[01/24] DNS Flag Day 진행 전, EDNS에 대한 DNS서버의 응답 확인방법

DNS는 전 세계 DNS서버 운영자의 협조를 받아 서버 및 DNSSEC의 유지관리가 필요함
*DNSSEC : 도메인 네임 시스템의 보안 취약점을 극복하기 위한 DNS 확장 표준 프로토콜

  • Cisco, Cloudflare, Google과 같은 DNS 서비스 공급업체는 DNS Flag Day를 선정하여 DNS 표준 RFC6891*과 이전 RFC2671**을 준수하지 않는 서버에 대한 지원을 중단할 예정(‘19. 2. 1.)
    *RFC6891, RFC2671 : DNS 확장 메커니즘, 인터넷에서 기술을 구현하는데 필요한 절차 등을 제공하는 공문서 간행물
  • EDNS를 준수하지 않는 서버는 클라이언트에서 작동이 중지되며, 서버에서 호스팅 되는 도메인에 액세스할 수 없음
  • EDNS(Extension Mechanisms for DNS)는 DNS 확장 메커니즘으로 클라이언트와 서버 간의 정보 교환을 위해 DNS 프로토콜의 확장인 RFC 6891에 정의됨

□ DNS 소프트웨어 주요 변경 사항

– BIND 9.14.0
– Knot Resolver는 모든 최신 버전에 EDNS 처리를 구현
– PowerDNS Recursor 4.2.0
– Unbound 1.9.0

□ 변경사항에 대비하는 방법

o 권한 있는 DNS서버가 올바르게 응답하는지 확인
– dnsflgday.net의 테스트 도구를 사용하여, 양식에 DNS 서버에 호스팅 된 도메인 이름을 입력- ‘Test!’버튼을 클릭

– 신뢰할 수 있는 서버가 준비되었다면  조치가 필요하지 않음
– 문제 발생 시, 테스트 된 도메인을 호스팅하는 네임 서버에서 DNS 소프트웨어를 업데이트하여 해결할 수 있음

– 발생 가능성은 미흡하나 EDNS확장으로 DNS 쿼리를 무시하는 방화벽에 인한 문제가 발생할 수 있음

□ 시사점

  • 도메인 서버 담당자는 DNS 소프트웨어 변경 후 DNS서버가 올바르게 응답하고 있는지 확인하고 대응해야 함
  • 인터넷주소센터는 주요 도메인서버 관리업체에 DNS소프트웨어 변경 후 발생할 수 있는 문제에 대한 대비방법을 안내해야 함

출처 : APNIC