DNSSEC도메인 구성 - Amazon Route 53
도메인 DNSSEC 보호 방법 개요도메인 구성을 위한 사전 요구 사항 및 최대값 DNSSEC도메인의 퍼블릭 키 추가도메인의 퍼블릭 키 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DNSSEC도메인 구성

공격자는 DNS 쿼리를 가로채고 해당 엔드포인트의 실제 IP 주소 대신 자신의 IP 주소를 DNS 확인자에게 반환하여 웹 서버와 같은 인터넷 엔드포인트로 향하는 트래픽을 가로채기도 합니다. 그러면 사용자는 공격자가 웹 사이트를 위조하기 위해 스푸핑한 응답의 IP 주소로 라우팅됩니다.

트래픽을 보호하는 프로토콜인 Domain Name System Security Extensions () 를 구성하여 DNS 스푸핑 또는 공격으로 알려진 이러한 유형의 man-in-the-middle 공격으로부터 도메인을 보호할 수 있습니다. DNSSEC DNS

중요

Amazon Route 53은 DNSSEC 서명 및 도메인 DNSSEC 등록을 지원합니다. Route 53에 등록된 도메인의 DNSSEC 서명을 구성하려면 을 참조하십시오아마존 Route 53에서의 DNSSEC 서명 구성.

도메인 DNSSEC 보호 방법 개요

도메인을 DNSSEC 구성하면 DNS 리졸버는 중간 리졸버의 응답에 대한 신뢰 체인을 구축합니다. 신뢰 체인은 도메인 (도메인의 상위 영역) 의 TLD 레지스트리에서 시작하여 서비스 공급업체의 신뢰할 수 있는 네임 서버에서 끝납니다. DNS 모든 DNS 리졸버가 지원하는 것은 아닙니다. DNSSEC 지원하는 리졸버만 서명 또는 인증 DNSSEC 검증을 수행합니다.

인터넷 호스트를 DNS 스푸핑으로부터 보호하기 DNSSEC 위해 Amazon Route 53에 등록된 도메인을 구성하는 방법을 명확하게 설명하면 다음과 같습니다.

  1. DNS서비스 공급자가 제공한 방법을 사용하여 비대칭 키 쌍의 프라이빗 키로 호스팅 영역의 레코드에 서명합니다.

    중요

    Route 53은 DNSSEC 서명 및 도메인 DNSSEC 등록을 지원합니다. 자세한 내용은 아마존 Route 53에서의 DNSSEC 서명 구성을 참조하십시오.

  2. 도메인 등록자에게 키 페어의 퍼블릭 키를 제공하고 키 페어를 생성하는 데 사용했던 알고리즘을 지정합니다. 도메인 등록자는 퍼블릭 키와 알고리즘을 최상위 도메인 () 의 레지스트리에 전달합니다. TLD

    Route 53에 등록한 도메인에 대해 이 단계를 수행하는 방법에 대한 자세한 내용은 도메인의 퍼블릭 키 추가 섹션을 참조하세요.

구성한 후 DNSSEC 도메인을 스푸핑으로부터 보호하는 방법은 다음과 같습니다. DNS

  1. 예를 들어 웹 사이트를 탐색하거나 이메일 메시지를 보내 DNS 쿼리를 제출하십시오.

  2. 요청은 DNS 리졸버에게 라우팅됩니다. 해석기는 요청에 따라 클라이언트에 적절한 값(예: 웹 서버 또는 이메일 서버를 실행 중인 호스트의 IP 주소)을 반환할 책임이 있습니다.

  3. 다른 사람이 이미 동일한 DNS 쿼리를 제출했고 DNS 확인자가 이미 값을 가져와서 해당 IP 주소가 캐시된 경우, 해석기는 요청을 제출한 클라이언트에 IP 주소를 반환합니다. 그런 다음 클라이언트는 이 IP 주소를 사용하여 호스트에 액세스합니다.

    IP 주소가 확인자에 캐시되지 않은 경우 DNS 해석기는 레지스트리에 있는 도메인의 상위 영역으로 요청을 보내며, 이 요청은 두 개의 값을 반환합니다. TLD

    • 레코드에 서명하는 데 사용했던 프라이빗 키에 상응하는 퍼블릭 키인 DS(Delegation Signer) 레코드.

    • 도메인의 권한 있는 이름 서버의 IP 주소.

  4. 확인자가 DNS 원래 요청을 다른 확인자에게 보냅니다. DNS 해당 확인자에 IP 주소가 없는 경우 확인자가 서비스 공급자의 네임 서버로 요청을 보낼 때까지 프로세스가 반복됩니다. DNS 이름 서버는 다음과 같은 두 개의 값을 반환합니다.

    • 도메인의 레코드(예: example.com). 여기에는 일반적으로 호스트의 IP 주소가 들어 있습니다.

    • 구성할 때 생성한 레코드의 서명입니다. DNSSEC

  5. DNS확인자는 도메인 등록기관에 제공한 공개 키와 레지스트리에 전달된 등록기관을 사용하여 다음 두 가지 작업을 수행합니다. TLD

    • 신뢰 체인을 설정합니다.

    • DNS서비스 공급자의 서명된 응답이 합법적이고 공격자의 잘못된 응답으로 대체되지 않았는지 확인하십시오.

  6. 응답이 인증된 경우, 해석기는 요청을 제출한 클라이언트에 값을 반환합니다.

    응답을 확인할 수 없는 경우, 해석기는 사용자에게 오류를 반환합니다.

