내부망 DNS 구축 문의2

얼마전 망분리에 따른 외부/내부 DNS 구축 문의를 드렸었는데요.

외부 DNS(AWS DNS)에서 내부에서만 사용할 도메인의 A레코드를 사설IP로 박아두면 보안에 취약할 문제는 없지 않을까요?

(abc.com 192.168.0.100)

내부 DNS를 사용하는것과 외부 DNS에서 특정 도메인을 사설IP로 세팅하는것에 대한 차이를 알고싶네요


태그가 없습니다.

19개의 답변이 있습니다.

0 추천 | 약 한 달 전

내부DNS  -> 사내(내부망)에서만 쓰이는 인터넷 사이트의 도메인 주소를 IP주소로 변환해주는 서버  내부DNS에서 설정된 사내 사이트만 vpn을 통해서 외부에서 접근 가능

외부DNS  -> 외부에서의 접속을 허용하는 인터넷 사이트의 도메인 주소를 IP주소로 변환으로 외부에서 사설 ip를 노출하는건 공격 위험이 있어 조심해야 합니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

2 추천 | 약 한 달 전

외부 DNS(예: AWS Route 53)의 도메인에 대해 프라이빗 IP 주소(예: 192.168.0.100)를 설정하면 네트워크 구성  보안 조치에 따라 잠재적으로 보안 위험이 발생할  있습니다. 



o 개인 IP를 사용하는 외부 DNS
 (장점)
 - 편리성: 별도의 내부 DNS 관리 없이 내부적으로 익숙한 도메인 이름을 사용할  있습니다.

(단점)
보안 위험: 내부 IP 주소를 공개적으로 노출하면 보안이 취약해질  있습니다. IP 자체는 비공개이고 인터넷을 통해 라우팅할  없지만 잠재적인 공격자에게 내부 네트워크 세부 정보를 공개합니다.

- 제한된 기능: 네트워크 설정  보안 정책에 따라  접근 방식은 내부 DNS를 사용할 때와 동일한 수준의 제어  보안을 제공하지 않을  있습니다.


o 내부 DNS
 (장점)
 - 강화된 보안: 내부 DNS는 일반적으로 개인 네트워크 내에서 작동하여 내부 도메인 이름과 IP 주소를 외부 네트워크로부터 숨겨줍니다.


- 세분화된 제어: 네트워크 내에서 DNS 확인을  효과적으로 제어할  있으므로 ACL(액세스 제어 목록)  DNS 필터링과 같은 보안 조치를 구현할  있습니다.


(단점)

 - 복잡성: 내부 DNS 인프라를 관리하면 외부 DNS 서비스에만 의존하는 것에 비해 복잡성과 오버헤드가 추가됩니다.


 - 유지 관리 오버헤드: 적절한 기능과 보안을 보장하려면 지속적인 관리  유지 관리가 필요합니다.



내부 DNS를 사용하는 것은 일반적으로 내부 도메인 이름과 IP 주소를 처리하기 위한 보다 안전한 접근 방식으로 간주됩니다. 내부 네트워크 세부 정보를 비공개로 유지하고 네트워크 내에서 DNS 확인  보안 정책을  효과적으로 제어할  있습니다.


특정 제약 조건이나 요구 사항으로 인해 내부 목적으로 외부 DNS를 사용해야 하는 경우 방화벽 규칙과 같은 추가 보안 조치를 구현하여 외부 소스에서 내부 IP 주소에 대한 액세스를 제한하고 무단 액세스 시도를 정기적으로 모니터링하는 것이 좋습니다.

Reply

게시글 작성자 | 약 한 달 전

정리 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 한 달 전

도메인 서버에 사설 ip 주소를  A  record로 등록 시켜두고 사용해도 됩니다.

단지 사설 ip 주소는 해당 사설 망에서 사용할때만 의미가 있고 외부에서   DNS 쿼리를 할때는 접속하지 못하거나 전혀 엉뚱한 서버의 사설 ip에 매칭되어

Reply

| 약 한 달 전

매칭되는 결과를 가져오게되죠.

내부 사설망에서 사용하는 용도로 등록하는데는 문제가 없습니다.



