DNSSEC: 오늘날의 과제

도메인 이름 시스템 (DNS)은 사실상 인터넷의 주소록이며, 웹 사이트 이름을 그 등록 된 IP 주소와 일치하는 것을 허용합니다. 하지만 웹 쿼리에 무단 변경을 더하는 것으로, 최종 사용자 및 서비스에 잘못된 IP 주소를 응답하여 데이터를 훔치기 위한 불법 서버로 유도 할 수 있습니다. 이 경우 사용자가 악의적인 전자 메일이나 다른 메시지에 속는 것이 아니라 자동으로 가짜 사이트로 유도되기 때문에 이러한 공격의 피해를 당한 것이 기존의 피싱 공격보다 알기 어렵게 되어 있습니다. 이러한 위협은 고객과 기업 모두에 손상을 발생하므로 DNS 보안이 주목을 끌게 되었습니다. DNS 보안 확장 (Domain Name System Security Extensions : DNSSEC)이 위협에 대항하기 위해 생성 된 것입니다. DNSSEC는 디지털 서명을 사용하여 쿼리에 대한 DNS 응답의 정당성의 인증과 검증을 서버가 수행 할 수 있도록 하는 메커니즘입니다. 

자세한 내용

다른 자격 증명 작성 및 서명 프로세스와 마찬가지로 DNSSSEC은 그것을 사용하는 모든 사람과 조직이 안전하고 호출된 정보를 신뢰 할 수 있도록 상호 신뢰에 의한 신뢰 체인 역할을 합니다. DNSSEC의 경우, 이 트러스트 앵커는 각 지역 또는 커뮤니티의 최상층 도메인 (예를 들면 com. gov. co.uk)에 위치하고 있으며 엄격한 안전이 확보되고 있습니다. 인터넷 서비스 공급자 및 내부 DNS 서비스를 제공하는 기업은 신뢰 체인의 링크 역할을 담당하고 각각의 DNSSEC 기능을 도입 할 때 각자가 적절한 수준의 보안 평가를 수행해야 합니다. 제일 중요한 것은 어느 조직에도 자신들이 공격자가 시스템 침입을 성공시키는 체인의 최상위 포인트가되는 것을 희망하고 있지는 않습니다.

섹션 숨기기

DNSSEC과 관련된 위험

  • DNS 프로세스의 침입에 성공한 공격자는 사용자를 가짜 사이트로 유도하고 이용자를 속여 개인 정보를 훔칠 수 있습니다.
  • 소프트웨어에서 DNSSEC 를 구현할 수 있습니다. 하지만 이 경우 공격자가 서명 키에 무단으로 액세스 할 수 있고, DNS 쿼리 프로세스가 위험에 노출됩니다. 

DNSSEC: Thales e-Security 솔루션

Thales e-Security의 제품과 서비스는 비즈니스 및 고객의 정보를 보호하는 높은 안전성을 갖춘 DNSSEC 프로세스의 도입을 지원하면서 비즈니스에 필요한 성능을 제공 할 수 있습니다. nShield 하드웨어 보안 모듈 (HSM) 최상위 도메인 (TLD) 등록 기관, 레지스트리 및 기업이 인터넷에서 DNSSEC 응답 유효성 검사에 사용되는 중요한 서명 프로세스의 보안을 확보할 수 있으며 일반적으로 캐시 포이즈닝공격과 중간자공격으로부터 DNS를 보호합니다. HSM은 감사 가능한 검증 된 보안 혜택을 제공하고, 서명 키가 제대로 만들어 보관되는 것으로 DNSSEC 유효성 검사 프로세스의 무결성을 보장합니다. 

장점:

  • 독립된 기관의 인증을 받은 HSM (FIPS 140 - 2 레벨 3 및 공통 평가 기준 EAL4 +)는 DNSSEC 유효성 검사 프로세스의 무결성을 보장합니다.
  • 변조 방지의 견고한 하드웨어 경계와 입증 감사가 가능한 메커니즘을 유지하고 보관 상태에 있는 것을 포함하여 중요한 서명 키를 보호합니다.
  • 하나의 슈퍼 유저에 대한 위협을 완화하는 강력한 액세스 제어를 통해 권한의 분리를 실현하고 규정 준수를 촉진합니다.
  • 무제한 키 저장 보안 백업 및 복구, 강력한 암호화 처리 가속기에 의해, 고 가용성 및 DNS 서버 성능의 향상을 실현합니다.

DNSSEC
DNSSEC 솔루션 개요 다운로드