소프트웨어에서 DNSSEC를 구현하는 것이 가능하지만 공격자는 서명 키에 액세스하여 DNS 쿼리 프로세스를 손상시킬 수 있습니다.
DNS (Domain Name System)는 사실 인터넷 주소록입니다. 웹 사이트 이름을 해당 등록된 IP 주소와 일치시킬 수 있습니다. 그러나 웹 쿼리의 불법적인 변경은 최종사용자나 서비스를 불법 IP 주소로 유도하여 데이터 도용을 목적으로 불법 서버로 라우팅 할 수 있습니다.
DNSSEC (Domain Name System Security Extension)은 이 위협에 대응하여 만들어졌습니다. DNSSEC은 디지털 서명을 사용하여 서버가 쿼리에 대한 DNS 응답의 무결성을 인증하고 확인할 수 있게 하는 메커니즘입니다.
솔루션 요약 - DNSSEC 배포를 위한 서명 키 보안
독립적으로 인증된 HSM (FIPS 140-2 Level 3 및 Common Criteria EAL4 +)을 사용하여 DNSSEC 검증 프로세스의 무결성을 보장합니다.
강력한 변조 방지 하드웨어 경계와 입증 된 감사 가능한 메커니즘을 유지하여 보관시에도 중요한 서명 키를 보호합니다.
단일 "수퍼 유저"의 위협을 완화하고 규정 준수를 용이하게하기 위해 견고한 액세스 제어를 통해 업무를 분리합니다.
무제한 키 스토리지, 보안 백업 및 복구, 강력한 암호화 가속을 통해 고가용성 및 DNS 서버 성능을 향상 시킵니다.
DNSSEC와 관련된 위험
DNS 프로세스에 액세스하는 공격자는 고객을 위장한 사이트로 유도하여 개인 정보를 유출하도록 속일 수 있습니다.
소프트웨어에서 DNSSEC를 구현하는 것이 가능하지만 공격자는 서명 키에 액세스하여 DNS 쿼리 프로세스를 손상시킬 수 있습니다.
DNSSEC : nCipher 솔루션
nCipher의 제품 및 서비스는 비즈니스와 고객의 정보를 보호하면서 동시에 비즈니스에서 요구하는 성능을 제공하는 높은 보증 DNSSEC 프로세스를 배포하는데 도움을 줍니다. nShield 하드웨어 보안 모듈 (HSM)은 최상위 도메인 (TLD), 레지스트라, 레지스트리 및 기업이 인터넷을 통해 DNSSEC 응답의 무결성을 검증하는데 사용되는 매우 중요한 서명 프로세스를 보호하고 일반적으로 " 캐시 중독 "과" 중간자 (man-in-the-middle) "공격이 포함됩니다.
nCipher HSM 솔루션은 검증되고 감사 가능한 보안 이점을 제공하여 DNSSEC 유효성 검사 프로세스의 무결성을 보장하는 서명 키의 적절한 생성 및 저장을 가능하게합니다.
nShield HSM으로 인터넷 보호하기
DNS (Domain Name System)는 인트라넷과 인터넷 연결 라우팅에 중요한 역할을 하는 중요한 인프라 구조 구성 요소입니다.
보안을 염두에 두고 설계된 적이 없기 때문에 시스템의 고유한 취약점은 모든 형태의 인터넷 통신에 잠재적 인 위험을 제기합니다. 실제로 DNS는 IP 주소와 도메인 이름 정보를 DNS 쿼리 형태로 서로 통신하고 공유하는 수천 개의 분산 서버로 구성됩니다.
DNS는 실제로 인터넷의 마스터 주소록으로, nCipher 보안 도메인 이름 (www.ncipher.com)과 같은 웹 주소를 해당 등록된 IP 주소 (98.129.76.138)로 변환하고 일치시킬 수 있습니다. 쿼리를 불법적으로 변경하면 잠재적으로 사용자 또는 서비스를 불법적인 서버가 합법적인 사이트로 가장하여 불량 IP 주소로 라우팅 할 수 있습니다.
