경고 해결 VA "이(가) 주의 사항(")에 있습니다.

소개

이 문서에서는 DNSCrypt 활성화와 관련하여 VA가 "주의 상태에 있음"을 나타내는 VA 경고를 해결하는 방법에 대해 설명합니다.

개요

VA(Virtual Appliance)는 자신과 OpenDNS DNS(Public Domain Name System) 리졸버 간에 DNSCrypt 암호화를 지원합니다. DNSCrypt는 VA가 전달하는 DNS 패킷을 암호화하여 중요한 정보의 가로채기를 방지합니다. DNSCrypt는 최적의 보호를 위해 기본적으로 활성화되지만, 방화벽이 VA와 공용 DNS 리졸버 간의 암호화된 트래픽을 차단하는 경우 문제가 발생할 수 있습니다.

암호화되지 않은 DNS 트래픽은 해결해야 하는 보안 위험입니다. VA와 OpenDNS 간에 암호화를 설정할 수 없는 경우 Umbrella 대시보드에는 최상의 보호 상태를 유지하기 위해 영향을 받는 가상 어플라이언스가 "주의 중"이라는 경고가 표시됩니다.

View Details(세부 정보 보기)를 클릭하면 이 VA에 의해 OpenDNS로 전달된 DNS 쿼리가 암호화되지 않았음을 나타내는 메시지가 표시됩니다.

참고: DNSCrypt는 버전 1.5.x 이상을 실행하는 가상 어플라이언스에서만 사용할 수 있습니다. VA가 하나뿐이고 업그레이드되지 않은 경우 이 메시지도 나타납니다.

DNSCrypt 경고 해결

경고를 해결하고 DNSCrypt 보호를 복원하려면

1. 방화벽 또는 IPS(Intrusion Prevention System)/IDS(Intrusion Detection System) 컨피그레이션을 검토합니다.
2. 방화벽 또는 IPS/IDS에서 VA에 대해 암호화된 DNSCrypt 트래픽을 허용하는지 확인합니다.
3. 포트 53(UDP/TCP)에서 다음 OpenDNS IP 주소로 아웃바운드 및 인바운드 트래픽을 허용합니다.
   • 208.67.220.220
   • 208.67.222.222
   • 208.67.222.220
   • 208.67.220.222
4. 심층 패킷 검사가 포함된 방화벽 또는 IPS/IDS를 사용하는 경우 암호화된 DNSCrypt 패킷을 차단하거나 방해하지 않는지 확인합니다. 일부 디바이스는 포트 53에서 표준 DNS 트래픽만 예상되는 경우 이러한 패킷을 차단할 수 있습니다.
5. 암호화된 트래픽이 경로에 있는 모든 디바이스의 네트워크와 OpenDNS 리졸버 간에 아웃바운드 및 인바운드를 모두 이동할 수 있는지 확인합니다.

참고: 방화벽 또는 IPS/IDS가 DNSCrypt 트래픽을 차단하는 경우 VA 뒤의 사용자에 대해 DNS 확인이 실패할 수 있습니다.

방화벽에서 이미 이 트래픽을 허용하지만 경고가 지속된다고 생각되면 지원 케이스를 열어 추가 지원을 요청하십시오.

Cisco ASA 방화벽 동작 및 심층 패킷 검사 및 DNSCrypt와 관련된 가능한 오류 메시지에 대한 자세한 내용은 Cisco ASA 방화벽이 Umbrella Virtual Appliance에서 DNSCrypt 기능을 차단하는 이유를 참조하십시오.