전용 어플라이언스로 DNS 보안 취약점 ‘해결’
상태바
전용 어플라이언스로 DNS 보안 취약점 ‘해결’
  • 데이터넷
  • 승인 2008.06.24 00:00
  • 댓글 0
이 기사를 공유합니다

DNS(Domain Name System)
전용 어플라이언스로 DNS 보안 취약점 ‘해결’
S/W·H/W 제약 원천 개선 … 핵심 네트워크 서비스 효율적 관리

지난 3회에 걸쳐 DNS(Domain Name System)의 중요성과 취약점 진단에 따른 대응책, 베스트 프랙티스, IP 기반 네트워크 환경 도래에 따른 선결과제를 살펴봤다. 이번 호에서는 핵심 네트워크 서비스에 대한 효율적 관리방안으로서 인포블럭에서 제공하는 플랫폼으로 DNS/DHCP/IPAM/RADIUS/TFTP 등과 같은 서비스를 효과적인 통합관리 및 중앙 집중적으로 관리하는 방안을 살펴본다. <편집자>

연재순서
1회 : DNS 중요성과 보안 취약점 대응책
2회 : DNS 서버 취약점 진단과 베스트 프랙티스
3회 : IP 기반 네트워크 환경 도래에 따른 선결과제
4회 : 핵심 네트워크 서비스에 대한 효율적 관리방안(이번호)


정재원 // 엑스퍼넷 기술3팀 대리jwjung@expernet.co.kr

인터넷은 정보화 사회의 핵심 인프라며 DNS는 인터넷의 핵심 애플리케이션 프로토콜이다. DNS는 데이터베이스를 사용해 호스트 네임(예 : www.expernet.co.kr)을 IP주소(예 : 192.168.0.1)로 변환시키는 것을 쉽게 해주는 중요한 인터넷 메커니즘이다. DNS는 초기의 상호 신뢰에 기반한 환경에서 개발된 공개적인 플랫폼으로 구성된 소프트웨어 형태로 서비스돼 왔다. 하지만 인터넷 환경이 악의적으로 변함에 따라 DNS는 캐시포이즈닝(cache poisoning), 도메인 하이재킹 등 여러 유형으로 공격 대상이 되고 있다.
오픈소스에서 출발한 범용 DNS 소프트웨어인 BIND의 개발자들은 취약성을 신속히 보완해 왔다. 그럼에도 불구하고 아직까지도 엄청난 수의 DNS 서버들이 잘못 구성돼 있거나 노후된 유휴 장비들에 탑재돼 있다는 것은 보안성과 안정성 및 가용성을 강화하기 위해 네트워크 인프라 환경이 전용 어플라이언스나 일체형 장비로 발전하고 있는 추세와 견줘도 열악한 환경이다.
네트워크 인프라 환경과는 달리 DNS 서버는 아직까지 전용 장비 환경이 아닌 관계로 서비스 장애나 오류 발생시 즉각적인 복구나 피드백 체계가 없다. 따라서 다음과 같은 개선이 시급하다.

· DNS 보안 취약점 개선 필요
· H/W 장애시 페일오버 체계 마련 시급
· 재해복구 예방체계 확보로 서비스 안정성 보장 필요
· 관리 편의성 강화로 오류 및 악의적 접근 시도에 대한 모니터링 체계 확보 필요

보안에 취약한 DNS 서버는 이를 호스팅하고 있는 웹서버를 위험에 빠뜨릴 뿐 아니라 인터넷상의 다른 시스템을 공격하는 전초기지 역할까지 제공하는 것을 감안하면 보안패치나 최신 업데이트에 대한 수동 관리나 하드웨어의 불안정성을 고민할 필요가 없는 DNS 전용 솔루션으로의 전환은 필수적인 상황이다. 따라서 DNS와 DHCP와 같은 NII(Network Identity Infrastructure) 서비스에 대한 어플라이언스 중심의 접근방법이 업계에서 선택할 수 있는 최선의 방안이 됐다.
인포블럭 어플라이언스는 지금까지의 소프트웨어적, 하드웨어적인 제약사항을 원천적으로 개선한 전용 솔루션으로 악의적인 공격들에 노출될 수 있는 보안 취약성을 근본적으로 개선해 인터넷 비즈니스 환경의 근간을 이루는 네트워크 환경을 안정적이고 편리하게 관리할 수 있다. 이를 통해 핵심적인 NII 서비스가 하나의 전사적인 조직그룹으로 관리되도록 일원화된 구조로 통합이 가능하다. 특히 관리자들은 데이터 서비스에 영향을 주는 OS 패치나 애플리케이션 버그 해결에 시간을 소비할 필요가 없고, 모든 인포블럭 어플라이언스에서 운영되는 모듈은 마우스 클릭만으로도 쉽게 실시간 업데이트가 가능하며 서비스 중단이 없다.

