ICT보안실무_DNS(zone_transfer)

dns.qry.name==www.ictsec.com

=>DNS 쿼리에서 www.ictsec.com해당하는 쿼리만 보겠다~!

호스트파일과 디엔에스캐쉬=>ipconfig /displaydns

물어보기전에 위두가지를 보고나서 물어본다.(쿼리를)

 

ipconfig /flushdns => 해당디엔에스에 캐쉬가 있으면 지운다!

 

기존에 A레코드에다 별칭을 다는게 CNAME이다.

==================================================================

[1.DNS Query_wireshark 동작과정]

 

->send Query

 

-> 응답 Query

 

 

[2. Web서버 Camel 사이트 구동_별칭사용]

 

-> WWW. 대신에 Camel.ictsec.com으로 camel 사이트를 열겠다라는 뜻이다.

 

-> Camel 사이트 호스트 추가 10.10.250.3은 camel web사이트 소스가 있는 아이피!

 

 

 

 

 

 

 

 

 

 

 

==================================================================

[3. 역방향 조회 생성]

 

 

 

 

-> 역방향 조회도 마찬가지로 정방향 조회와 같이 FQDN을 정의해주어야 하며 IP도 추가 해주어야 한다.

 

-> SOA도 정의

 

 

-> 역방향 할 사이트 주소 등록! 역방향은 IP를 통해 해당 호스트이름을 가져온다.

 

[4. 동기화_Zone Transfer 만들기]

 

=> 2008_B(주영역)에서 위 그림과 같이 설정할 것.

 

=> 그리고 2008_A(보조영역) DHCP서버로 동작되는 서버에 DNS 서버역할을 추가하여

     정방향,역방향 보조영역을 생성한다.

 

 

 

==================================================================

- DNS는 TCP/UDP 포트 53번 사용.

 일반적인 DNS 조회는 UDP를 사용하고, Zone-Transfer(영역전송)

  와 512Byte를 초과하는 DNS 메시지는 TCP 방식을 사용.

 

- [nslookup]의 경우 기본적으로 주 영역 서버로 조회를 요청하고,

 보조 영역 서버는 사용하지 않는다.

 [nslookup]에서 보조 영역 서버를 확인하고 싶은 경우 ‘server’

 명령어를 사용하여 보조 영역 서버를 지정하면 된다.

 (ex. [server 10.10.250.1])

 

- 하지만 일반 Application은 DNS 조회를 시도하는 경우 주 영역

  서버가 응답이 없다면 자동적으로 보조영역 서버를 사용하게

  된다!

 

 

 

 

 

 

 

 

 

 

==================================================================

[5.메일서비스 구축]

 

** 2017.05.17 설정 추가 **

 

 

 

 

<CE>

conf t

int fa 1/0

no ip add dhcp

ip add 1.1.100.1 255.255.255.252

!

ip route 0.0.0.0 0.0.0.0 fa 1/0 1.1.100.2

 

ip nat inside source static 10.10.250.1 1.1.200.1

ip nat inside source static 10.10.250.2 1.1.200.2

ip nat inside source static 10.10.250.3 1.1.200.3

 

<ISP>

conf t

int fa 0/0

ip add 1.1.100.2 255.255.255.252

ip nat inside

no shut

!

int fa 0/1

ip add 1.1.100.5 255.255.255.252

ip nat inside

no shut

!

int fa 1/0

ip add dhcp

ip nat outside

no shut

!

ip route 1.1.200.0 255.255.255.0 fa 0/0 1.1.100.1

ip route 2.2.2.0 255.255.255.0 fa 0/1 1.1.100.6

 

access-list 10 permit host 1.1.100.1

access-list 10 permit 2.2.2.0 0.0.0.255

access-list 10 permit 1.1.200.0 0.0.0.255

 

ip nat inside source list 10 int fa 1/0 overload

 

<R4 - netsec.com 경계 Router>

conf t

int fa 0/0

ip add 1.1.100.6 255.255.255.252

no shut

!