이 DNS의 취약점은 1990년대 후반부터 알려져 있습니다. 이메일, 뱅킹, 웹 서비스, VoIP (Voice over IP), 클라우드 서비스 등과 같은 모든 유형의 서비스에 대한 인터넷에 대한 의존도가 높아짐에 따라 DNS 보안은 점점 더 위험해지고 있습니다.
심각한 중단 및 기업 및 정부 네트워크에 대한 잠재적 위험을 관리하기 위해 이제 도메인에서 DNS 보안 확장 (DNSSEC)을 배포하기 시작했습니다. 이 취약점을 해결하고 위험 부담을 완화하기 위해 고안된 DNS 표준에 추가 되었습니다.
DNSSEC은 어떻게 DNS 취약점을 보호할 수 있을까요?
DNSSEC는 DNS 표준 외에도 DNS 쿼리에 대한 DNS 응답의 무결성을 인증하고 확인하는 메커니즘을 구축하여 캐시 중독 및 중간자 공격의 위협을 완화합니다.
캐시 중독은 DNS 서버의 캐시에 잘못된 레코드가 우발적으로 또는 의도적으로 도입되어 잘못된 라우팅 정보가 사용자에게 제공됩니다. MITM (Man-in-the-middle) 공격은 DNS 데이터베이스의 레코드를 명시적으로 변경하지 않고 사용자 요청을 차단하고 합법적인 DNS 서버로 포즈를 취합니다.
그림 1 : 비 DNSSEC 시나리오 : 사용자가 부적절한 서버로 잘못 라우팅
위 그림과 같이 사용자가 DNSSEC이 아닌 환경에서 브라우저를 사용하여 인터넷을 통해 웹페이지 또는 기타 리소스를 요청하면 (단계 1) DNS 레코드 데이터베이스 또는 캐시에서 제공된 해당 IP 주소 (2 단계 및 3 단계) 및 DNS 서버에서 (4 단계) 손상 될 수 있습니다. 잘못된 DNS 응답을 받은 결과 사용자는 위장을 하는 서버로 보내집니다 (5 단계). 주소 캐시에 대한 공격의 결과로 사용자 또는 응용 프로그램은 합법적인 서버와 실제로 통신하고 있다고 인식합니다.
DNSSEC은 다른 많은 네트워크 보안 응용 프로그램을 보호하기 위해 널리 사용되고 신뢰되어 있는 입증 된 공개 키 암호화를 사용하여 DNS 리소스 레코드에 디지털 서명을합니다.
이 방법으로 DNS 서버는 도메인 이름을 해당 IP 주소에 연결하는 레코드의 원본 및 무결성을 증명할 수 있습니다. DNSSEC을 사용함으로써 조직은 서비스 나 사용자가 다른 타협의 희생이 될 수있는 합법적인 사이트로 위장한 잘못된 IP 주소로 리디렉션되는 위험을 최소화 할 수 있습니다.
인터넷상의 개인 정보를 보호하기 위해 중요한 데이터를 암호화하기 위한 사실상의 표준으로 SSL (Secure Socket Layer)이 자리 잡은 것처럼 DNSSEC은 라우팅 지침의 무결성을 보호하기위한 기본 메커니즘이 될 것으로 기대됩니다. DNSSEC이 배포되면 최고 수준의 루트에서 최상위 도메인 (TLD)을 거친 다음 엔터프라이즈 DNS까지 여러 계층에 걸친 "신뢰 체인"이 만들어지고 확장 될 수 있습니다 기업 내의 로컬 라이즈 드 DNS 서버에 이르기까지 다양합니다. 그림 2에서 볼 수 있듯이 루트는 TLD의 주소를 알고 있습니다.
따라서 TLD는 ISP (Internet Service Providers), 레지스트라 및 레지스트리의 주소를 구별하고 다시 ELD (Enterprise Level Domain) 고객을 식별합니다. 각 고객은 레지스트리를 세분화 할 수 있는 기능을 갖추고 있습니다. .
