보안 실무자에 대한 수십 년 동안 사람들을 권고를 제한 DNS 쿼리에 대한 자신의 DNS 서버를 사용 UDP port53. 현실은 UDP 포트 53 이 허용되지 않는 경우 DNS 쿼리가 TCP 포트 53 을 사용할 수도 있다는 것입니다. 이제 DNSSEC 의 임박한 배포와 IPv6 의 최종 추가로 우리는 tcp 및 UDP 포트 53 패킷을 모두 전달하기 위해 방화벽을 허용해야합니다.

DNS 는 공격자가 정찰 기술 중 하나로 사용할 수 있습니다., 대상의 서버가 포함 된 공개 정보는 공격자에게 가치가 있으며 공격에 집중할 수 있도록 도와줍니다. 공격자는 다양한 기술을 사용하여 쿼리를 통해 DNS 정보를 검색 할 수 있습니다. 그러나 해커는 종종 더 많은 정보에 액세스하기 위해 신뢰할 수있는 DNS 서버에서 영역 전송을 수행하려고합니다. Dig 명령을 사용하여 특정 영역 파일에 대한 서버에서 정보를 수집할 수 있습니다.,

dig @192.168.11.24 example.org -t AXFR

지역을 통해 전송 TCP port53 을 방지하기 위해서 우리는 DNS 서버에서 누설 중요한 정보를 공격자,TCP port53 은 일반적으로 차단합니다. 면 조직의 방화벽이 보호하는 신뢰할 수 있는 DNS 서버가 허용되 TCP port53 패킷 및 DNS 서버를 허용하도록 구성되어 영역 전송하는 사람,그런 다음 이를 발굴 명령을 성공합니다. 그러나 대부분의 조직에서는 의도하지 않은 DNS 서버에서 영역 전송을 방지하기 위해 DNS 서버를 구성했습니다., 아래 그림과 같이 허용-전송 명령의 이러한 양식 중 하나를 사용하여 바인드 영역 파일에서 구성할 수 있습니다.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

또한,대부분의 조직에서도 사용 방화벽을 차단하 TCP53 포트와에서 자신의 DNS 서버고 있습니다. 이는 DNS 서버가 실수로 전송을 허용 한 경우를 대비하여 이중 보호 기능입니다.

합법적 인 DNS 서버에만 영역 전송을 허용하도록 DNS 서버를 구성하는 것이 항상 최선의 방법이었으며 계속되고 있습니다., 그러나 TCP 포트 53 을 DNS 서버로 거부하는 관행은 몇 가지 문제를 일으키기 시작했습니다. DNS 서버에 tcp 및 UDP 포트 53 연결을 모두 허용하려는 두 가지 좋은 이유가 있습니다. 하나는 DNSSEC 이고 두 번째는 IPv6 입니다.

DNSSEC 은 더 큰 DNS 응답을 만듭니다.

IP 저널을 읽는 것을 좋아하며 1998 년 첫 번째 호부터 읽었습니다.

IP 저널의 최근 판에는 secure64 와 Texas IPv6 태스크 포스의 친구 인 Stephan Lagerholm 이”DNSSEC 구현시 운영상의 과제”라는 제목의 기사가있었습니다., 이 기사에서는 dnssec 을 배포하기 위해 이동하면서 조직이 실행하는주의 사항 중 많은 부분을 다루었습니다.

언급 된 주요 문제 중 하나는 DNSSEC 으로 인해 DNS 응답이 512 바이트보다 클 수 있다는 것입니다. DNSSEC(RFC4033,RFC4034 및 RFC4035)이 필요합을 전달하는 능력이 더 큰 DNS 때문에 메시지의 핵심에 포함된 정보를 쿼리에 응답합니다. TCP 포트(53)는 DNS 응답이 512 바이트보다 큰 경우에 사용될 수있다., 그러나 사용하여,UDP 메시지는 것이 바람직하 TCP 를 사용하여 큰 DNS 메시지는 사실 때문에 TCP 연결할 수 있는 소비 컴퓨팅 리소스를 연결합니다. DNS 서버는 초당 수많은 연결을 얻으며 TCP 를 사용하면 너무 많은 오버 헤드가 추가 될 수 있습니다. 이 문제를 해결하기 위해,IETF RFC2671″DNS 확장 메커니즘(EDNS0)”정의하는 방법을 확장하 UDP 버퍼 크기를 4096 바이트를 허용한 DNSSEC 고 큰 쿼리에 응답합니다., 사용 EDNS0 에 바인딩 9 구성은 다음을 사용할 수 있습니다 바인딩 작업에 문

edns-udp-size 4096 ;

인식 DNSSEC 증가했으로 인해 취약성 공개과 2 년과 최근 뉴스에 대해 미국 정부의 노력하고 그것을 구현합니다. 많은 조직에서 DNSSEC 배포를 계획하고 있습니다. DNSSEC 은 현재 주요 최상위 도메인(Tld)이 서명되고 있으므로 더 널리 배포되고 있습니다. TLD.org 는 이제 서명되었습니다. 인터넷의 루트 존은 불과 2 개월 전에 버지니아의 한 행사에서 서명되었습니다., VeriSign 은 2011 년까지.com 및.net 에 대한 DNSSEC 을 지원하려는 욕구를 밝혔습니다. Comcast 는 최신 DNSSEC 상태를 최신 상태로 유지하는 데 도움이되는 DNSSEC 정보 센터 사이트를 만들었습니다.