Route 53에서 누락된 위임 레코드 보호 - Amazon Route 53
예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53에서 누락된 위임 레코드 보호

Route 53를 사용하면 고객은 example.com과 같은 호스팅 영역을 생성하여 DNS 레코드를 호스팅할 수 있습니다. 각 호스팅 영역에는 고객이 상위 도메인에서 NS 레코드를 구성하는 데 사용할 수 있는 4개의 이름 서버 집합인 ‘위임 세트’가 함께 제공됩니다. 이 NS 레코드를 ‘위임 NS 레코드’ 또는 ‘위임 레코드’라고 할 수 있습니다.

example.com Route 53 호스팅 영역이 권한을 갖추려면 example.com 도메인의 올바른 소유자가 도메인 등록 기관을 통해 ‘.com’ 상위 도메인에서 위임 레코드를 구성해야 합니다. 연결된 호스팅 영역이 삭제되어 고객이 상위 도메인에 구성된 4개의 이름 서버에 대한 액세스 권한을 잃는 경우 공격자가 악용할 위험이 발생할 수 있습니다. 이를 ‘매달린 위임 레코드’ 위험이라고 합니다.

Route 53는 호스팅 영역이 삭제되는 경우 매달린 위임 레코드 위험으로부터 보호합니다. 삭제 후 도메인 이름이 동일한 새 호스팅 영역을 생성하는 경우 Route 53는 삭제된 호스팅 영역을 가리키는 위임 레코드가 상위 도메인에 여전히 존재하는지 확인합니다. 이 경우 Route 53는 중복 이름 서버가 할당되지 않게 합니다. 방법은 다음 예제의 시나리오 1과 같습니다.

그러나 다음 예제의 시나리오 2~6에 설명된 대로 Route 53가 보호할 수 없는 다른 매달린 위임 레코드 위험이 있습니다. 이러한 광범위한 위험으로부터 보호하려면 상위 NS 레코드가 Route 53 호스팅 영역의 위임 세트와 일치하는지 확인하세요. Route 53 콘솔 또는를 통해 호스팅 영역의 위임 세트를 찾을 수 있습니다 AWS CLI. 자세한 내용은 레코드 나열 또는 get-hosted-zone을 참조하세요.

또한 Route 53 호스팅 영역에 대해 DNSSEC 서명을 활성화하면 위에 언급된 모범 사례를 넘어서는 또 다른 보호 계층의 역할을 할 수 있습니다. DNSSEC는 DNS 응답이 신뢰할 수 있는 출처에서 온 것임을 인증하여 이 위험으로부터 효과적으로 보호합니다. 자세한 내용은 Amazon Route 53에서 DNSSEC 서명 구성을 참조하세요.

예제

다음 예제에서는 도메인 example.com, 하위 도메인 child.example.com이 있다고 가정합니다. 다양한 시나리오에서 매달린 위임 레코드를 생성하는 방법, Route 53가 도메인을 남용으로부터 보호하는 방법, 매달린 위임 레코드와 관련된 위험을 효과적으로 완화하는 방법을 설명합니다.

시나리오 1:

4개의 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>로 호스팅 영역 child.example.com를 생성할 수 있습니다. 호스팅 영역 example.com에서 위임을 올바르게 설정하여 4개의 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>를 사용하여 child.example.com에 대한 위임 NS 레코드를 생성합니다. example.com에서 위임 NS 레코드를 제거하지 않고 child.example.com 호스팅 영역이 삭제되면 Route 53는 <ns1>, <ns2>, <ns3>, <ns4>가 도메인 이름이 동일한 새로 생성된 호스팅 영역에 할당되는 것을 방지하여 매달린 위임 레코드 위험으로부터 child.example.com을 보호합니다.

시나리오 2:

시나리오 1과 비슷하지만 이번에는 하위 호스팅 영역과 호스팅 영역 example.com의 위임 NS 레코드를 삭제합니다. 그러나 하위 호스팅 영역을 생성하지 않고 위임 NS 레코드 <ns1>, <ns2>, <ns3>, <ns4>를 다시 추가합니다. 여기서는 <ns1>, <ns2>, <ns3>, <ns4>가 매달린 위임 레코드입니다. Route 53가 <ns1>, <ns2>, <ns3>, <ns4>가 할당되는 것을 막고 있던 보류를 제거하고 이제 새로 생성된 호스팅 영역이 위의 이름 서버를 사용하도록 허용하기 때문입니다. 위험을 완화하려면 위임 레코드에서 <ns1>, <ns2>, <ns3>, <ns4>를 제거하고 하위 호스팅 영역이 생성된 후에만 다시 추가합니다.

