Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

DNS 싱크홀 개요

DNS 싱크홀 기능을 사용하면 도메인을 싱크홀 서버로 확인하거나 DNS 요청을 거부하여 허용되지 않은 도메인에 대한 DNS 요청을 차단할 수 있습니다.

SRX 시리즈 방화벽에서 DNS 필터링을 구성하여 허용되지 않은 도메인에 대한 DNS 요청을 식별할 수 있습니다.

메모:

Junos OS 릴리스 20.4 R1부터는 vSRX 가상 방화벽 인스턴스와 SRX 5000 디바이스 제품군을 제외한 모든 SRX 시리즈 방화벽에서 DNS 필터링을 구성할 수 있습니다. SRX 5000 디바이스 제품군에서 DNS 필터링을 구성하기 위한 지원이 Junos OS 릴리스 21.1 R1에 도입되었습니다.

허용되지 않는 도메인에 대한 DNS 요청을 식별한 후 다음 작업 중 하나를 수행할 수 있습니다.

  • SRX 시리즈 방화벽에서 호스팅되는 싱크홀 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)이 포함된 DNS 응답을 전송하여 허용되지 않은 도메인에 대한 액세스를 차단합니다. 이렇게 하면 클라이언트가 허용되지 않는 도메인으로 트래픽을 보내려고 할 때 트래픽이 대신 싱크홀 서버로 이동합니다.

  • DNS 요청을 기록하고 액세스를 거부합니다.

알려진 잘못된 도메인에 대한 DNS 요청은 쿼리 유형(QTYPE)에 따라 처리됩니다. A, AAAA, MX, CNAME, TXT, SRV 및 ANY의 DNS 쿼리는 싱크홀 작업으로 이어지며 개별적으로 계산되고 보고됩니다. 다른 유형의 DNS 쿼리는 잘못된 도메인과 일치하는 경우에만 로그온되고(그런 다음 통과할 수 있음) "misc" 유형으로 함께 보고됩니다.

메모:

  • DNS 싱크홀 기능은 주니퍼 ATP 클라우드 라이선스를 통해서만 사용할 수 있습니다. 기능별 라이선스 정보는 ATP 클라우드용 소프트웨어 라이선스를 참조하십시오.

  • 싱크홀 서버는 부적절한 사용자가 허용되지 않은 도메인에 더 이상 액세스하지 못하도록 하거나 액세스를 허용하는 동안 다른 작업을 수행할 수 있습니다. 싱크홀 서버 동작은 DNS 필터링 기능에 의해 제어되지 않습니다. 싱크홀 서버 동작을 별도로 구성해야 합니다.

혜택

  • 허용되지 않는 도메인에 대한 DNS 요청을 싱크홀 서버로 리디렉션하고 시스템 운영자가 허용되지 않는 도메인에 액세스하지 못하도록 합니다.

  • SecIntel 피드를 통해 허용되지 않는 도메인에 대한 인라인 차단 기능을 제공합니다.

  • 네트워크에서 감염된 호스트를 식별하는 데 도움이 됩니다.

워크플로

DNS 싱크홀의 논리적 토폴로지는 그림 1에 나와 있습니다.

그림 1: DNS 싱크홀 DNS Sinkhole

DNS 싱크홀 기능을 사용하여 네트워크에서 감염된 호스트를 식별하는 개략적인 워크플로는 다음과 같습니다.

표 1: DNS 싱크홀을 사용하여 감염된 호스트 식별

걸음

묘사

1

클라이언트가 잘못된 도메인 서버에 대한 DNS 요청을 보냅니다.

2

SRX 시리즈 방화벽은 먼저 기업 DNS 서버에서 domian을 쿼리합니다. DNS 쿼리를 알 수 없는 경우 회사 DNS 서버는 공용 DNS 루트 서버로 요청을 전달합니다.

3

주니퍼 ATP 클라우드 정책으로 구성된 SRX 시리즈 방화벽은 검사를 위해 회사 DNS 서버에서 알 수 없는 DNS 쿼리를 주니퍼 ATP 클라우드로 스트리밍합니다.

4

주니퍼 ATP 클라우드는 허용 목록 DNS 피드, 사용자 지정 DNS 피드, 글로벌 DNS 피드 등 테넌트별(LSYS/TSYS) 도메인 피드를 SRX 시리즈 방화벽에 제공합니다.

주니퍼 ATP 클라우드는 글로벌 DNS 피드를 위해 타사 소스 및 주니퍼 위협 연구소로부터 FQDN 정보를 수집합니다. 고객은 OpenAPI를 통해 사용자 지정된 DNS 피드를 게시할 수 있습니다.

5

SRX 시리즈 방화벽은 ATP 클라우드에서 DNS 도메인 피드를 다운로드하고 일치하는 도메인에 대해 싱크홀, 차단(삭제/닫기), 허가 또는 권장 등의 작업을 적용합니다.

  • 허용 목록에 있는 피드의 경우 DNS 요청이 기록되고 액세스가 허용됩니다.

  • 사용자 지정 DNS 피드의 경우block, sinkhole일치하는 도메인의 위협 수준에 따라 삭제 또는 닫기, permitrecommended 및 작업이 허용됩니다.

메모:

기본적으로 SRX 시리즈 방화벽은 기본 싱크홀 서버를 사용하여 허용되지 않는 도메인에 대한 DNS 쿼리에 응답합니다.

6

이 예에서 SRX 시리즈 방화벽은 싱크홀 동작으로 구성됩니다. 주니퍼 ATP 클라우드가 불량 도메인 서버를 악성 도메인으로 식별하면 SRX 시리즈 방화벽은 자체 싱크홀 IP 주소를 사용하여 불량 도메인 서버에 대한 쿼리에 응답합니다.

7

클라이언트가 잘못된 도메인 서버와 통신을 시도하지만 대신 SRX 시리즈 방화벽에서 호스팅되는 싱크홀 IP 주소에 연결합니다.

8

싱크홀 IP 주소에 연결하는 감염된 클라이언트가 식별되어 감염된 호스트 피드에 추가되고 격리됩니다. 시스템 관리자는 위협 및 트래픽 로그에서 싱크홀 IP 주소를 검색하여 싱크홀 IP 주소와 통신하려는 모든 클라이언트를 식별할 수 있습니다.