Response Policy Zone 란?
RPZ (응답 정책 영역)를 사용하면 DNS 확인자가 DNS 레코드를 수정할 수 있다. 원래 위험한 웹 사이트에 대한 엑세스를 차단하는 방법으로 개발되었다. 예를 들어 컴퓨터가 맬웨어를 요포하는 위험한 사이트의 IP 주소를 쿼리하면 DNS확인자가 127.0.0.1 DNS 응답으로 반환할 수 있으므로 컴퓨터가 위험한 사이트에 연결할 수 없다. 이것이 원래 사용 사례이다. 이와 같이 응답 정책 영역은 DNS 방화벽 이라고 한다.
Response Policy Zone 구성 내용
virus100~199.alpha.com에 대한 질의는 NODATA로 반환해야 하며, 이를 확인하기 위한 /dns/var/log/dns/virus.log에 로그 파일을 기록한다.
*주의점 다른 설정이 들어갔습니다. 예를 들어, chroot 설정 이라든지, DNSSEC, chroot 설정 같은경우는 무시하면서 진행하시면 되겠습니다.
Response Policy Zone 구성
A-M
#apt install bind9
#mkdir /dns
#cd /dns
#mkdir –p dev etc run/named usr/lib var/cache var/log usr/share
#mkdir var/log/dns
#cp –r /etc/bind ./etc
#cp –r /var/cache/bind ./var/cache
#touch ./var/log/dns/virus.log
#chown bind:bind ./var/log/dns/virus.log
#chown root:bind ./etc/bind/rndc.key
#chmod 777 ./var/log/dns/virus.log
#chmod 777 ./run/named –R
#chmod 777 ./var/cache/bind –R
#chmod 777 ./etc/bind/rndc.key
#mknod /dns/dev/null c 1 3
#mknod /dns/dev/urandom c 1 9
#chmod 777 /dns/dev/*
#cp /etc/localtime /dns/etc
#vim /etc/fstab
#mount –a
#vim /etc/default/bind9
#systemctl restart bind9
#vim /dns/etc/bind/named.conf.options
*named.conf.options 파일에 RPZ 영역을 활성화 합니다.
#vim /dns/etc/bind/named.conf
#cp /etc/bind/db.empty /dns/var/cache/bind/alpha.zone
#cp /etc/bind/db.127 /dns/var/cache/bind/192.rev
#vim /dns/var/cache/bind/alpha.zone
:%s:localhost:ns.alpha.com:g
$GENERATE 100-199 virus$.alpha.com CNAME *. NODATA 형식으로 반환한다. (이 부분은 잘 모르겠음 어떤 방식인지)
#vim /dns/var/cache/bind/192.rev
:%s:localhost:ns.alpha.com:g
#chmod 777 –R /dns/var/cache/bind
#vim /dns/etc/bind/named.conf
*RPZ 설정을 확인하기 위한 log파일을 구성했다.
#systemctl restart bind9