시나리오 3:

이 시나리오에서는 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>를 사용하여 Route 53 재사용 가능 위임 세트를 생성합니다. 그런 다음 상위 도메인 .com의 이러한 이름 서버에 도메인 example.com을 위임합니다. 하지만 재사용 가능한 위임 세트에 아직 example.com에 대한 호스팅 영역을 생성하지 않았습니다. 따라서 <ns1>, <ns2>, <ns3>, <ns4>는 매달린 위임 레코드입니다. 위험을 완화하려면 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>가 있는 재사용 가능한 위임 세트를 사용하여 호스팅 영역을 생성합니다.

시나리오 4:

<ns1>, <ns2>, <ns3> 및 <ns4>라는 네 가지 이름 서버가 child.example.com 있는 호스팅 영역이 있습니다. 상위에서 <ns1>, <ns2>, <ns3> 및 <ns4>에 위임을 추가합니다. 그런 다음 영역을 삭제하지만 <ns1>, <ns2>, <ns3> 및 <ns4> 위임은 제거하지 않습니다. 그런 다음 네임서버 <ns5>, <ns6>, <ns7>, <ns8>을 사용하여 새 child.example.com 영역을 생성하고 <ns5>, <ns6>, <ns7> 및 <ns8>에 위임을 추가합니다. 이제 <ns1>, <ns2>, <ns3>, <ns4> 및 <ns5>, <ns6>, <ns7> 및 <ns8> 모두에 대한 위임이 있는 상위 영역이 생겼습니다. 이로 인해 <ns1>, <ns2>, <ns3> 및 <ns4>에 대한 매달린 위임 위험이 발생합니다. 이 위험을 완화하려면 활성 이름 서버 <ns5>, <ns6>, <ns7>, <ns8>만 남기고 위임 레코드에서 비활성 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>를 제거합니다. 일반적으로에 대한 하위 도메인 위임이 하나만 있고의 NS 레코드가 현재 하위 영역의 위임 세트에 있는 4개의 네임서버child.example.comexample.com 정확히 일치하는지 항상 확인합니다.

시나리오 5:

child.example.com 이름 서버 <ns1>, <ns2>, <ns3> 및 <ns4>와 이름 서버 <ns5>, <ns6>, <ns7> 및 <ns8>을 grandchild.child.example.com 모두 사용하여에 대한 호스팅 영역을 생성합니다. 그러나 두 가지를 영역에서 직접 위임하면 위임 중단 위험이 example.com 발생합니다. 위임이 적절한 DNS 계층 구조를 따르도록 하려면 직계 상위 영역을 통해서만 하위 도메인을 위임합니다. 예를 들어 영역에서 이름 서버 <ns1>, <ns2>, <ns3> 및 <ns4>child.example.com를 사용하여 grandchild.child.example.com: 먼저 위임을 위임하려면 example.com 영역에서 이름 서버 <ns5>, <ns6>, <ns7> 및 <ns8>을 grandchild.child.example.com 사용하여 위임child.example.com하고 grandchild.child.example.com example.com 영역에서에 대한 직접 위임을 제거합니다.

시나리오 6:

해당 호스팅 영역을 생성하기 전에 Route 53 이름 서버에 도메인 또는 하위 도메인을 위임하면 매달린 위임 레코드가 생성됩니다. 이는 시나리오 3의 경우와 유사하지만 재사용 가능한 위임 세트가 생성되지 않은 경우에도 위험이 적용됩니다. 예를 들어 상위 도메인의 example.com 이름 서버 <ns1>, <ns2>, <ns3> 및 <ns4>에 도메인을 위임.com하지만 이러한 이름 서버 중 어느 것도를 호스팅하지 않았습니다example.com. Route 53는 해당 도메인 이름에 대해 해당 이름 서버에 대한 보류를 설정하는 호스팅 영역이 없기 때문에 이를 방지할 수 없습니다. 위험을 완화하려면 제어하는 퍼블릭 호스팅 영역에 속하는 Route 53 이름 서버에만 위임합니다.