Reply

게시글 작성자 | 약 한 달 전

답변 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

내부망에서 외부 dns 설정하고 외부 dns에 사설ip 도메인 등록하면

내부 dns에 등록한 것처럼 가능은 합니다.

다만, 말씀하신 것처럼 외부에서 abc.com 조회하면 사설ip가 노출될 수 있는 문제는 있습니다

사설IP를 안다고 침입할 순 없지만 어째든 노출되는 부분이 찝찝하긴 하죠.

 


Reply

게시글 작성자 | 약 한 달 전

답변 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

지금 여기서 먼저 확인해봐야 할 사항이 DNS가 뭔가인가인것 같습니다.

DNS는 말그대로 IP로 접속하는 걸 도메인으로 접속하기 위함인데..

내부 DNS를 사용한다는건 내부의 사용자가 내부의 서버를 IP로 접속하는 것보다는 url 로 쉽게 접속하기 위함이며, 또 IP가 변경되더라도 DNS만 설정 해주면 url로 편하게 접속을 하기 위함입니다.

내부의 사용자가 내부의 서버를 접속하기 위해서 DNS를 사용하는 것이고.. IP로 접속할 거면 DNS는 전혀 필요없고요... 매번 서버 IP가 변경되면 IP를 변경해줘야 되고, 그걸 할거면 DNS는 필요가 없는거죠...

외부 DNS에 특정도메인을 사설 IP로 세팅하는 건 그 해당 서버가 외부에서 접속하는 서버와 내부사용자들이 접속하는 서버가 다르기 때문에 그렇게 한것 같은데요...

그 문제 외에는 굳이 외부DNS에 사설IP를 박아둘 필요는 없습니다....

Reply

게시글 작성자 | 약 한 달 전

답변 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

아 그리고 dns도 내부 ip로 세팅하고 외부연동은 포트포워딩 합니다 외부에 오픈된 ip는 방화벽ip만 오픈

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

외부 dns에 등록해도 사설ip를 찾을 수 없어 안될것 같네요.


Reply

게시글 작성자 | 약 한 달 전

내부망에서는 사설ip를 찾을수가 있잖아요?

그럼 인식이 될텐데요.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

외부 dns에 사설 ip 왜 등록하는지

아무 의미 없습니다

내부 dns 면 모를까 전제 조건이 라우팅이 되어야..

Reply

게시글 작성자 | 약 한 달 전

어차피 레코드값만 맞춰주는거고,

내부망 서버에서 해당 도메인이 사설ip로 연결된것만 안다면(방화벽에서 외부로 53/udp만 뚫어준다면) 통신은 잘 될텐데요

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

내부IP를 외부 DNS에 등록했을때 연결은 앞단에 망분리 연계솔루션에 정책으로 등록을 한후

해당 내부 IP와 외부 DNS간에 연계를 해주면 될거 같은데요

Reply

게시글 작성자 | 약 한 달 전

답변 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

내부ip를 외부dns에 등록했을때 연결이 될지 모르겠네요 안되는거로 기억하는데

일단 방화벽에서 dns갔다가 다시 방화벽으로 그리고 그밑 내부ip로 와야하는데 못들어오잖아요

보통 dns는 내부에 두되 상위 dns에 우리회사 dns를 등록하고 공인ip로 주고 dns까지 통신이 되야하고 방화벽에 dns를 내부 dns로 등록해서 세팅 서버ip는 내부ip를 줘도 되고 리디렉션해도 되고 가능한 외부에서 내부 ip를 알수 없게 해야해용

내부직원이 회사서버를 찾을때 방화벽에서 dns거처서 서버를 가도록하고 각 서버들은 내부 ip를사용하고 dmz아니라도 상관없고 

dns에는 xxx.com하나 세팅하면 접두사별로  내부 ip서버 세팅해서 사용했던거로 기억합니다.

Reply

게시글 작성자 | 약 한 달 전

답변 감사합니다

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

IT운영 카테고리의 다른 질문들...

  • 약 15시간 전
  • 댓글 : 약 2시간 전
  • 약 21시간 전
  • 댓글 : 약 8시간 전
  • 4일 전
  • 댓글 : 약 14시간 전
  • 5일 전
  • 댓글 : 4일 전
  • 6일 전
  • 댓글 : 4일 전
  • 20일 전
  • 댓글 : 19일 전