얼마전 망분리에 따른 외부/내부 DNS 구축 문의를 드렸었는데요.
외부 DNS(AWS DNS)에서 내부에서만 사용할 도메인의 A레코드를 사설IP로 박아두면 보안에 취약할 문제는 없지 않을까요?
(abc.com 192.168.0.100)
내부 DNS를 사용하는것과 외부 DNS에서 특정 도메인을 사설IP로 세팅하는것에 대한 차이를 알고싶네요
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
10개의 답변이 있습니다.
내부DNS -> 사내(내부망)에서만 쓰이는 인터넷 사이트의 도메인 주소를 IP주소로 변환해주는 서버 내부DNS에서 설정된 사내 사이트만 vpn을 통해서 외부에서 접근 가능
외부DNS -> 외부에서의 접속을 허용하는 인터넷 사이트의 도메인 주소를 IP주소로 변환으로 외부에서 사설 ip를 노출하는건 공격 위험이 있어 조심해야 합니다.
외부 DNS(예: AWS Route 53)의 도메인에 대해 프라이빗 IP 주소(예: 192.168.0.100)를 설정하면 네트워크 구성 및 보안 조치에 따라 잠재적으로 보안 위험이 발생할 수 있습니다.
o 개인 IP를 사용하는 외부 DNS
(장점)
- 편리성: 별도의 내부 DNS 관리 없이 내부적으로 익숙한 도메인 이름을 사용할 수 있습니다.
(단점)
- 보안 위험: 내부 IP 주소를 공개적으로 노출하면 보안이 취약해질 수 있습니다. IP 자체는 비공개이고 인터넷을 통해 라우팅할 수 없지만 잠재적인 공격자에게 내부 네트워크 세부 정보를 공개합니다.
- 제한된 기능: 네트워크 설정 및 보안 정책에 따라 이 접근 방식은 내부 DNS를 사용할 때와 동일한 수준의 제어 및 보안을 제공하지 않을 수 있습니다.
o 내부 DNS
(장점)
- 강화된 보안: 내부 DNS는 일반적으로 개인 네트워크 내에서 작동하여 내부 도메인 이름과 IP 주소를 외부 네트워크로부터 숨겨줍니다.
- 세분화된 제어: 네트워크 내에서 DNS 확인을 더 효과적으로 제어할 수 있으므로 ACL(액세스 제어 목록) 및 DNS 필터링과 같은 보안 조치를 구현할 수 있습니다.
(단점)
- 복잡성: 내부 DNS 인프라를 관리하면 외부 DNS 서비스에만 의존하는 것에 비해 복잡성과 오버헤드가 추가됩니다.
- 유지 관리 오버헤드: 적절한 기능과 보안을 보장하려면 지속적인 관리 및 유지 관리가 필요합니다.
내부 DNS를 사용하는 것은 일반적으로 내부 도메인 이름과 IP 주소를 처리하기 위한 보다 안전한 접근 방식으로 간주됩니다. 내부 네트워크 세부 정보를 비공개로 유지하고 네트워크 내에서 DNS 확인 및 보안 정책을 더 효과적으로 제어할 수 있습니다.
특정 제약 조건이나 요구 사항으로 인해 내부 목적으로 외부 DNS를 사용해야 하는 경우 방화벽 규칙과 같은 추가 보안 조치를 구현하여 외부 소스에서 내부 IP 주소에 대한 액세스를 제한하고 무단 액세스 시도를 정기적으로 모니터링하는 것이 좋습니다.
찌롱 | 7일 전
정리 감사합니다
도메인 서버에 사설 ip 주소를 A record로 등록 시켜두고 사용해도 됩니다.
단지 사설 ip 주소는 해당 사설 망에서 사용할때만 의미가 있고 외부에서 DNS 쿼리를 할때는 접속하지 못하거나 전혀 엉뚱한 서버의 사설 ip에 매칭되어
wansoo | 10일 전
매칭되는 결과를 가져오게되죠.