HA 페일오버로 안정적 서비스 제공
인포블럭 어플라이언스는 전용 장비로써 하드웨어 고가용성(HA) 페일오버 기능을 제공한다. 산업 표준 MAC 기반 페일오버 메커니즘인 VRRP(Virtual Router Redundancy Protocol)를 반영하고, 인포블럭 자체 내장 모듈(bloxSYNC)이 실시간 동기화 메커니즘을 보유하고 있다.


HA 메커니즘은 액티브 장비는 매 초마다 HA 포트를 통해 패시브 장비에 VRRP 전송하고, 패시브 장비가 VRRP 전송 정보를 리스닝한다. 또 3초 이내에 VRRP 전송 정보가 수신되면 패시브 상태를 계속 유지하고, 수신 실패시 액티브 마스터 역할 대행한다. 특히 실시간 동기화 기능 수행 모듈인 bloxSYNC는 호스트 네임, IP주소, 존(zone) 정보들에 대한 데이터 동기화를 수행하는 한편 백업 장비가 기능을 수행해야 할 경우, 데이터의 유실 가능성이 없다.

그리드 기술 통한 서비스 안정성 제공
그리드 기술을 통해 대규모 분산 환경의 구축 및 운영에 대한 무중단 서비스를 보장하며 사업장별 DNS 데이터에 대한 자동 동기화 및 중앙관리 편의성을 제공한다.
ID 그리드 구성시 장점은 데이터 유실 및 변조 방지가 가능하다는 것으로 모든 트랜잭션(디바이스 설정, 데이터 갱신, HA 동기화 등)이 DB로 수행되고, 파일 기반 시스템에서 발생하는 데이터 유실 및 중복 현상 방지와 트랜잭션 통합 기능을 제공한다. 또한 신속한 재해 복구가 가능해 메인 및 재해 복구용 DB가 항시 동기화되고, 원격 어플라이언스가 자동으로 DR 사이트에 복원된다.

ID 그리드 구성 특징
기업은 랜이나 왠 환경에서 구성된 독립적인 또는 HA로 구성된 어플라이언스를 이용해 자체복구가 가능한 실시간 ID 그리드를 만들 수 있다.


ID 그리드는 단일장비 장애에 대한 서비스 복구와 랜/왠 장애 시에도 서비스 제공을 지속하며, 장애 장비의 교체나 랜/왠 연결 복구 시에 ID 그리드 내의 모든 장비간에 자동적으로 다시 동기화한다.

● 통합된 관리
하나의 클러스터 집단에 속한 모든 장비와 데이터는 실제로 데이터가 있는 곳과 관계없이 한 개의 실체로서 관리된다. 개별적인 장비 수준에서 보다 클러스터 수준에서 서비스 가상화는 관리부담을 줄여주며 구성과 관련된 오류 가능성을 줄여준다. 클러스터는 웹 브라우저를 통해 어디서든지 원격으로 완벽하게 관리될 수 있다.

● 안전한 실시간 데이터 업데이트
예정된 기준에 따라서만 변경된 내용을 전파하는 과거의 네트워크 ID 업데이트 방식과 달리 ID 그리드 기술은 변화된 DNS, DHCP 데이터를 즉시 분배한다. 이것은 점점 더 역동적으로 변해가는 네트워크 환경에서 불가피하게 요구된다. 무선 네트워킹이나 VoIP와 같은 새로운 애플리케이션은 IP주소 지정이나 DNS 데이터에 대한 잦은 변경을 초래하고, 애플리케이션의 원활한 작동을 위해 이러한 변화가 네트워크상에서 신속하게 적용돼 사용되도록 요구한다.

● 관리업무 간소화 및 역할 분담
1개의 GUI 인터페이스를 통해 여러 대의 장비에 대한 구성과 데이터 입력이 가능해 조작업무가 간소화된다. 예를 들어 새로운 DNS 존이 만들어지면 몇 대의 장비(네임서버)로 매핑돼 특정한 존 변수 값으로 구성이 가능하고 기존 DNS 서버로부터 구성 내용을 가져올 수도 있는데 이 모든 작업이 하나의 대화식 설정 방법을 통해 손쉽게 가능하다. 이러한 방식은 개별 장비를 독립적으로 구성하고 관리하는 것보다 한 클러스터내의 장비들에 대한 초기설정 및 지속적인 추후 관리를 훨씬 간편하게 만들어 준다.
다음 <그림 3>은 기업에서 ID 그리드를 사용해 여러 지역에 떨어져 있는 DNS/DHCP 서비스를 중앙집중 관리하는 실제 구성 사례다.

DHCP 페일오버 기능
그리드 기능을 사용할 때 더욱 강력한 힘을 발휘하는 프로토콜 기반의 DHCP 페일오버 기능을 제공함으로써 무중단 DHCP 서비스를 제공한다. 인포블럭 DHCP 페일오버 로직을 살펴보자.


