[네트워크 장비 취약점 진단] Domain lookup 차단

 

 

N-35 Domain lookup 차단

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

Domain Lookup를 차단하는지 점검

 

■ 점검목적

 

명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단

 

■ 보안위협

 

불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생

 

■ 참고

 

※ Domain lookup: Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력하면 호스트 이름으로 간주하고 Domain Lookup을 시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

Domain Lookup를 차단하는 경우

 

취약

Domain Lookup를 차단하지 않은 경우

 

■ 조치방법

 

Domain Lookup 비활성화

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

Router> enable
Router# show running-config
no ip domain-lookup 설정을 확인

 

 

■ 장비별 조치방법 예시

 

Cisco IOS
Global Configuration 모드에서 no ip domain lookup 명령어를 실행
Router# config terminal
Router(config)# no ip domain lookup
또는
Router(config)# no ip domain-lookup
※ IOS 12.2 버전부터 ip domain-lookup을 ip domain lookup로 변경하고 두 명령어 모두 지원

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음