Red Hat Summit5장. 암호화된 DNS를 사용하여 시스템 DNS 트래픽 보안
암호화된 DNS를 활성화하여 DoT(DNS-over-TLS) 프로토콜을 사용하는 DNS 통신을 보호할 수 있습니다. 암호화된 DNS(eDNS)는 비보안 프로토콜에 대한 대체 없이 모든 DNS 트래픽 엔드 투 엔드를 암호화하고 ZTA(0 신뢰 아키텍처)의 원칙과 일치합니다.
RHEL에서 eDNS의 현재 구현은 DoT 프로토콜만 사용합니다. eDNS를 사용하여 RHEL을 설치하는 두 가지 기본 방법이 있습니다. 로컬 미디어에서 대화형 설치를 수행하거나 사용자 정의 부팅 가능 ISO를 빌드하여 설치 중 및 설치 후 eDNS가 강제 정책으로 구성되었는지 확인할 수 있습니다. 또는 eDNS를 사용하도록 기존 RHEL 설치를 변환할 수 있습니다.
중요
암호화된 DNS는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
5.1. RHEL의 eDNS 구성 요소 개요
링크 복사링크가 클립보드에 복사되었습니다!
다음 구성 요소는 RHEL의 eDNS 설정을 구성하고 계층 방식으로 상호 작용합니다.
- NetworkManager
-
NetworkManager는 eDNS를 활성화하고 구성된 정책을 기반으로 암호화된 DNS 프로토콜 사용을 적용합니다.
dnsconfd를 백엔드 DNS 확인기로 사용하도록 설정되어 있습니다. dnsconfd-
dnsconfd는 로컬 DNS 캐시 구성 데몬입니다. DNS 캐싱, 분할 DNS 및 TLS(DoT)를 통한 DNS 설정을 단순화합니다. unbound-
unbound는 DNS 확인자 검증, 재귀 및 캐싱입니다. eDNS 설정에서dnsconfd의 런타임 캐시 서비스로 사용됩니다.unbound는 업스트림 DNS 쿼리에 TLS를 사용합니다. 이는 외부 DoT 서버로의 DNS 트래픽을 암호화하는 데 필요합니다.unbound는 다양한 캐시를 관리하여 DNS 응답을 저장하므로 반복된 외부 쿼리의 필요성을 줄이고 성능을 향상시킵니다.
5.1.1. EDNS 확인 프로세스 및 핵심 상호 작용
링크 복사링크가 클립보드에 복사되었습니다!
- 호스트 이름을 해결하기 위한 애플리케이션 요청입니다.
-
시스템은
/etc/resolv.conf파일을 읽고 쿼리를 로컬바인딩되지 않은 서비스로보냅니다. -
unbound는 먼저 내부 캐시에서 유효한 캐시된 응답을 확인합니다. -
요청 레코드를 찾을 수 없는 경우
unbound는 TLS를 사용하여 DNS 쿼리를 암호화하고 구성된 업스트림 DoT 활성화된 DNS 서버로 보냅니다. -
업스트림 DoT 서버는 쿼리를 처리하고 암호화된 DNS 응답을
unbound로 다시 보냅니다. -
unbound암호 해독, 검증 및 응답을 캐시합니다. -
마지막으로
unbound는 확인된 DNS 응답을 다시 애플리케이션으로 보냅니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}