[네트워크장비/기능관리] Domain lookup 차단 (N-35)

Domain lookup 차단

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단

■ 보안 위협
- 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생

점검 및 조치 방법

■ 판단 기준
- 양호 : Domain Lookup를 차단하는 경우
- 취약 : Domain Lookup를 차단하지 않은 경우

■ 조치 방법
- Domain Lookup 비활성화

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router> enable
Router# show running-config
no ip domain-lookup 설정을 확인

■ 장비별 조치 방법 예시
ㆍCisco IOS
Global Configuration 모드에서 no ip domain lookup 명령어를 실행
Router# config terminal
Router(config)# no ip domain lookup
또는
Router(config)# no ip domain-lookup
※ IOS 12.2 버전부터 ip domain-lookup을 ip domain lookup로 변경하고 두 명령어 모두 지원

■ 용어정리/팁
※ Domain lookup: Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력 하면 호스트 이름으로 간주하고 Domain Lookup을 시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음