34. DHCP와 DNS

호스트 설정과 호스트 설정 프로토콜
    호스트 설정
        TCP/IP에 접속하는 각 컴퓨터는 자신의 IP 주소 또는 서브넷 마스크를 알 필요가 있다.
        다른 망과 통신하기 위해서는 4가지의 정보가 일반적으로 필요함
        컴퓨터의 IP 주소, 컴퓨터의 해당 서브넷 마스크, 라우터의 IP 주소, 네임서버의 주소
    호스트 설정 프로토콜
        RARP
            물리 주소를 IP 주소로 매핑
        BOOTP(Bootstrap)
            DHCP이 이전 주자
            RARP의 단점을 극복하기 위해 만들어짐
        DHCP
            처음으로 부팅한 컴퓨터나 디스크가 없는 컴퓨터에 4가지 정보를 제공하기 위해 설계된 클라이언트/서버 프로토콜
    DHCP
        UDP(포트 67) 기반의 프로토콜
        IP 프로토콜을 보조해 주는 응용계층 프로토콜
        네트워크 설계 변경이 자유롭다
        DHCP 서버에서만 네트워크 정보를 변경해 주면 되므로 네트워크 구성변경이 용이
        DHCP 클라이언트는 부팅 시 브로드캐스트 방식으로 트래픽을 전송하므로 네트워크의 성능저하를 발생시킴
        호스트 전원만 켜 있어도 IP 할당됨

 

DNS
    DNS의 필요성
        이름을 주소로 바꿔주고 주소를 이름으로 바꿔주는 시스템이 필요해졌다.
    네임 공간
        도메인
            도메인은 그 자체가 다른 도메인(또는 서브 도메인)으로 나뉠 수 있다
        네임서버의 계층
            zone
                서버가 책임을 지거나 권한을 가지는 곳을 영역
            zone 파일
                개별 도메인에 대한 DNS 정보가 설정되어 있는 파일
            루트 서버
                전체 트리를 영역으로 가지는 서버
                보통 도메인에 대한 어떤 정보도 가지지 않으며 참조만을 가진다.
                13개의 루트 서버가 있음
            일차 및 이차 서버
                일차 서버
                    자신이 권한을 가지는 영역에 대한 파일을 가진다.
                이차 서버
                    다른 서버(일차 및 이차 서버)로부터 영역에 관한 완전한 정보를 수신하여 로컬 디스크에 파일을 저장하는 서버
                    이차서버는 영역파일을 생성하지도 않고 갱신하지도 않음
        DNS 동작방식
            해석
                해석기
                    주소를 이름으로, 이름을 주소로 매핑하기 원하는 호스트는 해석기라고 불리는 DNS 클라이언트를 호출
                재귀적 해석
                    해당 정보가 서버에 없는 경우 서버는 실제 클라이언트 대신 스스로 클라이언트가 되어 다른 서버(주로 부모 서버)에게 새로운 요청을 보내는 방법으로 답변을 찾아냄
                반복적 해석
                    서버는 요청에 대한 답변 또는 해당 정보를 가지고 있거나 그 정보에 좀 더  가까운 다른 서버(질의를 해석할 수 있을 것 같은 서버)의 네임으로 응답
        DNS 변환과정
            1순위: 캐싱
                DNS는 캐싱이라는 절차를 이용
                오랫동안 캐싱 정보를 가지고 있다면 클라이언트에게 잘못된 매핑 정보를 보낼 수도 있다.
            2순위: /etc/hosts 파일
                도메인/호스트명과 IP 주소 매핑정보를 담고 있는 파일로 네임서버에 질의하기 전에 먼저 참조되는 파일
                파밍 등의 공격을 통해 파밍 사이트로 접속하도록 hosts 파일을 변조하는 사례가 자주 보고
            3순위: DNS 서버
                Recursive DNS 서버
                    조건이 만족될 때까지 반복적으로 처리
                Authoritative DNS 서버
                    특정 도메인에 대한 정보를 관리하면서 해당 도메인에 대한 질의에만 응답해주는 네임서버
        DNS Lookup 유틸리티
            순방향 룩업은 도메인 명을 통해서 IP 주소를 알아내는 질의
            역방향 룩업은 IP 주소를 통해서 도메인 명을 알아내는 질의
            nslookup
                DNS 진단 유틸리티 중의 하나
            dig
                가장 단순한 형태로 host 명령보다 훨씬 풍부한 정보를 제공
            host 유틸리티
                단순 요청에 쓰이는 경우가 많다.
            whois 명령어
                해당 도메인의 등록정보, 네트워크 할당 정보 등을 조회하기 위한 명령어

 

DNS 보안
    DNS 보안 위협
        공격자는 DNS 서버의 응답을 읽어볼 수 있다.(비밀성이 보장되어야 한다.)
        공격자가 사용자를 접속시키기 원하는 도메인이나 사이트로 가도록 할 수 있다.(완전 무결성을 사용해 막을 수 있다.)
        공격자는 DNS 서버가 붕괴되거나 압박받도록 대량의 트래픽 공격을 할 수 있다.(서비스 거부 공격에 대한 방지책을 사용하여 막을 수 있다.)
    스니핑 가반의 DNS Spoofing 공격
        희생자가 DNS 질의를 수행하면 공격자가 이를 스니핑 하고 있다가 정상 응답보다 빠르게 희생자에게 조작된 웹사이트 IP 정보를 담은 DNS 응답을 보내 정상 주소를 입력해도 조작된 주소로 접속하게 만드는 공격기법(시간차 공격)
        대응책
            중요 사이트의 IP 주소에 대해서는 DNS 질의보다 우선순위가 높은 hosts 파일에 등록하여 관리
    DNS Cache Poisoning 공격
        DNS 서버의 캐시 정보를 조작하는 공격
        대응책
            도메인 관리용 DNS 서버는 재귀적 질의를 허용하지 않도록 설정
            제한된 사용자가 사용하는 Recursive DNS 서버라면 해당 사용자로 제한해서 허용
            DNSSEC 기술을 활용(인증과 전자서명, 완전 무결성을 제공)

DNS 서버 보안 설정
    네임서버 주요 구성 파일과 디렉터리들
        /etc/named.conf
            각 도메인들에 대한 zone 파일 정보들을 갖고 있다.
        /etc/host.conf
            host 파일을 먼저 검색할 것인지 아니면 DNS에 의한 쿼리를 먼저 할 것인지의 순서를 정하는 설정이 order 옵션으로 설정
        /etc/resolv.conf
            시스템에서 사용할 네임서버의 주소를 가지고 있다.
    도메인 쿼리순서 설정 파일(/etc/host.conf)
        어디에서 먼저 찾을 것인가에 대한 순서를 정해놓은 파일
    사용할 네임서버 지정파일(/etc/resolv.conf)
        사용할 네임서버를 지정해둔 파일
    name 설정 파일(/etc/named.conf)
        named의 존 환경설정 파일로 매우 중요한 파일