DoH 보안 모범 사례
이 문서는 DNS over HTTPS 사용 시 보안 모범 사례 권장사항을 제공합니다.
기본 보안 구성
신뢰할 수 있는 DoH 서버 선택
-
서버 신원 확인
- DNSSEC 지원 서버 사용
- 서버 SSL 인증서 확인
- 서버 소유권 확인
-
개인정보 보호 정책 평가
- 데이터 수집 정책 이해
- 데이터 보관 기간 확인
- 데이터 공유 정책 확인
-
지리적 위치 고려
- 로컬 서버 선택
- 국경 간 데이터 전송 피하기
- 법적 준수 고려
DNSSEC 활성화
-
DNSSEC 검증 구성
# Linux 시스템에서 DNSSEC 활성화 sudo nano /etc/systemd/resolved.conf [Resolve] DNSSEC=yes -
DNSSEC 상태 확인
# dig 명령어로 확인 dig +dnssec example.com
고급 보안 구성
ESNI 사용
-
ESNI 지원 구성
- ESNI 지원 브라우저 사용
- TLS 1.3 활성화
- ESNI 키 구성
-
ESNI 상태 확인
# curl로 테스트 curl -v --esni example.com
DNS 유출 방지
-
시스템 수준 구성
- 기존 DNS 비활성화
- 방화벽 규칙 구성
- VPN 또는 프록시 사용
-
브라우저 구성
- DoH 활성화
- WebRTC 비활성화
- 개인정보 보호 모드 사용
기업 보안 사례
네트워크 분할
-
네트워크 영역 분할
- 관리 네트워크
- 사용자 네트워크
- 게스트 네트워크
-
접근 제어 구성
# 방화벽 규칙 구성 iptables -A OUTPUT -p tcp --dport 53 -j DROP iptables -A OUTPUT -p udp --dport 53 -j DROP
모니터링 및 로깅
-
로깅 구성
# DNS 로깅 구성 sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml [logging] log_level = 2 log_file = '/var/log/dnscrypt-proxy.log' -
경고 설정
- DNS 쿼리 실패 모니터링
- 비정상 트래픽 모니터링
- 보안 이벤트 알림 설정
보안 감사
정기 점검
-
시스템 점검
# DNS 구성 확인 cat /etc/resolv.conf # DNS 서비스 상태 확인 systemctl status systemd-resolved -
보안 스캔
- 보안 스캔 도구 사용
- 취약점 확인
- 보안 패치 업데이트
규정 준수 점검
-
데이터 보호
- 데이터 암호화 확인
- 접근 제어 확인
- 로깅 검토
-
정책 준수
- 개인정보 보호 정책 확인
- 데이터 보호 확인
- 보안 조치 검토
비상 대응
사고 처리
-
사고 감지
- 비정상 활동 모니터링
- 로그 데이터 분석
- 보안 위협 식별
-
대응 절차
- 영향을 받은 시스템 격리
- 증거 수집
- 취약점 수정
복구 계획
-
백업 전략
- 정기적인 구성 백업
- 로그 데이터 저장
- 복구 문서 유지
-
복구 단계
- 백업 무결성 확인
- 시스템 구성 복원
- 보안 조치 업데이트
권장 보안 도구
모니터링 도구
-
DNS 모니터링
- DNSWatch
- DNSLeakTest
- DNSViz
-
보안 스캔
- Nmap
- Wireshark
- tcpdump
보호 도구
-
방화벽
- UFW
- iptables
- pfSense
-
침입 감지
- Snort
- Suricata
- Zeek