NCIPHER HSMS가 DNSSEC 구축에 유리한 이유
nCipher는 HSM의 선도적 제공 업체입니다. 전 세계 수천 명의 고객이 DNSSEC를 포함하여 다양한 PKI 관련 응용 프로그램에 성공적으로 배포했습니다. nCipher nShield 범용 HSM 제품군은 가장 까다로운 운영 환경에서도 견고한 보안 및 고성능을 제공합니다.
모든 nShield HSM은 다양한 공통 DNSSEC 지원 소프트웨어 시스템을 대신하여 신뢰할 수 있고 변조된 내성이 없는 보안 경계 내에서 암호화 및 디지털 서명과 같은 키 관리 및 암호화 작업을 수행합니다. 동등한 보안 경계를 설정할 수 없는 대체 소프트웨어 솔루션에 비해 탁월한 보안을 제공하기 때문에 DNSSEC 환경에서 nShield HSM을 배포하면 다음과 같은 이점이 있습니다.
시스템의 보안 속성에 대한 독립적 인 보증을 제공하는 FIPS 140-2 Level 3 및 Common Criteria EAL4+ 에 대한 인증
암호 키를 안전하게 보관하고 보호하는 강력한 변조 방지 하드웨어
단일 "수퍼 사용자"의 위협을 완화하기 위해 고급 쿼럼 기술을 사용하여 관리자 및 이중 제어를 강력하게 인증합니다.
DNS, IT 및 보안 관리자 간의 주요 관리 활동 의무를 사전에 분리하여 규정 준수 촉진 보안 및 규정 준수 강화 이외에도 ISP, 등록기관, 레지스트리 및 IPAM (IP Address Management) 공급 업체가 이러한 운영상의 이점을 실현할 수 있습니다.
운영상의 이점은 다음과 같습니다.
여러 DNS 서버를 지원하는 중앙 집중식 키 관리
HSM을 동적으로 추가하고 용량 요구 사항이 증가함에 따라 로드 균형을 조정할 수 있는 확장성
무제한의 안전한 키 백업 및 복구 기능을 갖춘 고 가용성 및 재해 복구
DNS 서버 성능 향상을 위한 암호화 CPU 오프 로딩
※ nCipher의 고유 한 키 관리 방식은 손실로 부터 키를 보호하고 무제한 스토리지를 제공하며 데이터 센터 간의 복제를 지원하고 운영의 연속성을 보장합니다.
DNS 보안에 최적화된 nCipher nShield HSM으로, 안전한 DNSSEC 솔루션을 구축하시기 바랍니다. 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.
윤 용 비
대리 │ IT 솔루션 영업팀
TEL : 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
| SSL / TLS 암호화 솔루션 - nCipher nShield HSMs + CodeSafe (0) | 2019.05.16 |
|---|---|
| [nCipher] PKI (공개키) 및 디지털 인증서의 무결성을 보장하는 HSM (0) | 2019.04.18 |
| nCipher nShield Remote Administration - 엔사이퍼 HSM 연동 원격 제어 솔루션 (0) | 2019.03.31 |
| nCipher nShield Monitor - 분산된 HSM를 통합 관리, 모니터링 (0) | 2019.03.30 |
| 코드 서명 - nCipher Code Signing / nShield HSMs (0) | 2019.03.21 |
| nCipher nShield Edge HSMs (휴대용 HSM - 엔사이퍼 엣지) (0) | 2019.03.20 |
| nCipher nShield Solo HSMs 소개 (엔사이퍼 HSM 솔로) (0) | 2019.03.19 |
| NCipher nShield Connect HSMs 소개 (엔사이퍼 하드웨어 암호화 모듈) (0) | 2019.03.18 |
| [탈레스 HSM] 데이터 유출 방지를 위한 암호화 구축 성공 사례 (0) | 2019.01.14 |
| [탈레스 HSM] 사물인터넷(IoT)와 핀테크를 지원을 위한 타원곡선 암호(ECC) 기능 업데이트 (0) | 2019.01.07 |