    도메인 TLD 레지스트리에 도메인의 공개 키가 없는 경우 확인자는 서비스 공급자로부터 받은 응답을 사용하여 DNS 쿼리에 응답합니다. DNS

도메인 구성을 위한 사전 요구 사항 및 최대값 DNSSEC

DNSSEC도메인을 구성하려면 도메인과 DNS 서비스 공급자가 다음 사전 요구 사항을 충족해야 합니다.

  • 의 레지스트리가 TLD 지원해야 합니다. DNSSEC 레지스트리의 TLD 지원 여부를 확인하려면 DNSSEC 을 참조하십시오Amazon Route 53에 등록할 수 있는 도메인.

  • 도메인의 DNS 서비스 공급자가 지원해야 합니다DNSSEC.

    중요

    Route 53은 DNSSEC 서명 및 도메인 DNSSEC 등록을 지원합니다. 자세한 내용은 아마존 Route 53에서의 DNSSEC 서명 구성을 참조하십시오.

  • Route 53에 도메인의 퍼블릭 키를 추가하기 전에 먼저 도메인의 DNS 서비스 공급자를 통해 DNSSEC 구성해야 합니다.

  • 도메인에 추가할 수 있는 퍼블릭 키의 수는 TLD 도메인에 따라 다릅니다.

    • .com 및 .net 도메인 - 키 최대 13개

    • 그 밖의 모든 도메인 - 키 최대 4개

도메인의 퍼블릭 키 추가

키를 교체하거나 도메인을 DNSSEC 활성화하는 경우 DNS 서비스 공급자를 DNSSEC 통해 도메인을 구성한 후 다음 절차를 수행하십시오.

도메인의 퍼블릭 키를 추가하려면

  1. 아직 서비스 공급자와 DNSSEC 함께 구성하지 않은 경우 DNS 서비스 공급자가 제공한 방법을 사용하여 구성하십시오DNSSEC.

  2. 에 AWS Management Console 로그인하고 에서 Route 53 콘솔을 엽니다 https://console.aws.amazon.com/route53/.

  3. 탐색 창에서 등록된 도메인을 선택합니다.

  4. 키를 추가할 도메인의 이름을 선택합니다.

  5. DNSSEC키 탭에서 키 추가를 선택합니다.

  6. 다음 값을 지정하십시오:

    키 유형

    키 서명 키 () 를 업로드할지 아니면 영역 서명 키 (KSK) 를 업로드할지를 선택합니다. ZSK

    알고리즘

    호스팅 영역의 레코드에 서명할 때 사용한 알고리즘을 선택합니다.

    퍼블릭 키

    DNS서비스 DNSSEC 공급자와 함께 구성하는 데 사용한 비대칭 키 페어에서 퍼블릭 키를 지정합니다.

    유의할 사항:

    • 다이제스트가 아닌 퍼블릭 키를 지정합니다.

    • 키는 base64 형식으로 지정해야 합니다.

  7. 추가를 선택합니다.

    참고

    퍼블릭 키는 한 번에 하나만 추가할 수 있습니다. 키를 더 추가하려면 Route 53으로부터 확인 이메일을 받을 때까지 기다려야 합니다.

  8. 등록처의 응답이 Route 53에 수신되면 해당 도메인의 등록 기관 연락처로 이메일을 보내 드립니다. 이메일에서는 퍼블릭 키가 등록 기관의 도메인에 추가되었음을 확인하거나 키가 추가되지 않은 이유를 설명합니다.

도메인의 퍼블릭 키 삭제

키를 교체하거나 도메인을 비활성화하는 경우 서비스 DNSSEC 공급업체에 문의하여 비활성화하기 전에 다음 절차를 사용하여 퍼블릭 키를 DNSSEC 삭제하십시오DNS. 유의할 사항:

  • 퍼블릭 키를 교체하는 경우, 새 퍼블릭 키를 추가하고 최대 3일 후에 이전 퍼블릭 키를 삭제하는 것이 좋습니다.

  • DNSSEC비활성화하는 경우 먼저 도메인의 퍼블릭 키를 삭제하세요. 도메인에 대한 DNS 서비스를 DNSSEC 비활성화하려면 최대 3일을 기다리는 것이 좋습니다.

중요

도메인에 대해 활성화되어 있고 DNS 서비스를 사용하지 않도록 DNSSEC DNSSEC 설정하면 지원하는 DNS 확인자가 클라이언트에 SERVFAIL 오류를 반환하고 클라이언트는 도메인과 연결된 엔드포인트에 액세스할 수 없게 됩니다. DNSSEC

도메인의 퍼블릭 키를 삭제하려면

  1. 에서 Route 53 콘솔에 AWS Management Console 로그인하고 엽니다. https://console.aws.amazon.com/route53/

  2. 탐색 창에서 등록된 도메인을 선택합니다.

  3. 키를 삭제할 도메인의 이름을 선택합니다.

  4. DNSSEC키 탭에서 삭제하려는 키 옆에 있는 라디오 버튼을 선택한 다음 Delete key (키 삭제) 를 선택합니다.

  5. DNSSEC키 삭제 대화 상자의 텍스트 상자에 delete를 입력하여 키 삭제를 확인한 다음 삭제를 선택합니다.

    참고

    퍼블릭 키는 한 번에 하나만 삭제할 수 있습니다. 키를 더 삭제하려면 Amazon Route 53으로부터 확인 이메일을 받을 때까지 기다려야 합니다.

  6. 등록처의 응답이 Route 53에 수신되면 해당 도메인의 등록 기관 연락처로 이메일을 보내 드립니다. 이메일에서는 퍼블릭 키가 등록 기관의 도메인에 삭제되었음을 확인하거나 키가 삭제되지 않은 이유를 설명합니다.