홈 네트워크 내부의 웹 기반 서비스에 액세스하려고 하면 Chrome에서 URL을 제대로 확인하지 못하는 것으로 나타났습니다. 예를 들어 fqdn을 사용하여 Plex 서버를 탐색하려는 경우가 있습니다. plex.mydomain.com. 이는 "보안 DNS" 설정이 활성화된 경우에만 해당됩니다. 내 웹 요청을 내 네트워크 외부의 DNS 서버로 전달하는 것 같습니다. Plex 서버 웹 프런트엔드로 이동하는 대신 실제로 잠재적인 DNS 리바인딩 공격을 경고하는 오류가 있는 pfsense 라우터의 페이지로 리디렉션됩니다.
나는 내부 DNS 서버를 운영하고 있습니다. 이것은 단순한 Windows 2012r2 서버입니다. 내 내부 네트워크의 모든 것은 이 서버를 가리키며, 이 서버는 알지 못하는 기록에 대한 요청을 Google의 DNS 서버로 전달하도록 구성되어 있습니다.
저는 보안 DNS(또는 HTTPS를 통한 DNS)를 사용하는 아이디어를 좋아합니다. 하지만 위와 같은 이유로 사용할 수는 없을 것 같습니다. 하지만 DNSSEC를 지원하도록 내부 DNS 서버를 구성하면 문제가 해결될 수 있을지 궁금합니다. 보안 DNS 서비스를 위해 내부 DNS 서버를 사용하려면 Chrome 설정도 조정해야 한다고 생각합니다. 그게 다 맞는 것 같나요?
다른 사람이 이 문제를 관찰한 적이 있습니까?
답변1
이 기능이 작동하려면 DNS 서버에서 DNS-over-HTTPS 지원을 활성화해야 합니다. 로컬 DNS 서버가 DoH를 지원하지 않는 경우 Chrome은 자동으로 요청을 업그레이드하고 로컬 DNS 설정을 우회하며 Google이 선호하는 DoH 서버를 사용합니다. 불행하게도 Microsoft DNS는 현재 이 기능을 제공하지 않습니다.
plex.mydomain.com에 대해 공개 DNS가 설정되어 있다고 가정하면 Chrome에서 Windows DNS 서버가 DoH를 지원하는지 확인하기 위해 테스트합니다. Chrome은 그렇지 않다는 것을 확인한 다음 DoH를 사용하여 8.8.8.8에 요청을 실행하여 공개 IP를 확인합니다. 그런 다음 클라이언트는 내부 IP가 아닌 공용 IP에 연결을 시도하고 pfsense는 리바인딩 공격으로 간주될 수 있는 것을 차단합니다. 때때로 외부 연결이 필요한 노트북 대신 데스크톱을 사용하는 경우 Plex 서버의 로컬 IP를 호스트 파일에 추가하여 이 문제를 해결할 수 있습니다. 일반적으로 호스트 파일의 항목은 OS 수준 DNS에 도달하지 않습니다. 그러나 Chrome이 이미 자체 DNS 확인자로 대체하고 있다는 점을 고려하면 운이 좋지 않을 수도 있습니다.
Chrome에서 DoH가 작동하는 방식에 대한 추가 정보: https://www.chromium.org/developers/dns-over-https
특히 해당 페이지에서:
- Chrome에는 DoH가 아닌 DNS 서버를 동등한 DoH DNS 서버에 매핑하는 테이블이 있습니다.
- 이 표에 따라 시스템의 재귀 확인자가 DoH를 지원하는 것으로 알려진 경우 Chrome은 해당 확인자의 DoH 버전으로 업그레이드됩니다. 즉, 사용자의 DNS 공급자는 변경되지 않은 상태로 유지하면서 DNS 확인에 사용되는 프로토콜을 업그레이드합니다. HTTPS를 통한 DNS는 운영자가 가족 보호 필터링과 같은 기능을 제공하는 것을 방해하지 않는다는 점에 유의하는 것도 중요합니다.
- 일부 플랫폼에서는이는 Chrome이 이전에 OS DNS 확인 API를 사용했지만 이제는 DoH를 구현하기 위해 자체 DNS 구현을 사용한다는 의미일 수 있습니다..
- 관리자가 필요에 따라 기능을 비활성화할 수 있도록 그룹 정책을 사용할 수 있습니다.
- 최종 사용자는 설정 페이지에서 기능을 제어할 수 있습니다(예: 비활성화, 자동 업그레이드, 특정 공급자 선택 또는 지정).