Route 53에서 누락된 위임 레코드 보호 - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53에서 누락된 위임 레코드 보호

Route 53을 통해 NS 레코드를 생성하여 트래픽을 하위 도메인으로 라우팅할 수 있습니다. 이러한 NS 레코드가 Route 53 이름 서버를 가리키는 경우, 이름 서버는 하위 도메인에 대한 권한이 있는 호스팅 영역의 위임 세트에 있는 것과 일치할 것으로 예상됩니다. 이러한 NS 레코드가 올바른 이름 서버를 가리키지 않으면 공격자가 하위 도메인을 악용하고 제어할 위험이 있습니다. 이를 손상된 NS 레코드라고 합니다.

예를 들어, 하위 도메인의 Route 53 호스팅 영역이 삭제되면 해당 NS 레코드가 상위 도메인에 손상된 상태로 남아있을 수 있습니다. 이 경우 공격자는 삭제된 영역의 이름 서버에 새 호스팅 영역을 생성하여 하위 도메인을 하이재킹할 수 있습니다. Route 53은 하위 도메인 위임 세트 페어를 지속적으로 추적하고 손상된 NS 레코드를 제거하기 전에 해당 이름 서버에 하위 도메인의 새 영역이 생성되지 않도록 함으로써 이를 방지하려고 합니다.

하지만 NS 레코드의 잘못된 구성으로 인해 손상된 NS 레코드가 계속 나타납니다. 이러한 위험을 완화하려면 다음 조치를 취하는 것이 좋습니다.

  • 하위 도메인의 신뢰할 수 있는 Route 53 호스팅 영역의 Apex NS 레코드가 호스팅 영역의 위임 세트와 일치하는지 확인합니다. Route 53 콘솔 또는 AWS CLI 을 통해 호스팅 영역의 위임 세트를 찾을 수 있습니다. 자세한 내용은 레코드 나열 또는 get-hosted-zone 단원을 참조하세요.

  • Route 53 호스팅 영역에 대한 DNSSEC 서명을 활성화합니다. DNSSECDNS답변이 신뢰할 수 있는 출처에서 왔음을 인증하여 위험을 효과적으로 방지합니다. 자세한 정보는 아마존 Route 53에서의 DNSSEC 서명 구성 섹션을 참조하세요.

  • 상위 호스팅 영역의 하위 도메인 NS 레코드에서 하위 도메인을 호스팅하지 않는 이름 서버를 제거합니다.

    – 또는 -

  • 이름 서버를 하위 도메인의 신뢰할 수 있는 Route 53 호스팅 영역의 위임 세트에 있는 이름 서버 4개로 교체합니다. 이렇게 하면 위험도 효과적으로 완화됩니다.

다음 예에서는 상위 도메인 parent-domain.com과 하위 도메인 sub-domain.parent-domain.com이 있다고 가정하고 NS 레코드가 연결된 채 남아있는 세 가지 시나리오와 위험을 완화하는 방법을 보여줍니다.

시나리오 1:

상위 호스팅 영역 parent-domain.com에서 4개의 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>로 sub-domain.parent-domain.com에 대한 NS 레코드를 생성합니다. 그리고 신뢰할 수 있는 하위 도메인의 이름 서버는 <ns5>, <ns6>, <ns7>, <ns8>입니다. 따라서, <ns1>, <ns2>, <ns3>, <ns4>는 모두 손상된 NS 레코드이며 이로 인해 공격자가 sub-domain.parent-domain.com을 통제할 수 있습니다. 이 위험을 완화하려면 하위 도메인 NS 레코드를 <ns5>, <ns6>, <ns7>, <ns8>로 교체합니다.

시나리오 2:

parent-domain.comsub-domain.parent-domain.com NS 레코드가 <ns1>, <ns2>, <ns3>, <ns4>, <ns5>, <ns6>, <ns7>, <ns8>을 가리키도록 합니다. 신뢰할 수 있는 하위 도메인 호스팅 영역의 이름 서버는 <ns5>, <ns6>, <ns7>, <ns8>입니다. 따라서, <ns1>, <ns2>, <ns3>, <ns4>는 여기서도 손상된 NS 레코드입니다. 위험을 완화하려면 NS 레코드에서 <ns1>, <ns2>, <ns3>, <ns4>를 제거합니다.

시나리오 3:

재사용 가능한 위임 세트 <ns1>, <ns2>, <ns3>, <ns4>가 있습니다. 상위 영역에 NS 레코드를 만들고 하위 도메인을 재사용 가능한 위임 세트에 있는 해당 이름 서버에 위임합니다. 하지만 재사용 가능한 위임 세트에 하위 도메인 영역을 생성하지 않았습니다. 따라서 <ns1>, <ns2>, <ns3>, <ns4>는 손상된 NS 레코드입니다. 위험을 완화하려면 재사용 가능한 위임 세트를 사용하여 하위 도메인 호스팅 영역을 생성합니다.