ip 와 레코드 와 내부사용자만 사용하는 그룹웨어 등등 사설ip 레코드가 다수 존재합니다(그룹웨어등 사설 ip 및 레코드 등록 이유는 vpn으로 내부망에 접근하는 사용자가 웹주소를 사용할수있게 하기위함)
문제는 외부 인터넷환경에서 nslookup으로 사설ip가 등록된 레코드를 조회하면 사설ip가 그대로 노출되고있습니다 dmz존에 있는 네임서버에 정보가 있으니 외부에서 조회하면 사설ip가 노출되는것이 당연하다고생각은 듭니다(idc에 영역전송하는거랑은 상관없겠죠? 두네임서버가 공개형이니까요)
사설ip가 외부에서 조회되는 것을 막는방법이 있을까요?
DMZ존에 있는 사설 IP레코드를 제거하고 내부망에 내부 dns서버를 추가 구성하여야 하는지 고민됩니다. (내부 DNS구성 후 VPN사용자가 그룹웨어 접속시도시 내부에 구성한 네임서버가 조회되게 하려면 어떤 설정이필요할까요?)
사용자PC에 HOSTS 파일을 변경하는 방법은 사용자 편의상 배제하고있습니다
의견을 여쭙습니다 꾸벅.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
5개의 답변이 있습니다.
보안이 신경쓰이시면 내부 DNS를 분리해서 구성하시는게 좋을것 같습니다.
섭섭섭 | 일 년 이상 전
네 분리해서 구성을 해야 할것 같네요
내부 사설 IP들은 내부에서만 사용가능한 사설 DNS 서버를 새로 구축해서 사용하는게 좋지 않을까 싶네요.
사설 DNS 서버에도 공인 IP들을 등록해서 내부 사용자들이 외부 사이트 접속용도로 사용하는데 특별히 문제되지 않다 보니...
DNS 서비스가 부하를 많이 유발하는 서버도 아니다 보니...
가상 컴퓨터로 리눅스를 간단하게 올려서 하나 더 운영하고, 공식적인 서비스를 하는 외부용 DNS 서버에는 외부 서비스용 IP 들만 A Record에 등록해서 사용하는걸 권장하고 싶네요.
섭섭섭 | 일 년 이상 전
네 사설 DNS 새로 구축하는 방향으로 가야할것 같습니다.
DNS서버를 자체로 운영하시는걸로 보여집니다.
DNS서버에서는 zone이라는 개념으로 IP대역에 따라 서버를 다르게 안내할 수 있어요
외부에 공개가능한 서버는 external로,
내부에서만 접속가능한 서버는 internal로 설정해서
내부IP(VPN IP 포함)만 접속 가능하게 설정하시면 될듯 합니다.
외부에서 보여지는 네임서버는 가비아 IP를 입력 하지 않으셨나요? 그리고 내부DNS는 내부 IP를 두어
방화벽에서 포트포워딩 할수 있도록 하면 되지 않을까요?
보안적으로 보면 내부 dns와 외부 dns를 구분하는게 좋긴합니다.
그만큼 관리할 포인트가 늘어나는 것이라 dns 관리할 항목이 많지 않은 경우는
내부 dns만 구축하고 외부 dns는 통신사나 호스팅업체 name server를 활용하는 경우가 많습니다.
위와 같은 상황이더라도 보안 설정만 잘 되어 있으면 사설ip 노출만으로 문제가 되진 않지만
잠재적 위험 요소가 있다면 내부 dns 구축하는게 좋을듯 합니다
섭섭섭 | 일 년 이상 전
네 답변 감사합니다. 많은 도움이 되었어요