나는 사용자가 악성 사이트 목록에 액세스하려고 할 때 DNS RPZ 레코드를 사용하여 사용자를 벽으로 둘러싸인 정원으로 "리디렉션"하는 DNS RPZ를 설정했습니다.
사용자가 badsite.com에 액세스하려고 한다고 가정해 보겠습니다. http 연결을 위한 내 월드 가든으로의 리디렉션은 작동하지만 https 연결의 경우 브라우저의 URL은 동일하게(badsite.com) 유지되지만 확인된 IP가 내 월드 가든(walledgarden.example.com)에 연결되기 때문에 인증서 오류가 발생합니다.
https 연결에서 리디렉션을 위해 DNS RPZ를 사용할 때 인증서 오류를 해결할 수 있는 방법이 있습니까?
답변1
잠시 동안 귀하가 회사의 DNS 서버를 성공적으로 손상시킨 맬웨어 작성자인 것처럼 가정해 보시기 바랍니다. 누군가가 은행을 방문하려고 할 때마다 DNS를 사용하여 가짜 IP 주소를 제공하려고 합니다. 불행하게도 HTTPS가 호출될 때 이러한 혼란스러운 브라우저 경고가 사라지도록 할 수는 없습니다.
이것이 기본적으로 귀하가 우리에게 도움을 요청하는 것입니다. 귀하의 의도는 이 악성 코드 작성자로 추정되는 것에 비해 온건하지만 기술이 여기서 의도한 대로 작동한다는 사실은 바뀌지 않습니다.의도를 중심으로 보안을 설계할 수는 없습니다.
정책 작업은 DNS 수준에서 발생하므로 쿼리가 전송될 때 사용자가 HTTP를 사용하고 있는지, 아니면 HTTPS를 사용하고 있는지 알 수 있는 방법이 없습니다. 제어할 수 있는 유일한 것은 IP 주소를 반환할지 여부와 해당 IP 주소가 무엇인지입니다.
이 지점에 도달하면 이는 기본적인 HTTPS 하이재킹 시나리오입니다. 모두 동일한 규칙이 적용됩니다. 신뢰할 수 있는 CA를 조작할 수 있는 위치에 있다면 브라우저를 조작할 수 있습니다. 그 외에는 주사위가 없습니다.
여기에는 네 가지 옵션이 있습니다.
- 주석에서 sebix의 제안을 따르십시오. 이 RPZ 보호를 적용할 모든 워크스테이션에 CA 인증서를 푸시하십시오. 이것이 기업이라면 완벽하게 가능하며 최상의 시나리오에서는 CA 인증서가 이미 존재할 수도 있습니다.
- 현재 상황을 있는 그대로 처리하여 사람들이 문제의 사이트에 접속하지 못하는 이유에 대한 설명을 볼 수 있는 방법을 제공합니다.
- 웹 페이지를 전혀 얻지 못하도록 다시 작성을 변경하십시오. 웹페이지로 보내는 대신 , (NXDOMAIN) 또는 (NODATA)를 사용하여 쿼리를 "먹
rpz-drop.
습니다CNAME .
"CNAME *.
. - 포트 443 연결을 항상 거부하는 IP 주소를 선택하고
A
정책 수준에서 진행되는 작업을 제안하는 기록을 제공합니다.CNAME
이 레코드에 다시 쓰기 지점을 두십시오 . 이는 적어도 기술 담당자가 문제 해결을 시작할 때 찾을 수 있는 일종의 이동 경로를 제공합니다. 분명히 이러한 기술 인력은 소수에 속하겠지만 없는 것보다는 낫습니다.
#4의 예는 다음과 같습니다.
# RPZ zone file
$ORIGIN example.rpz.
badsite IN CNAME filtered-malware-site.example.com.
# normal zone file
$ORIGIN example.com.
filtered-malware-site IN A 203.0.113.1