내부 사설망에서 사용하는 용도로 등록하는데는 문제가 없습니다.
찌롱 | 7일 전
답변 감사합니다
내부망에서 외부 dns 설정하고 외부 dns에 사설ip 도메인 등록하면
내부 dns에 등록한 것처럼 가능은 합니다.
다만, 말씀하신 것처럼 외부에서 abc.com 조회하면 사설ip가 노출될 수 있는 문제는 있습니다
사설IP를 안다고 침입할 순 없지만 어째든 노출되는 부분이 찝찝하긴 하죠.
찌롱 | 7일 전
답변 감사합니다
지금 여기서 먼저 확인해봐야 할 사항이 DNS가 뭔가인가인것 같습니다.
DNS는 말그대로 IP로 접속하는 걸 도메인으로 접속하기 위함인데..
내부 DNS를 사용한다는건 내부의 사용자가 내부의 서버를 IP로 접속하는 것보다는 url 로 쉽게 접속하기 위함이며, 또 IP가 변경되더라도 DNS만 설정 해주면 url로 편하게 접속을 하기 위함입니다.
내부의 사용자가 내부의 서버를 접속하기 위해서 DNS를 사용하는 것이고.. IP로 접속할 거면 DNS는 전혀 필요없고요... 매번 서버 IP가 변경되면 IP를 변경해줘야 되고, 그걸 할거면 DNS는 필요가 없는거죠...
외부 DNS에 특정도메인을 사설 IP로 세팅하는 건 그 해당 서버가 외부에서 접속하는 서버와 내부사용자들이 접속하는 서버가 다르기 때문에 그렇게 한것 같은데요...
그 문제 외에는 굳이 외부DNS에 사설IP를 박아둘 필요는 없습니다....
찌롱 | 7일 전
답변 감사합니다
아 그리고 dns도 내부 ip로 세팅하고 외부연동은 포트포워딩 합니다 외부에 오픈된 ip는 방화벽ip만 오픈
외부 dns에 등록해도 사설ip를 찾을 수 없어 안될것 같네요.
찌롱 | 10일 전
내부망에서는 사설ip를 찾을수가 있잖아요?
그럼 인식이 될텐데요.
외부 dns에 사설 ip 왜 등록하는지
아무 의미 없습니다
내부 dns 면 모를까 전제 조건이 라우팅이 되어야..
찌롱 | 10일 전
어차피 레코드값만 맞춰주는거고,
내부망 서버에서 해당 도메인이 사설ip로 연결된것만 안다면(방화벽에서 외부로 53/udp만 뚫어준다면) 통신은 잘 될텐데요
내부IP를 외부 DNS에 등록했을때 연결은 앞단에 망분리 연계솔루션에 정책으로 등록을 한후
해당 내부 IP와 외부 DNS간에 연계를 해주면 될거 같은데요
찌롱 | 7일 전
답변 감사합니다
내부ip를 외부dns에 등록했을때 연결이 될지 모르겠네요 안되는거로 기억하는데
일단 방화벽에서 dns갔다가 다시 방화벽으로 그리고 그밑 내부ip로 와야하는데 못들어오잖아요
보통 dns는 내부에 두되 상위 dns에 우리회사 dns를 등록하고 공인ip로 주고 dns까지 통신이 되야하고 방화벽에 dns를 내부 dns로 등록해서 세팅 서버ip는 내부ip를 줘도 되고 리디렉션해도 되고 가능한 외부에서 내부 ip를 알수 없게 해야해용
내부직원이 회사서버를 찾을때 방화벽에서 dns거처서 서버를 가도록하고 각 서버들은 내부 ip를사용하고 dmz아니라도 상관없고
dns에는 xxx.com하나 세팅하면 접두사별로 내부 ip서버 세팅해서 사용했던거로 기억합니다.
찌롱 | 7일 전
답변 감사합니다