① 클라이언트는 IP주소를 할당받기 위해 자신의 MAC 주소가 포함된 DHCPDISCOVER 메시지를 브로드캐스팅한다.
② 두 대의 DHCP 서버가 클라이언트의 DHCPDISCOVER 메시지를 수신한다. 각 서버는 동봉된 MAC 주소에 대한 해시(hash) 값을 생성한다.
③ 인포블럭 DHCP 설정에서 로드밸런싱 스플릿(Load Balancing split) 값을 128로 셋팅했다면, 해시 값이 128~255 범위에 속하므로 세컨더리 서버가 클라이언트의 요청에 응답하게 돼 IP주소를 리스(lease)하게 된다.

신개념 유무선통합 인증 솔루션
사용자(유무선)가 네트워크 액세스를 승인받기 전에 사용자를 인증하는 저비용 고성능 신개념의 솔루션이다. 기존 사용자 단말에 부가적인 인증용 에이전트 설치나 애플리케이션의 변경 없이 인포블럭에 내장된 NAC 모듈로 기능을 제공한다.

● 네트워크 액세스 승인 전 사용자 인증
유무선 연결상에서 인포블럭은 실제 IP주소, DNS주소, 디폴트 게이트웨이를 제공받기 전에 사용자가 인증단계를 거치도록 한다.
- 초기 IP주소(가상IP)는 사용자 인증을 위해 제공된다.


- 사용자 인증이 성공할 때까지 사용자를 격리된 공간에 있도록 할 수 있다.
- 허가 받지 않은 사용자가 내부 네트워크로 접근하는 것을 차단한다.
- 인증 서버에 존재하는 사용자 및 단말만 IP주소를 부여한다(DHCP 환경).
· 매 연결마다 인증을 요구하도록 또는 MAC 주소를 통해 연속적인 접근상의 이전 인증단말을 식별하도록 구성이 가능하다.
· 구현이 매우 쉽다.
- MS의 AD와 손쉽게 연동되며 자동적으로 유효한 MAC 주소를 실시간 변경이 가능하다.

● DHCP 인증 절차
1) 비인가 사용자 격리
· DHCP 클라이언트는 인포블럭 디바이스에 최초 DHCP 리퀘스트를 보낸다.
· 요청한 DHCP 클라이언트의 MAC 주소가 인포블럭의 인증된 영역이나 게스트 영역에 등록이 돼 있지 않다.
· 인포블럭 디바이스는 격리된 구역의 IP주소를 부여한다.
2) 사용자 인증
· 격리된 클라이언트가 웹 브라우저를 오픈할 때 캡티브 포털로 연결된다.
· 맥아피 AV 사용시 해당사항으로 클라이언트가 맥아피 서버에 등록 유무를 확인한다.
· 사용자 ID와 비밀번호를 입력해 로그인을 시도한다.
· 사용자 정보가 담긴 위치를 미리 설정된 RADIUS 서버 등에 접속해 확인한다.
· 사용자 인증 후 인가 영역 필터에 MAC 주소 등록 및 인가 영역내의 IP주소를 자동 재할당한다.
3) 게스트 계정 등록
· 격리된 DHCP 클라이언트가 캡티브 포털 화면에 접속한다.
· 게스트로 등록 선택 시 게스트 등록 페이지를 보여준다.
· 게스트 등록 페이지에 사용자 정보를 입력한다.
· 클라이언트 MAC 주소를 게스트 필터 영역에 등록하고 게스트 영역 내의 IP주소를 자동 재할당한다.

● 통계 및 리포팅 기능
인포블럭 리포팅 서버에서 모니터링이 필요한 DNS 시스템별 질의 및 응답 활동에 대한 주기적인 통계가 가능하다. 또한 존 통계 기능을 통해 DNS 존별 질의 및 응답에 활동에 대한 주기적인 통계를 DNS 시스템별로 확인하는 기능도 제공한다.

1) DNS 쿼리 응답 분석/모니터링
- 각 유형별 DNS 응답 통계 조회
- 기간별 성능 및 용량 현황 파악 시 활용
- 일일, 주간, 월간, 연간 리포트
- 트러블슈팅 시 유용
2) DNS 쿼리 로그 리포팅
- DNS 사용 현황 통계 기능
- 커스텀 리포팅 기능 제공
- 오설정, 쿼리 대량 발생 클라이언트 식별
3) DHCP 히스토리 리포팅
- DHCP 리스 이력 상세 조회
- DHCP 사용량, 성능 모니터링 시 유용
- 일일, 주간, 월간, 연간 리포트

참고로 <표 2>는 인포블럭 DNS/DHCP와 마이크로소프트 윈도우 서버(NT/2000/2003 DNS와 DHCP)의 기능을 비교한 자료다. IP 기반 시스템 체제 관리 및 유지에 중요한 특징과 기능들을 나열하고, 개별 항목에 대한 각 제품들의 지원기능을 보여준다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.